HOTLINE

(0275) 2974 127

CHAT WA 24/7
0859-60000-390 (Sales)
0852-8969-9009 (Support)
Blog

Mengenal Apa Itu Session Hijacking? Cara Mencegahnya

Kejahatan siber semakin menjadi hal yang ditakuti oleh para user karena dapat memberikan kerugian yang sangat besar. Hal tersebut terjadi dengan adanya data-data privasi yang dicuri dan disalahgunakan oleh penyerang. Dalam perkembangannya, ada banyak sekali bentuk serangan siber sehingga untuk melakukan mitigasi, maka sangat perlu untuk memahaminya.

Adapun salah satu kejahatan siber yang sedang marak terjadi adalah session hijacking yang merupakan jenis kejahatan pengambilalihan kendali session milik user lain.

Apa Itu Session Hijacking?

Session hijacking adalah jenis penyerangan siber yang dilakukan oleh penyerang siber jahat dengan menempatkan dirinya di antara komputer dengan website server yang sedang ditelusuri dengan harapan untuk melakukan pencurian data-data personal.

Penyerang melakukan pembajakan melalui session pengguna atau juga dikenal dengan pembajakan cookie. Adapun session adalah mekanisme untuk mempertahankan informasi pada semua halaman web yang berbeda untuk mengidentifikasi pengguna pada saat mereka menelusuri situs atau aplikasi. Suatu session  dimulai ketika seorang pengguna login pada suatu servis dan berakhir ketika pengguna tersebut logout. Dengan demikian, penyerangan ini bergantung pada pengetahuan penyerang terhadap session cookie pengguna.

Adapun contoh session hijacking misalnya mendapatkan suatu e-mail mengenai penjualan dari toko retail favorit kemudian mengakses link pada email dan mulai berbelanja. Pada dasarnya email tersebut dikirim oleh penyerang yang menyertakan kunci sesinya sendiri sehingga penyerang pun dapat menyerang keseluruhan sesi dan melakukan belanja dengan kartu kredit. Berdasarkan contoh tersebut, dapat dilihat pengguna menggunakan session cookie untuk melakukan pencurian siber.

Tipe Session Hijacking

Pada dasarnya, session hijacking dapat dibedakan sebagai berikut :

  • Aktif

Pada session hijacking aktif, penyerang akan mengambil alih kontrol terhadap koneksi jaringan aktif pengguna. Hal tersebut memungkinkan pengguna untuk mengetahui aliran pertukaran informasi antara server dan klien dengan beberapa metode. Dengan demikian, penyusup biasanya mengirim sejumlah trafik yang masif untuk mengganggu session yang valid dengan berpotensi memicu serangan denial of service (DoS).

  • Pasif

Pada session hijacking pasif, penyerang akan melakukan pengamatan terhadap pertukaran informasi yang terjadi di antara server dan klien namun tidak melakukan pengambilalihan kontrol terhadap koneksi jaringan aktif pengguna. Adapun tujuan utamanya adalah untuk mengetahui informasi personal untuk tujuan jahat.

  • Hybrid

Pada session hijacking hybrid, penyerang akan melakukan monitor terhadap trafik jaringan sampai mereka menemukan suatu permasalahan kemudian mengambil alih session dan memulai imitasi pengguna yang sah. Dengan demikian, teknik ini menggunakan kombinasi antara teknik aktif dan pasif.

Metode Session Hijacking

Untuk mengetahui cara penyerang mengambil alih session dalam internet, maka perlu mengetahui metode session hijacking yang digunakan oleh penyerang, yakni sebagai berikut :

  • Session sniffing

Adapun pada jenis penyerangan ini, penyerang akan menangkap lalu lintas jaringan yang berisi Session ID antara sebuah website dan klien menggunakan software seperti Wireshark atau Proxy. Dengan demikian, ketika penyerang mampu menangkap hal tersebut maka dia bisa menggunakan token yang valid ini untuk mendapatkan akses yang tidak sah.

  • Cross-site scripting (XSS)

Pada jenis session hijacking ini, penyerang akan mengambil keuntungan dengan adanya keamanan web service yang lemah dan memasukkan skrip halaman web. Misalnya ketika penyerang mengirimkan tautan khusus kepada korban yang berisi kode-kode JavaScript yang jahat.

Ketika korban melakukan klik pada tautan tersebut, maka JavaScript akan menjalankan atau mengikuti instruksi penyerang tersebut. Dengan demikian, penyerang mampu mengakses kunci session sehingga bisa melakukan pengambilalihan dan mendapatkan informasi personal.

  • Brute Force Attack

Penyerangan session hijacking jenis ini memungkinkan penyerang untuk menebak session ID sampai dia berhasil. Ketika dia berhasil, maka penyerang akan melakukan pembajakan session. Serangan ini umumnya hanya berfungsi jika keamanan situs web yang lemah dan memiliki kunci session yang pendek dan cepat ditebak.

  • Malware

Pada dasarnya, penyerang bisa menjebak pengguna dengan melakukan klik link yang dapat menyebarkan malware terhadap device. Ketika malware mampu melakukan pelacakkan maka memungkinkan pencurian session cookie dan mentransmisikannya kepada penyerang. Dari data tersebut, penyerang bisa mendapatkan session ID dan membajak session.

  • Session Fixation

Session fixation merupakan jenis session hijacking yang memungkinkan penyerang untuk membuat session ID dan menipu pengguna untuk menggunakannya. Salah satu metode yang sering digunakan adalah dengan mengirimkan email kepada pengguna yang menyertakan tautan login screen untuk web yang ingin diakses oleh penyerang.

