Tidak banyak orang yang tahu bahwa sms yang berada di inbox bisa dibuat sendiri oleh pemilik hp, tanpa harus ada campur tangan orang lain. Hal ini mudah dilihat dari banyaknya orang yang percaya bahwa isi inbox adalah bukti kuat dan otentik bahwa orang lain telah mengirimkan sms padanya.

Bagaimana jika teman anda mengatakan bahwa si X telah mengirimkan sms bernada kurang ajar pada dia. Mungkin anda tidak percaya bukan? Bagaimana bila anda menemukan “bukti” sms dari X yang isinya memang bernada kurang ajar. Bagi orang awam isi sms ini adalah bukti yang sangat kuat, tak terbantahkan bahwa X benar-benar telah mengirimkan sms bernada kurang ajar, maka dari itu X perlu diberi pelajaran.

HP tidaklah berbeda dengan komputer, ada prosesor, memori, storage dan tentu saja sistem operasi. Sistem operasi hp yang banyak dikenal adalah Windows Mobile dan Symbian. inbox, sent, draft dsb juga kurang lebih seperti folder. Yang biasa dilakukan di hp adalah mengkopi/memindahkan message dari satu folder ke folder lainnya seperti dari draft ke sent atau dari inbox ke saved messages. Memang tidak ada menu untuk membuat sms dan menyimpannya di inbox. Namun bukan berarti tidak mungkin dilakukan, karena sebenarnya fungsi atau APInya di sistem operasi sudah tersedia. Tinggal dibuat programnya saja untuk melakukan itu.

Program yang bisa membuat sms fake untuk HP Symbian adalah program Y-Fake. Cara instalasinya adalah, download dari drjukka.com/FakeMessages.html. Setelah didownload, extract file zipnya. Akan didapatkan file .SIS yang belum di-sign. Sebelum bisa diinstall di hp harus di-sign dulu di www.symbian-signed.com, pilih “Open Signed Online” kemudian isi formnya. Setelah didownload tinggal di-install di HP Symbian anda.

Cara pakainya gampang, bikin message baru, isi sender number dan sender name yang akan menjadi field From, kemudian isi pesannya dan jam kirim. Tunggu sampai jamnya tercapai akan ada sms masuk ke inbox.

Cobalah bereksperimen untuk menggunakan bermacam-macam pengirim. Anda bisa coba nomor pendek 4 digit, alphanumeric, atau nomor panjang (biasanya perlu ditambahkan +62).

Kalau nama dan pengirim berbeda maka yang muncul di message detail adalah: Nama . Contoh: From: Rizki <+6281….> Kalau nama dan pengirim diisi sama, maka yang muncul hanya salah satunya saja tanpa kurung < > . Kalau ingin tampak sebagai nomor panjang, isikan dengan nomor yang sama di bagian nama maupun nomor misalkan +62813….. Kalau ingin tampak sebagai alphanumeric, maka isikan alphanumeric yang sama di bagian nama maupun nomor misalkan “INDOSAT”.

Cara ini sepenuhnya GRATIS, tidak perlu bayar apapun karena tidak hubungannya dengan koneksi jaringan apapun, semua dilakukan dalam hp sendiri secara local. Saya sudah coba dan test di E90 saya, hasilnya sangat memuaskan, tidak bisa dibedakan bahkan setelah membuka “Message Detail”.

Social Engineering Technique

Social engineering singkatnya adalah teknik merayu, membujuk dan menipu orang lain untuk keuntungan pelaku. Dengan fake sms ini teknik social engineering menjadi sangat efektif. Salah satu contoh skenarionya adalah:

Misalkan ada yang ingin mencuri laptop di sebuah rumah. Dia bisa membuat sms di inboxnya dengan From adalah nomor HP yang punya rumah, isinya misalkan: “Tolong bawa dan bersihkan laptop saya dari virus.” Si maling bisa dengan pede datang dan mengatakan ke pembantu di rumah bahwa dia adalah teknisi laptop. Sebagai buktinya dia tunjukkan hpnya yang di sana berisi sms dari yang punya rumah. Si pembantu yang sudah hapal betul nomor majikannya tentu saja percaya. “Oh iya ini nomor majikan saya, silakan masuk mas, saya bawakan laptopnya. Mau minum apa?”.

Exploiting Discount by SMS Program

Program ini memang jarang terdengar. Program ini mengandalkan sms pada inbox sebagai bukti bahwa pemilik HP berhak mendapatkan diskon.

Salah satu contohnya adalah OvisSMS. Cukup dengan mengirimkan sms ke 3910, lalu menunjukkan sms yang diterima dari 3910 ke restoran, maka pemilik HP berhak mendapatkan diskon sejumlah tertentu.

Karena SMS balasannya tidak mengandung kode unik tertentu sebagai fitur keamanan, maka mudah untuk membuat fake sms dari nomor 3910. Contoh balasan sms dari 3910 adalah:JAK123482 62856XXXX VALID 10/07/07 …. dan seterusnya. Dalam sms balasan tersebut hanya disebutkan kode merchant, nomor hp, tanggal valid dan diskon yang berhak didapatkan.

Dengan membuat sms sendiri dengan nomor pengirim 3910 yang mirip dengan sms balasan yang asli, maka sulit bagi merchant untuk membedakan mana yang asli dan palsu.

Seharusnya dalam sms tersebut ditambahkan fitur keamanan. Bisa berupa  kode unik yang bisa digunakan oleh merchant untuk melakukan validasi, apakah sms asli atau tidak dan apakah sms diskon ini sudah pernah dipakai.

Kesimpulan

Skenario social engineering lainnya sangat banyak, tergantung imajinasi masing-masing orang. Ini berbahaya karena banyak sekali orang yang sangat percaya bahwa sms di INBOX adalah benar-benar dikirim oleh orang yg terlihat di field From, sehingga mudah dihasut dan ditipu.

Harus dipahami bahwa “sms can be spoofed” jadi belum tentu sms di inbox hp benar-benar dikirim oleh orang yang tercantum pada field From/Pengirim.

tautan dari ilmuhacking.com