Salah satu hasil Blackhat USA 2007 adalah tools yang memungkinkan penyerang untuk membajak akses orang lain yang sedang mengakses situs web tertentu ketika menggunakan hotspot WIFI publik. Web apapun yang mengandalkan cookie dan tidak menggunakan enkripsi (tidak menggunakan HTTPS) bisa dibajak dengan tools yang bernama Hamster” dan “Ferret” buatan Robert Graham dari Errata Security. Banyak situs web, misalnya Yahoo dan Gmail, secara default tidak menggunakan enkripsi, sehingga jika Anda mengakses situs tersebut dari sebuah hotspot Wifi publik, maka orang lain bisa ikut membaca email Anda.
Trik ini bisa bekerja di Wifi publik, karena umumnya Wifi publik tidak dienkripsi, sehingga semua orang yang ikut mengakses hotspot, bisa melihat semua lalu lintas data pada jaringan. Cookie yang menjadi metode pengenalan, dapat dengan mudah dicuri. Kadang website juga menggunakan pemeriksaan alamat IP (Internet Protocol Address) untuk memverifikasi cookie, tapi umumnya jaringan Wifi yang ada, menggunakan teknik NAT (Network Address Translation), agar hanya menggunakan satu IP eksternal (IP publik), sehingga semua orang yang menggunakan hotspot yang sama akan dianggap berasal dari IP yang sama, jadi metode verifikasi IP dari website tidak berguna. Sebenarnya hal ini tidak hanya berlaku untuk hotspot publik, tapi hotpost manapun di mana penyerang memiliki akses ke hotspot tersebut.
Perlu dicatat bahwa website seperti KlikBCA atau Bank Mandiri, menggunakan token tambahan, sehingga metode ini tidak efektif. Beberapa situs mendukung koneksi dengan enkripsi, jadi ketika mengakses situs penting (seperti gmail), cobalah selalu gunakan protokol HTTPS (berawalan https://) dan bukan HTTP (http://). Update: meski memakai HTTPS, Anda tidak aman untuk browsing situs lain ketika sedang membaca email, setelah logout, baru Anda akan aman untuk browsing ke situs lain.
Sumber: BBC
wah mengerikan ternyata ^^