Saturday, August 25, 2012

Digital Forensik - Menelusuri Asal Muasal Email

Suatu hari anda mungkin pernah mendapatkan email seperti dibawah ini,
Selamat Anda Menang undian 3 Milyard, hadiah akan segera di transferkan ke Rekening anda paling lambat 1 minggu setelah email ini.
Atau email lainnya yang mengatakan anda mendapatkan undian ataupun harta warisan yang sangat banyak nilainya, Uuuppss....jangan senang dulu, karena di dunia digital hampir tidak ada yang mustahil, mustahil atau tidaknya hanya dibatasi oleh kemampuan dan teknologi yang ada saat ini.

Mari kita langsung bahas email yang saya terima pagi ini ^^,  silahkan lihat gambar dibawah ini :


Bagi banyak orang yang tidak paham masalah penipuan di dunia digital mungkin akan langsung mengadakan tumpengen untuk syukuran :D, namun sebaiknya kita telusuri dulu kebenaran email ini.

Email diatas hanya contoh yang dibuat oleh saya sendiri, jadi isinya memang tidak menunjukkan profesionalisme, karena yang akan dibahas bukan isinya, namun asal muasalnya ^^

Sebelum memulai bahasan singkat mengenai asal muasal email tersebut, kita harus paham dulu perjalanan si surat elektronik ini. email sama dengan surat yang dikirimkan via kantor pos. bila perjalanan surat itu jauh, misalkan kita kirim surat dari Surabaya ke Palangkaraya, maka surat tersebut akan melewati beberapa kantor pos (surat dikirmkan secara estafet via kantor pos) dan setiap memasuki kantor pos, surat tersebut akan di stempel sampai akhirnya sampai ke tangan si penerima, kalau tidak percaya coba lihat surat milik bapak / ibu masing, pasti ada stempel diatas prangkonya ^^.

Contoh surat yang mengalami perjalanan jauh
sehingga banyak stempel dari kantor pos yang disinggahinya

Nah...email juga sama, dalam pengiriman email, terdapat dua komponen dasar yang penting :
  • MUA (Mail USer Agent) sebagai interface dalam penulisan email tersebut, misalkan Thunderbird, Seamonkey, Opera, Outlook, maupun Webmail.
  • MTA (Mail Transfer Agent) yang bertugas mengirimkan email sampai ke tangan penerima, semacam Postfix, Sendmail, Qmail, dll, fungsinya sama dengan Kantor Pos dalam pengiriman surat, yang bertugas mengirimkan email dan memberi stempel pada email yang kita kirim.
Oke...sekarang back to email, kali ini saya akan memakai yahoo mail, karena email ini saya terima di yahoo mail. untuk mengetahui surat ini asli dari cimbniaga.com atau tidak, kita harus melihat stempel yang tertera pada email ini, dalam hal ini disebut header.

Untuk melihat header email di yahoo mail lihat gambar dibawah ini.



Dengan alasan kenyamanan MUA tidak akan menampilkan header dari email, namun kita masih bisa melihatnya, berikut saya akan sertakan header email tersebut, dan cara membaca header email adalah dari bawah ke atas.

Header email dari email diatas

From undian@cimbniaga.com Sat Aug 25 13:54:50 2012
X-Apparently-To: magnetux@yahoo.com via 106.10.174.133; Fri, 24 Aug 2012 22:23:10 -0700
Return-Path:
X-Originating-IP: [123.231.238.245]
Authentication-Results: mta1229.mail.ac4.yahoo.com from=cimbniaga.com; domainkeys=neutral (no sig); from=cimbniaga.com; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO chronos.anekakecap.lan) (123.231.238.245)
by mta1229.mail.ac4.yahoo.com
with SMTP; Fri, 24 Aug 2012 22:23:09 -0700
Received: from jupiter.anekakecap.lan (jupiter.anekakecap.lan [192.168.110.242])
by chronos.anekakecap.lan
(Postfix) with SMTP id 88F9A8C00B
for ; Sat, 25 Aug 2012 01:54:50 -0400 (EDT)
To: magnetux@yahoo.com
From: undian@cimbniaga.com
Subject: Selamat, Anda Menang Undian
Message-Id: <20120825055501 .88f9a8c00b=".88f9a8c00b" chronos.anekakecap.lan="chronos.anekakecap.lan">
Date: Sat, 25 Aug 2012 01:54:50 -0400 (EDT)
Content-Length: 132
Selamat Anda Menang undian 3 Milyard, hadiah akan segera di transferkan ke Rekening anda paling lambat 1 minggu setelah email ini.
                                                                                                                                                                                                                                                            
Email diatas seolah-oleh berasal dari cimbniaga.com, namun kalau kita telusuri dengan teliti, maka email tersebut tidak pernah singgah di cimbniaga.com sama sekali, mari kita lihat dengan lebih teliti lagi ^^
  • Received: from jupiter.anekakecap.lan (jupiter.anekakecap.lan [192.168.110.242]) by chronos.anekakecap.lan  artinya: sesorang dari jupiter.anekakecap.lan menulis email tersebut dan dikirimkan ke  "kantor pos" chronos.anekakecap.lan.
  • Received: from 127.0.0.1 (EHLO chronos.anekakecap.lan) (123.231.238.245) by mta1229.mail.ac4.yahoo.com  with SMTP artinya: email tersebut dikirimkan ke mta yahoo.com oleh chronos.anekakecap.lan
  • Dan akhirnya email yang seolah-olah dari CIMB Niaga tersebut sampai ke tangan si penerima.
Dari header tersebut tampak kalau email tersebut tidak pernah mampir ke CIMB Niaga, jadi kesimpulannya email tersebut palsu :).



No comments: