» » »

hacking Unipin dengan Social Engineering

hacking website besar seperti unipin ? apa mungkin ?
semua mungkin saja dengan social engineering, suatu sistem bisa saja sempurna dari sisi keamanan, tapi bagaimana dengan admin / user yang mengelola sistem tsb ? manusia bisa saja dimanipulasi

unipin adalah situs pembayaran atau isi ulang voucher game online, menggunakan unipin kamu bisa membeli credit games online tanpa harus membeli voucher fisiknya.

untuk membeli credits di situs unipin kamu bisa memilih beberapa tipe pembayaran diantaranya pembayaran voucher fisik, transfer via ATM, dan internet banking.

soceng vulnerable terletak pada pembayaran via transfer ATM dengan proses sbg berikut:

langkah-langkah pembayaran via transfer atm :
  1. user transfer sejumlah uang ke account unipin 
  2. user login ke website
  3. user konfirmasi transfer yang sudah dilakukan dengan mengisikan  nomor akun bank, jumlah dana yang ditransfer, tanggal, dan jam yang tertera didalam struk bukti transfer anda kedalam kolom yang tersedia lalu klik submit.
  4. admin unipin cek validasi transfer dengan melihat data yang diinput user (pada step 3) dan dicocokan dengan informasi transfer yang masuk.
  5. jika data valid, admin konfirmasi transfer dan memberikan credit sejumlah dana yang ditransfer
  6. user mendapat credit games

langkah-langkah social engineering

  1. hacker membuat akun unipin
  2. hacker berpura-pura menjual barang via online untuk mencari target
  3. target tertarik dengan barang yang dijual hacker
  4. target menghubungi hacker
  5. hacker memberikan informasi akun ATM Unipin agar target mentransfer ke akun ATM unipin
  6. target melakukan transfer
  7. hacker meminta struk bukti transfer kepada target
  8. target memberikan foto struk bukti transfer 
  9. hacker konfirmasi transfer tersebut ke pihak unipin
  10. admin unipin memvalidasi transfer tersebut
  11. hacker mendapat credits games online dari unipin
  12. hacker menghapus jejak dari target biasanya dengan blockir facebook / menonaktifkan nomor telephone dll. 

trick yang simple tetapi cukup berbahaya,
apakah admin unipin melakukan kesalahan ?
tidak, mereka bekerja sesuai standard prosedur yang ada di perusahaan unipin.

kesalahan dilakukan oleh 2 objek
yang pertama target yang melakukan transfer tanpa mencari tahu siapa penerima dana
kesalahan kedua terletak di standard prosedur unipin dalam pembayaran via atm 

keep your eyes open guys :)

Postingan terkait:

1 Comment , ,

1 Tanggapan untuk "hacking Unipin dengan Social Engineering "

spamming comment will be deleted As soon as posible :)

Langganan: Posting Komentar (Atom)