Menjebol Account E-Gold!

Tulisan ini bukan bertujuan untuk mengajarkan bagaimana cara menjebol account e-gold tetapi saya ingin menunjukkan bahwa hal ini sangat mudah dilakukan karena itu WASPADALAH!!!

Bermula dari jebolnya account eg seorang member yang setelah saya lacak ternyata menggunakan IP dari Albania, maka saya sengaja menjebak diri saya agar diperangkap oleh hacker tadi. Inilah jalan ceritanya ...

Metoda yang dipakai oleh hacker ini adalah dengan mengirim email dengan subject "Notification of e-gold account update" yang isinya mengatakan bahwa Account eg saya diblock demi alasan keamanan karena banyaknya serangan hacker. Tapi email ini berhasil diindetifikasi oleh Antispam saya. Karena itulah saya pura-pura tidak tahu dan mencoba mengklik pada link yang diberikan hacker tsb yaitu: "Respond to this notification" yang ketika saya periksa link nya menuju ke sini: http://www.e-gold.com-x.in/acct/login.html yang cukup pintar karena domainnya adalah com-x.in ( in = india) sedangkan www.e-gold.com hanyalah merupakan sub domain! Email memakai nama e-gold.com tetapi setelah saya periksa IP nya adalah: 64.224.109.64 dari VIRGINIA, USA. Entah ini proxy atau bukan.

Oke, mari kita ikuti kemauan hacker tersebut. Ketika saya klik maka

hacker tadi menyiapkan halaman yang sangat mirip dengan halaman e-gold.com (tidak sulit karena ada s/w semacam HTTP Track, Web Copier atau Firebug yang dapat digunakan untuk menciplak website), dia meminta account id dan password dan turing code, kemudian saya ikuti dan ketika selesai enter maka saya buka account eg saya dari link yang asli, hasilnya: ACCOUNT SAYA MENJADI NOL! Luar biasa hanya butuh beberapa detik saja! (sengaja saya sisakan beberapa usd agar hacker tersebut merasa berhasil).

Nah, bagaimana cara kerjanya? Sederhana saja, hacker tadi memasang script dari API e-gold.com sehingga ketika password saya isi maka ia langsung melakukan Spend ke account hacker tersebut. Di sinilah kelemahan E-gold.com yaitu tidak tersedianya TAP atau PIK untuk memproteksi Spend/Payment.
ActSen pada e-gold.com juga dapat diakali dengan memasang perangkat NAT (Network Address Translation) pada komputer target.

Kesimpulan:

Sebaiknya jangan gunakan e-gold lagi karena sistem keamanannya sangat lemah. Usulan perbaikan sudah saya ajukan beberapa bulan yang lalu tetapi e-gold sampai saat ini tidak bertindak apapun!

Secanggih apapun password anda PASTI bisa jebol. Satu-satunya cara adalah penambahan lapisan keamanan melalui:
TAP alias PIK


1. PIN

2. Block atau Allow IP tertentu

3. Limit terhadap Spend/Payment

4. Token seperti Key BCA (meskipun demikian algoritma token masih bisa dijebol juga)


Jadi, intinya harus memakai kombinasi keamanan di atas, minimal keamanan nomor 1 sampai 4 HARUS ADA! Sekali lagi waspadalah, waspadalah!

Catatan:



Karena jumlah eg yg jebol dalam percobaan cuma < $100 maka kerugian dapat dianggap diabaikan, tetapi jika ada pembaca yang mengalami kerugian besar maka silahkan kontak saya untuk jasa penelusuran ini.