jump to navigation

Digital Forensik, “Menelusuri Email Palsu” November 27, 2007

Posted by puji in Computer.
trackback

Pemalsuan email merupakan tindakan kejahatan di dunia cyber. Pemalsuan email dapat dilacak melalui header email palsu tersebut yakni dengan mengamati stempel yang diberikan oleh MTA yang dilewatinya

Email dan Surat Pos
Proses pengiriman E-Mail mirip proses pengiriman surat pos. Pertama yang dilakukan adalah pengirim menulis surat, kemudian memposkannya, kemudian surat akan mengalir dari kantor pos terdekat dengan alamat pengirim, kemudian ke kantor pos pusat pengirim dan kemudian surat sampai ke kantor pos pusat alamat tujuan, kemudian surat diantarkan ke kantor pos terdekat dengan alamat tujuan, dan akhirnya Pak Pos mengantarkannya ke alamat tujuan.

Aliran surat Pos sbb:
Rumah pengirim -> Kantor Pos Terdekat Pengirim -> Kantor Pos Pusat Pengirim -> Kantor Pos Pusat Penerima -> Kantor Pos terdekat Penerima -> Rumah Penerima

Dalam aturan penulisan surat dengan Pos, di halaman depan terdapat alamat pengirim dan di halaman belakang terdapat alamat tujuan. Pak Pos tetap dengan senang hati mengantarkan surat ke alamat tujuan walaupun alamat pengirimnya salah bahkan dipalsukan asalkan alamat tujuan jelas. Akan tetapi yang tidak dapat dipalsukan adalah bahwa surat akan mendapatkan stempel dari kantor pos-kantor pos yang dilewatinya sehingga surat pos dapat ditelusuri

Dalam proses pengiriman email ada 2 komponen:

  • MUA (Mail User Agent) yang digunakan sebagai user interface dalam menulis/membaca surat, seperti Outlook, Pine, dll

  • MTA (Mail Transfer Agent) yang bertugas mengantarkan email, seperti Postfix, Sendmail, Qmail. MTA ini seperti kantor Pos pada proses pengiriman email yang akan mengirimkan dan memberikan stempel pada setiap email.

Adapun penulisan email mempunyai standar, yakni terdiri dari header dan body.
Berikut contoh header dan body pada email.

From: alkebumeny[at]s.ee.itb.ac.id
To: puji_bandung[at]yahoo.com
Subject: tes

Tes pengiriman email

Standar penulisan email diatur dalam RFC822 (http://www.ietf.org/rfc/rfc0822.txt)

 

Email dengan Alamat Pengirim Palsu
Seseorang dapat dengan mudah menuliskan email dengan alamat yang dipalsukan asalkan sesuai standar RFC822, akan tetapi hal yang tidak dapat dipalsukan adalah stempel pada header email yang diberikan oleh MTA “Kantor Pos” sehingga email palsu dapat ditelusuri dari mana asal pengirim email palsu tersebut.

Sebagai contoh, saya akan menulis email palsu dari tempat saya (students.ee.itb.ac.id) dan dikirimkan ke “puji_bandung[at]yahoo.com”. akan tetapi alamat email pengirim saya palsukan dengan “undian[at]sctv.co.id”

students.ee.itb.ac.id : /home/alkebumeny
alkebumeny >> telnet mx.itb.ac.id 25
Trying 167.205.1.70…
Connected to mx.itb.ac.id.
Escape character is ‘^]’.
220 mx4.itb.ac.id ESMTP Postfix
HELO localhost
250 mx4.ITB.ac.id
MAIL FROM: undian[at]sctv.co.id
250 Ok
RCPT TO: puji_bandung[at]yahoo.com
250 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
To: puji_bandung[at]yahoo.com
From: undian[at]sctv.co.id
Subject: Selamat, Anda menang undian

Selamat, Anda menang undian. Harap datang ke SCTV 1 Juni 2006 ke kantor informasi
.
250 Ok: queued as AF3CF4AC21
quit
221 Bye
Connection closed by foreign host.

Email ini akan sampai dengan ke inbox “puji_bandung[at]yahoo.com” yang sepintas seolah-olah email berasal dari undian[at]sctv.co.id
 

Menelusuri Email Palsu
Dengan alasan kenyamananan, MUA tidak menyertakan header pada email. Untuk menelusuri email palsu harus dengan melihat header email, pada yahoo dibawah email sebelah kanan ada link “Full Header”, kliklah untuk melihat header email.

