Pengertian, Jenis, dan Cara Menghindari Clickjacking
Clickjacking adalah salah satu bentuk cyber crime yang harus kamu waspadai. Belakangan ini, kejahatan online marak terjadi seiring bertambahnya jumlah pengguna internet. Rendahnya sistem keamanan website menjadi alasan utama dibalik terjadinya serangan siber.
Clickjacking ini akan menargetkan situs web yang sistem keamanannya lemah serta kurang diperhatikan. Meski tidak mempengaruhi website secara langsung, namun clickjacking tetap berbahaya dan berpotensi merugikan, terutama bagi user atau pelanggan.
Pengertian Clickjacking
Melansir laman Imperva, clickjacking adalah teknik serangan yang menyamarkan suatu elemen website guna mengelabui pengguna. Hacker biasanya menggunakan elemen HTML atau beberapa lapisan transparan untuk menampilkan invisible page di atas halaman yang dilihat user.
Jika elemen tak terlihat tersebut diklik, pelaku telah berhasil meretas tombol klik pengguna. Hal ini sangat berbahaya karena ada banyak potensi yang dapat merugikan user. Sebut saja seperti mengunduh malware tanpa sepengetahuan pengguna, pencurian data sensitif, dialihkan ke situs berbahaya, pembelian produk online, transfer uang, dan lain-lain.
Sebelumnya, peretasan ini cukup terkenal dengan istilah cursor jacking dimana teknik yang digunakan adalah UI redressing untuk mengeksploitasi posisi kursor. Hacker memanfaatkan celah kerentanan di Flash dan browser Firefox untuk melancarkan serangan. Kabar baiknya, seiring pembaruan celah tersebut sudah diperbaiki sehingga lebih kebal terhadap cursor jacking.
Jenis Serangan Clickjacking
Clickjacking adalah teknik cyber crime yang dapat mengelabui penggunanya dengan mulus tanpa celah. Oleh karena itu, penting untuk mengetahui apa saja jenis-jenis serangan clickjacking :
1. Content Overlay
Content overlay merupakan jenis serangan paling umum berupa pengaburan dialog halaman dengan menambahkan layer atau lapisan berbahaya. Bentuk serangan pun bervariasi, di antaranya yaitu :
- Completely hidden
Clickjacker membuat konten berbahaya berupa bingkai dari tag HTML (iframe) berukuran 1×1 yang menghalangi pengguna melihat keseluruhan visual konten asli. Iframe diletakkan tepat di bawah pointer sehingga tindakan klik apapun akan berujung menekan konten berbahaya tersebut.
- Transparent overlay
Penyerang merubah halaman menjadi transparan serta menambahkan konten berbahaya di belakangnya. Pengguna tidak akan merasa curiga sama sekali karena visual yang mereka lihat adalah halaman terpercaya. Ketika melakukan klik, maka pengguna secara tidak sadar telah menekan konten berbahaya.
- Cropping
Penyerang hanya mengaburkan sebagian kecil konten melalui pemotongan. Misalnya, ada tombol pilihan “Lewati” dan “Simpan” pada konten asli. Hacker akan menempatkan konten berbahaya di atas pilihan tersebut. Pengguna mungkin merasa aman karena berada di halaman terpercaya, padahal mereka hanya mengikuti arahan penyerang.
- Pointer events
Clickjacker membuat tag div mengambang yang menutupi seluruh tampilan halaman. Properti pointer events CSS akan di-setting menjadi ‘none’ agar setiap tindakan klik diarahkan menuju konten berbahaya. Sederhananya, tag div yang dimaksud ditempatkan di atas konten asli.
2. Repositioning
Jenis clickjacking satu ini menggunakan teknik penggantian konten cepat. Dalam hal ini, tampilan halaman asli akan selalu terlihat namun posisi dialognya diganti dengan yang palsu. Proses penggantian berlangsung singkat dan akan berubah kembali menjadi konten asli setelah menekan tombol klik.
3. Scrolling
Scrolling merupakan jenis clickjacking yang menyembunyikan dialog dengan cara menggulir halaman hingga sebagian besar dialog tidak terlihat oleh pengguna. Misalnya, ada pilihan tombol “Setuju” dan “Tidak Setuju”, penyerang akan menggeser dialog ke bawah hingga deskripsinya tak terlihat. Di sini, clickjacker membuat deskripsi palsu yang ditempatkan di samping pilihan untuk mengelabui pengguna.
Alur Terjadinya Serangan Clickjacking
Untuk memudahkan pemahaman, berikut ini Hosteko berikan contoh alur terjadinya serangan clickjacking :
- Penyerang awalnya membuat sebuah halaman menarik, misalnya hadiah liburan gratis ke Bali.
- Selanjutnya penyerang akan memeriksa setiap pengunjung terutama terkait informasi perbankan.
- Jika pengguna diketahui memiliki akun perbankan, penyerang menyiapkan parameter kueri untuk melampirkan detail bank miliknya ke dalam formulir.
- Penyerang membuat iframe transparan yang ditempatkan sejajar dengan tombol “Klaim Hadiah Liburan”. Iframe tersebut merupakan tombol konfirmasi pembayaran atau transfer ke bank yang didaftarkan penyerang sebelumnya.
- Ketika pengguna mengklik tombol “Klaim Hadiah Saya”, maka secara otomatis dana akan ditransfer menuju bank milik penyerang.
Cara Menghindari Serangan Clickjacking
Clickjacking umumnya memanfaatkan visual halaman situs untuk mengecoh pengguna. Oleh karena itu solusi terbaiknya adalah mencegah hal-hal yang berkaitan dengan framing. Tanpa berlama-lama, berikut ini adalah beberapa cara menghindari serangan clickjacking :
1. X-Frame Options
X-Frame options adalah solusi paling jitu untuk mencegah terjadinya clickjacking. Metode ini menunjukkan boleh atau tidaknya halaman website ditampilkan dalam bentuk iframe. Jika ingin membuat website sepenuhnya aman, dapat menyertakan header HTTP X-Frame-Options di setiap halaman. Dengan begitu, situs akan kebal terhadap serangan clickjacking.
2. Gunakan Firewall
Penggunaan web application firewall sangat disarankan bagi website yang menyimpan datanya di internet, terutama website bisnis, pemerintah, sekolah, dan lain sebagainya. Sebagian firewall memiliki kemampuan untuk mendeteksi sekaligus memblokir ancaman clickjacking secara real time, misalnya Fortinet next-generation firewal.
3. Pindahkan Elemen Halaman
Clickjacker umumnya hanya menyerang halaman yang elemennya ditempatkan berdasarkan pengaturan default. Sebaiknya, atur dan pindahkan elemen halaman supaya tidak sama persis dengan settingan bawaan. Dengan begitu, dapat mengetahui kapan serangan tersebut terjadi.
4. Evaluasi Perlindungan Email
Mengaktifkan filter email spam merupakan langkah terbaik mendeteksi segala jenis serangan siber, tidak terkecuali clickjacking. Pasalnya, kebanyakan cyber attack diawali dengan metode email phising untuk mendapatkan lebih banyak akses ke situs web. Menghapus dan memblokir email tersebut dapat meminimalisir risiko terjadinya berbagai jenis serangan.