Hati-hati, Pembajakan Akun dengan Session Hijacking, Apa Itu?

KOMPAS.com – Seorang youtuber sempat menceritakan kisahnya mengenai percobaan pembajakan akun Youtube yang dialaminya.

Melansir dari Kompas.com Senin (15/6/2020) youtuber sekaligus travel blogger Rijal Fahmi Mohamadi atau yang lebih dikenal dengan Fahmi Catperku mengatakan modus penipuan yang hampir ia alami ini bermula dari sebuah tawaran kerjasama yang diterima melalui email.

Si pengirim memintanya untuk mereview sebuah aplikasi tertentu dengan cara ia harus mendownload aplikasi tersebut terlebih dahulu.

Baca juga: Waspada, Pencurian Akun Youtube lewat Aplikasi dengan Modus Endorsment

Fahmi awalnya tidak menyadari itu sebagai penipuan sampai akhirnya ia mendapat email serupa sebulan kemudian.

Dia yang menyadari itu sebagai penipuan akhirnya mencoba mengikuti alur si penipu untuk menyelidiki lebih lanjut.

Session hijacking

Terkait apa yang dialami Fahmi, Ahli IT yang juga dosen Ilmu Komputer Uniersitas Sebelas Maret (UNS) Surakarta Rosihan Ari Yuana menilai secara umum, bisa saja akun yang terhubung dengan internet dibajak oleh seseorang. 

“Ada beberapa cara membajak akun, tapi biasanya menggunakan session hijacking,” ungkapnya saat dihubungi Kompas.com Senin (15/6/2020).

Rosihan menjelaskan, session hijacking sendiri menyebabkan orang lain dapat mencuri cookie yang tersimpan di perangkat komputer.

Sebagaimana diketahui, setiap seseorang login di aplikasi website, maka saat itu data login akan tersimpan di cookie komputer.

“Para pembajak itu memanfaatkan data cookie akun-akun kita untuk dicuri, sehingga mereka bisa login dengan cookie tersebut,” terangnya.

Hal semacam ini menurutnya bukan hanya bisa terjadi pada kasus pencurian akun Youtube, namun dapat juga terjadi pada akun-akun yang lain seperti akun media sosial Facebook, Instagram dan sebagainya.

Bagaimana dengan transaksi perbankan di komputer?

Rosi menilai terkait sistem pada perbankan menurutnya menerapkan hal yang berbeda dengan form login pada umumnya.

“Kalo perbankan biasanya tidak pakai cookie untuk keperluan login. Tapi, pakai session,” ungkapnya.

Menghapus cookie

Menghapus cookie pada browser sebenarnya dapat dijadikan alternatif untuk mencegah hal semacam itu terjadi.

Akan tetapi dampaknya seseorang harus kembali login ke akun-akun mereka saat membuka akunnya.

“Karena manfaat disimpannya cookie terkait akun kita itu, setiap kali buka aplikasi web di browser tidak perlu login. Sehingga kalau cookienya dihapus, tidak otomatis bisa langsung login, tapi harus login manual dulu,” terangnya.

Rosi menilai yang paling penting untuk dilakukan dalam mencegah terjadinya pembajakan adalah tidak mengunduh apapun dari link yang tidak terpercaya.

“Kuncinya cuma satu: jangan pernah ngeklik apapun atau unduh dan install aplikasi apapun dari link yang ada di email, jika email tersebut dirasa asing,” kata dia.

Terkait dengan yang terjadi dengan Fahmi ia menduga modusnya adalah mengambil cookie melalui aplikasi tersebut.

Menurutnya, jika menganalisa script aplikasi Fahmi yang telah ia decrypte, script tersebut memang bermaksud untuk mengirim sebuah data ke suatu situs tertentu.

“Dugaan saya data tersebut adalah berupa data cookie yang disimpan di komputer korban. Dari data cookie yang dicuri itulah si pencuri dapat menguasai akun Youtubenya,” ujarnya.

Baca juga: Waspada, Pencurian Akun Youtube lewat Aplikasi dengan Modus Endorsment