Pengalaman saya dengan phising

Rabu, Februari 20, 2008

Siapa yang tidak kenal dengan paypal, situs pembayaran online ini cukup terkenal. Terkait dengan paypal hari ini saya hampir terkena phising. Bermula dari sebuah email yang mengabarkan bahwa adanya sebuah transaksi yang tidak biasa pada account paypal saya. Berikut ini saya berikan screen shot emailnya:

Saya tidak mengecek alamat email yang dipakai dan langsung saja mengklik link yang diberikan. Beruntung saya tidak segera melakukan login, namun saya menjadi curiga setelah melihat alamat urlnya yang mengarah ke http://www.diugo.com/shopping/cgi-bin/webscr.php?cmd=_login-run bukan ke https://www.paypal.com/. (Nb. browser firefox membedakan antara koneksi yang menggunakan protokol https dengan http dengan cara jika menggunakan https latar belakang pada textbox addressnya berwarna kuning (terima kasih firefox ) ).

Segera saya cek kembali siapa pengirim email tersebut ternyata pengirimnya menggunakan alamat service@paypai.com bukan dari service@paypal.com. Pintar juga orang ini (ya iya lah..jika ndak pintar mana mungkin bisa melakukan phising ), jika dilihat sepintas orang tidak akan bisa membedakan antara huruf i di service@paypai.com dengan huruf l di service@paypal.com. Langsung saja saya melaporkannya sebagai phising ke pihak yang berwenang di google.com.

Berikut ini adalah tampilan dari http://www.diugo.com/shopping/cgi-bin/webscr.php?cmd=_login-run

Sepintas tidak ada perbedaannya dengan yang asli https://www.paypal.com berikut ini :

Penasaran dengan situs tersebut, kemudian saya mencari informasi siapa pemiliknya.  Dengan menggunakan  whois akhirnya diketahui siapa pemilik domain diugo.com yaitu:
Domain Name: DIUGO.COM
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Whois Server: whois.melbourneit.com
Referral URL: http://www.melbourneit.com
Name Server: NS65.SECURENET-SERVER.NET
Name Server: NS66.SECURENET-SERVER.NET
Status: ok
Updated Date: 22-feb-2007
Creation Date: 11-mar-2005
Expiration Date: 11-mar-2012

Jika kita membuka alamat http://www.diugo.com/shopping/ akan mengarah ke alamat http://www.diugo.com/shopping/start.php?browse=1 dimana tampilannya seperti ini :

Pelaku menempatkan scriptnya di direktory /shopping/cgi-bin/. Ternyata dalam waktu yang tidak sampai 30 menit setelah saya melaporkan phising ini ke google.com, saya kembali membuka alamat http://www.diugo.com/shopping/cgi-bin/webscr.php?cmd=_login-run untuk membuat screen shot situs dan tra la la .. browser firefox memberikan telah peringatan bahwa situs tersebut berbahaya, berikut ini peringatan dari firefox:

Bagaimana dengan anda ? apakah juga memiliki pengalaman yang sama dengan saya.  Share pengalaman anda disini.