Coba bayangin lu lagi buka Instagram di laptop. Lu ketik password sekali, terus seharian itu lu nggak ditanya password lagi kan? Tinggal buka-tutup tab, Instagram-nya tetep inget kalau itu lu.
Pernah kepikiran nggak, gimana caranya Instagram tetep inget lu padahal lu udah nggak ngetik password lagi?
Nah, di situ ada satu hal kecil yang kalau jatuh ke tangan orang jahat, akun lu bisa dipakai orang lain — tanpa dia perlu tau password lu sama sekali. Namanya session hijacking. Gue jelasin pelan-pelan ya, santai aja.
Analogi gampangnya: gelang konser
Bayangin lu masuk konser. Di pintu, lu nunjukin tiket (ini ibarat password lu). Petugas ngecek, terus lu dikasih gelang di tangan.
Setelah itu, lu bebas keluar-masuk area konser cuma dengan nunjukin gelang. Nggak perlu nunjukin tiket lagi. Petugas di dalam nggak nanya “mana tiketnya?” — mereka cuma lihat gelang lu, terus “oh udah, masuk aja”.
Internet kerjanya mirip. Pas lu login Instagram:
- Lu kasih password (nunjukin tiket)
- Instagram ngasih lu “gelang digital” — namanya cookie session
- Selama gelang itu masih nempel, Instagram percaya itu lu
Gelang digital ini disimpen diam-diam di browser lu. Lu nggak pernah lihat, tapi tiap kali lu buka Instagram, browser otomatis nunjukin gelang itu.
Masalahnya di mana
Inget tadi: petugas cuma ngecek gelang, bukan ngecek orangnya.
Jadi kalau ada orang berhasil “nyopot” gelang lu terus dipakein ke tangannya sendiri… petugas tetep ngebolehin dia masuk. Karena yang dilihat cuma gelangnya, bukan mukanya.
Di dunia internet, kalau ada orang berhasil nyolong cookie session Instagram lu, terus dia tempelin ke browser dia, maka Instagram bakal ngira dia itu lu. Dia bisa baca DM, posting, ganti bio, semua — tanpa pernah tau password lu.
Itulah session hijacking. Bukan password lu yang dicuri, tapi “gelang”-nya.
Terus, gimana caranya gelang itu dicolong?
Ada beberapa cara yang paling sering kejadian. Gue kasih yang umum aja.
1. WiFi gratisan yang ngintip
Lu lagi di kafe, connect WiFi gratis. Masalahnya, di WiFi yang nggak aman, ada orang iseng yang bisa “nyadap” lalu lintas data orang-orang yang lagi sambung ke WiFi yang sama.
Kalau situs yang lu buka nggak pakai pengaman yang bener, gelang digital lu bisa kebaca sama si penyadap pas lewat di udara. Untungnya Instagram dan situs gede sekarang udah pakai pengaman (itu si gembok kecil di address bar), tapi nggak semua situs serajin itu.
2. Komputer warnet / komputer pinjeman
Ini klasik tapi masih sering. Lu login Instagram di komputer warnet atau laptop temen, terus lupa logout. Lu tinggal pergi.
Gelang lu masih nempel di browser komputer itu. Orang berikutnya yang pakai komputer itu tinggal buka Instagram — dan langsung masuk ke akun lu. Nggak perlu ngebajak apa-apa, lu yang ninggalin pintunya kebuka.
3. Link jebakan dan file aneh
Lu dikirimin link “kuis kepribadian” atau “cek siapa yang stalking IG lu”, atau disuruh download aplikasi tertentu. Pas lu klik atau install, diam-diam ada program kecil yang nyalin gelang digital dari browser lu, terus ngirim ke si penjahat.
Ini yang paling bahaya, karena kelihatannya kayak hal sepele dan lu sendiri yang ngundang masuk.
4. Extension browser abal-abal
Lu install extension di Chrome biar bisa download video, atau biar tampilan IG beda. Tapi extension itu ternyata punya akses buat ngintip semua yang lu buka — termasuk nyopot gelang digital lu diam-diam.
“Tapi gue kan udah pakai password kuat dan 2FA?”
Nah ini bagian yang sering bikin orang kaget.
Password kuat dan 2FA (kode OTP yang masuk pas login) itu jagain pintu depan — yaitu proses login. Mereka mastiin cuma lu yang bisa masuk pertama kali.
Tapi session hijacking itu nggak lewat pintu depan. Si penjahat nggak login. Dia cuma make gelang yang udah jadi, hasil login lu yang tadi. Jadi dia lompatin proses login sepenuhnya — password dan 2FA-nya nggak kesentuh.
Ibaratnya: lu pasang kunci mahal di pintu, tapi gelang lu udah terlanjur dicopot orang pas lu di dalam. Kuncinya jadi nggak ngaruh.
Cara lu ngelindungin diri (gampang kok)
Kabar baiknya, lu nggak perlu jadi anak IT buat aman. Cukup kebiasaan-kebiasaan kecil ini:
Logout kalau pakai komputer bukan punya sendiri. Warnet, laptop temen, komputer kantor bersama — selalu logout pas selesai. Ini nutup celah paling gampang.
Jangan asal connect WiFi publik buat hal penting. Kalau kepaksa, hindari buka-buka akun penting (mobile banking, email utama). Atau pakai paket data sendiri aja yang lebih aman.
Pastiin ada gembok di address bar. Sebelum login di situs manapun, lihat ada ikon gembok kecil dan alamatnya diawali https. Kalau nggak ada, jangan login di situ.
Jangan klik link atau install aplikasi sembarangan. Apalagi yang janjiin hal-hal heboh (“liat siapa yang nge-stalk kamu”). Itu umpan klasik.
Bersihin extension browser yang nggak jelas. Buka daftar extension di browser lu, hapus yang lu nggak inget pernah install atau yang keliatan mencurigakan.
Logout dari perangkat yang nggak dikenal. Instagram punya menu buat lihat kamu lagi login di mana aja. Masuk ke Pengaturan → Keamanan → Aktivitas Masuk. Kalau ada perangkat atau lokasi yang asing, langsung “Keluarkan” dari situ. Ini langsung mematahkan gelang si penyusup.
Ganti password kalau curiga. Pas lu ganti password, biasanya semua gelang lama otomatis dibatalin. Jadi kalau ada yang lagi numpang di akun lu pakai gelang curian, dia langsung ketendang.
Penutup
Intinya gini: yang dijaga sama internet itu gelang-nya, bukan muka lu. Jadi selama gelang itu aman dan cepet lu batalin kalau ada yang aneh, akun lu juga aman.
Tiga hal yang paling penting kalau lu cuma sempet inget ini doang:
- Selalu logout di komputer yang bukan punya lu
- Cek “Aktivitas Masuk” di Instagram sesekali, keluarin yang asing
- Jangan klik link atau install aplikasi aneh
Udah, segitu aja. Nggak serem-serem amat kan, asal tau cara mainnya.