  • Man-in-the-browser-attack

Melalui metode ini, penyerang akan melakukan install Trojan horse pada komputer pengguna yang memungkinkan untuk mengubah transaksi web pengguna. Pada dasarnya, metode ini akan membuat website mengalami kesulitan untuk mengidentifikasi hal yang palsu.

Cara Kerja Session Hijacking

Salah satu cara untuk melakukan upaya preventif terhadap serangan session hijacking adalah dengan mengetahui cara kerja session hijacking yakni sebagai berikut :

1. Pengguna masuk ke dalam akun tanpa ada rasa curiga

Adapun cara kerja diawali dengan login akun oleh pengguna seperti pada akun bank, online store, atau aplikasi lainnya. Situs atau aplikasi tersebut akan menginstall session cookie sementara pada browser pengguna. Pada cookie tersebut berisi informasi yang mengenai pengguna sehingga membuat penyerang mencoba masuk dan melacak aktivitas pengguna saat session tersebut. Adapun session cookie akan selalu berada pada browser sampai pengguna tersebut melakukan logout.

2. Penyerang mengembangkan askes terhadap pengguna internet melalui valid session

Penyerang siber memiliki berbagai cara untuk melakukan pencurian session seperti mengambil session cookie pengguna, mencari tahu session ID di dalam cookie, dan menggunakan informasi tersebut untuk mengambil alih session. Dengan demikian, ketika penyerang mendapatkan session ID maka mereka bisa mengambil alih session tanpa terdeteksi.

3. Penyerang mendapatkan keuntungan pribadi karena pembajakan sesi

Ketika pengguna asli dapat dibajak dan dilacak oleh penyerang, maka akan memungkinkan penyerang untuk dapat menggunakan sesi yang sedang berlangsung untuk melakukan serangkaian tindakan jahat seperti membeli suatu barang, menarik uang, dan sebagainya. 

Cara Mencegah Session Hijacking

Setelah mengetahui metode-metode yang digunakan oleh penyerang untuk melakukan session hijacking, maka perhatikanlah langkah-langkah preventif yang bisa digunakan dalam menghindari serangan session hijacking berikut ini :

  • Hindari penggunaan wifi publik

Ketika menggunakan wifi publik maka session id akan disertakan ketika membagikan link atau mengakses suatu website. Dengan demikian, pastikan ketika menghindari wifi publik ketika melakukan transaksi penting seperti melakukan pembayaran, transfer, belanja online, dan sebagainya. 

  • Gunakan VPN yang aman

Ketika mengakses wifi publik maka bisa menggunakan Virtual Private Network (VPN) yang akan membantu untuk lebih aman. Adanya VPN akan menutupi alamat IP dan membuat aktivitas online lebih terprivasi dengan membuat “private tunnel” sehingga VPN mengenkripsikan data yang dikirim dan diterima.

  • Tambahkan software pengaman

Pastikan melakukan install software pengaman terhadap device dan pastikan untuk selalu melakukan update sehingga dapat mengakses fitur-fitur yang lebih baik. Pada dasarnya, software pengaman dapat membantu dalam mendeteksi virus dan melindungi malware.

  • Pastikan menggunakan website HTTPS

Mengakses halaman website HTTPS akan membuat data yang dikirimkan dienkripsikan. Hal ini akan membantu mencegat penyerang yang ingin mencuri session ID.

  • Hati-hati dengan penipuan

Hindari melakukan klik pada link suatu email kecuali mengetahui bahwa pengirim email tersebut dari orang yang dipercaya atau institusi resmi. Jika melakukan klik pada link email sembarangan, maka bisa saja link tersebut mengandung malware yang bisa dimanfaatkan oleh penyerang.

  • Pada akhir session, jangan lupa untuk logout

Ketika keluar dari akun, maka session pun akan berakhir dan secara tidak langsung akan membuat penyerang juga logout dari akun tersebut. Dengan demikian, pastikan untuk selalu melakukan logout.

Jadilah yang pertama untuk memberi nilai
Risa Y

Recent Posts

Ingin Menjadi UX Designer? Coba Pelajari Apa Saja Tugasnya!

UX design merupakan singkatan dari User Experience design atau desain pengalaman pengguna. Istilah ini sering…

1 day ago

Mengenal Pengertian Apa Itu A/B Testing?

A/B testing adalah prosedur pengujian yang membandingkan dua halaman situs web atau lebih secara bersamaan…

2 days ago

Rekomendasi Topik Blog Untuk Pemula Yang Baru Terjun Di Dunia Blogging

Menemukan topik blog yang menarik dan terkini mungkin tidak mudah, terutama bagi pemula yang belum…

3 days ago

Cari Untung Besar Di Internet Dengan Mengikuti Cara Monetisasi Blog Ini

Cara Memonetisasi Blog – Menulis blog pribadi bukan lagi sekedar hobi, kegiatan ini menawarkan peluang…

4 days ago

Tips Dan Trik Keren Untuk Menentukan Topik Blog Menarik Target Audiens

Membuat blog adalah salah satu cara terbaik untuk berbagi cerita dan kisah Anda sambil terhubung…

5 days ago

5+ Contoh Desain Web Terbaik Untuk Sumber Inspirasi

Pada artikel ini, kami merekomendasikan beberapa contoh desain web terbaik untuk menginspirasi Anda. Dari contoh…

6 days ago