OK, sekarang kita lihat email yang sampai ke inbox “puji_bandung” yang seolah-olah berasal dari “undian[at]sctv.co.id”, saya sertakan headernya

X-Apparently-To: puji_bandung[at]yahoo.com via 209.191.87.49; Sun, 21 May 2006
18:33:54 -0700
X-Originating-IP: [167.205.23.6]
Return-Path: <undian[at]sctv.co.id>
Authentication-Results: mta294.mail.scd.yahoo.com from=sctv.co.id;
domainkeys=neutral (no sig)

Received: from 167.205.23.6 (EHLO mx1.itb.ac.id) (167.205.23.6) by
mta294.mail.scd.yahoo.com with SMTP; Sun, 21 May 2006 18:33:54 -0700
Received: from mx4.ITB.ac.id (mx4.itb.ac.id [IPv6:2001:d30:3:5::69]) by
mx1.itb.ac.id (Postfix) with ESMTP id 8A957FA730 for <puji_bandung[at]yahoo.com>; Mon, 22 May 2006 08:32:28 +0700 (WIT)
Received: from localhost (antivirus.itb.ac.id [167.205.1.75]) by mx4.ITB.ac.id
(Postfix) with ESMTP id 41A0E4AC58 for <puji_bandung[at]yahoo.com>; Mon, 22 May
2006 08:32:40 +0700 (WIT)
Received: from mx4.ITB.ac.id ([167.205.1.69]) by localhost (antivirus.itb.ac.id [167.205.1.75]) (amavisd-new, port 10004) with ESMTP id 21071-09 for <puji_bandung[at]yahoo.com>; Mon, 22 May 2006 08:33:58 +0000 (UTC)
Received: from localhost (students.ee.ITB.ac.id [167.205.67.188]) by
mx4.ITB.ac.id (Postfix) with SMTP id AF3CF4AC21 for <puji_bandung[at]yahoo.com>;
Mon, 22 May 2006 08:30:30 +0700 (WIT)

To: puji_bandung[at]yahoo.com
From: undian[at]sctv.co.id Add to Address Book Add Mobile Alert
Subject: Selamat, Anda menang undian
Message-Id: <20060522013030.AF3CF4AC21[at]mx4.ITB.ac.id>
Date: Mon, 22 May 2006 08:30:30 +0700 (WIT)
Virus-Scanned: antivirus-ITB
Content-Length: 82

Selamat, Anda menang undian. Harap datang ke SCTV 1 Juni 2006 ke kantor
informasi

Email seolah-olah berasal dari “undian[at]sctv.co.id” akan tetapi kalau kita telusuri stempel headernya, tidak satupun stempel yang menunjukkan bahwa email pernah singgah di MTA “kantor Pos” SCTV, MTA yang seharusnya memberikan stempel pada email tersebut, header email justru menunjukkan asal email bukanlah dari domain sctv.co.id, akan tetapi dari students.ee.itb.ac.id

Cara membaca stempel pada header email adalah dari dari bawah ke atas sehingga dapat ditelusuri aliran email tersebut.

  • Received: from localhost (students.ee.ITB.ac.id [167.205.67.188]) by
    mx4.ITB.ac.id
    . Seseorang dari students.ee.itb.ac.id menulis surat dan dikirmkan “Kantor Pos” mx4.itb.ac.id

  • Received: from mx4.ITB.ac.id ([167.205.1.69]) by localhost antivirus.itb.ac.id [167.205.1.75])  mx4.itb.ac.id mengirimkan ke antivirus.itb.ac.id (untuk scan virus)

  • Received: from localhost (antivirus.itb.ac.id [167.205.1.75]) by  mx4.ITB.ac.id (Postfix) (setelah email discan) antivirus.itb.ac.id mengirimkan lagi ke mx4.ITB.ac.id

  • Received: from mx4.ITB.ac.id (mx4.itb.ac.id [IPv6:2001:d30:3:5::69]) by mx1.itb.ac.id (Postfix) mx4.ITB.ac.id mengirimkan ke mx1.itb.ac.id

  • Received: from 167.205.23.6 (EHLO mx1.itb.ac.id) (167.205.23.6) by mta294.mail.scd.yahoo.com with SMTP;  mx1.itb.ac.id mengirimkan ke mta294.mail.scd.yahoo.com

Dan akhirnya sampailah email yang seolah-olah dari undian[at]sctv.co.id ke MTA di yahoo.com ke “puji_bandung” di mesin 209.191.87.49 (web37311.mail.mud.yahoo.com.)

Dari header email, email palsu dapat ditelusuri dari mana asalnya, akan tetapi belum dapat diketahui siapa orang yang melakukannya karena yang tercatat adalah IP Address atau domain mesin, seperti contoh diatas, yang dapat diketahui hanya seseorang dari mesin “students.ee.itb.ac.id” tidak ada stempel “Puji hartono” atau account saya “alkebumeny” sebagai penulis email palsu tersebut. Dalam kasus cybercrime yang diperkarakan oleh aparat, maka aparat akan segera menyita mesin students.ee.itb.ac.id untuk diteliti dan dijadikan sebagai barang bukti dalam persidangan.
 

Comments»

1. indah - December 19, 2008

kalau kita igin tau mengenai dimana alamat email itu??? atau berasal dari mana alamat emai itu, gimana??

2. thomas - December 21, 2008

terimakasih artikelnya..yg cukup banyak membawa pencerahan..=)
bwt Ms.indah, copy alamat IP si pengirim trus paste ke http://www.domainwhitepages.com. semoga membantu.. =)

3. Achmad - April 18, 2009

saya copy artikelnya ya pak,…. buat bahan diskusi,…. thanks

4. Absorbent cotton - December 17, 2013

email2 spam yang kaya gini aku sering dapet jg nih

5. Toko Furniture - February 17, 2015

sering nih dapat email ginian


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: