(0275) 2974 127
Clickjacking adalah salah satu bentuk cyber crime yang harus kamu waspadai. Belakangan ini, kejahatan online marak terjadi seiring bertambahnya jumlah pengguna internet. Rendahnya sistem keamanan website menjadi alasan utama dibalik terjadinya serangan siber.
Clickjacking ini akan menargetkan situs web yang sistem keamanannya lemah serta kurang diperhatikan. Meski tidak mempengaruhi website secara langsung, namun clickjacking tetap berbahaya dan berpotensi merugikan, terutama bagi user atau pelanggan.
Melansir laman Imperva, clickjacking adalah teknik serangan yang menyamarkan suatu elemen website guna mengelabui pengguna. Hacker biasanya menggunakan elemen HTML atau beberapa lapisan transparan untuk menampilkan invisible page di atas halaman yang dilihat user.
Jika elemen tak terlihat tersebut diklik, pelaku telah berhasil meretas tombol klik pengguna. Hal ini sangat berbahaya karena ada banyak potensi yang dapat merugikan user. Sebut saja seperti mengunduh malware tanpa sepengetahuan pengguna, pencurian data sensitif, dialihkan ke situs berbahaya, pembelian produk online, transfer uang, dan lain-lain.
Sebelumnya, peretasan ini cukup terkenal dengan istilah cursor jacking dimana teknik yang digunakan adalah UI redressing untuk mengeksploitasi posisi kursor. Hacker memanfaatkan celah kerentanan di Flash dan browser Firefox untuk melancarkan serangan. Kabar baiknya, seiring pembaruan celah tersebut sudah diperbaiki sehingga lebih kebal terhadap cursor jacking.
Clickjacking adalah teknik cyber crime yang dapat mengelabui penggunanya dengan mulus tanpa celah. Oleh karena itu, penting untuk mengetahui apa saja jenis-jenis serangan clickjacking :
Content overlay merupakan jenis serangan paling umum berupa pengaburan dialog halaman dengan menambahkan layer atau lapisan berbahaya. Bentuk serangan pun bervariasi, di antaranya yaitu :
Clickjacker membuat konten berbahaya berupa bingkai dari tag HTML (iframe) berukuran 1×1 yang menghalangi pengguna melihat keseluruhan visual konten asli. Iframe diletakkan tepat di bawah pointer sehingga tindakan klik apapun akan berujung menekan konten berbahaya tersebut.
Penyerang merubah halaman menjadi transparan serta menambahkan konten berbahaya di belakangnya. Pengguna tidak akan merasa curiga sama sekali karena visual yang mereka lihat adalah halaman terpercaya. Ketika melakukan klik, maka pengguna secara tidak sadar telah menekan konten berbahaya.
Penyerang hanya mengaburkan sebagian kecil konten melalui pemotongan. Misalnya, ada tombol pilihan “Lewati” dan “Simpan” pada konten asli. Hacker akan menempatkan konten berbahaya di atas pilihan tersebut. Pengguna mungkin merasa aman karena berada di halaman terpercaya, padahal mereka hanya mengikuti arahan penyerang.
Clickjacker membuat tag div mengambang yang menutupi seluruh tampilan halaman. Properti pointer events CSS akan di-setting menjadi ‘none’ agar setiap tindakan klik diarahkan menuju konten berbahaya. Sederhananya, tag div yang dimaksud ditempatkan di atas konten asli.
Jenis clickjacking satu ini menggunakan teknik penggantian konten cepat. Dalam hal ini, tampilan halaman asli akan selalu terlihat namun posisi dialognya diganti dengan yang palsu. Proses penggantian berlangsung singkat dan akan berubah kembali menjadi konten asli setelah menekan tombol klik.
Scrolling merupakan jenis clickjacking yang menyembunyikan dialog dengan cara menggulir halaman hingga sebagian besar dialog tidak terlihat oleh pengguna. Misalnya, ada pilihan tombol “Setuju” dan “Tidak Setuju”, penyerang akan menggeser dialog ke bawah hingga deskripsinya tak terlihat. Di sini, clickjacker membuat deskripsi palsu yang ditempatkan di samping pilihan untuk mengelabui pengguna.
Untuk memudahkan pemahaman, berikut ini Hosteko berikan contoh alur terjadinya serangan clickjacking :
Clickjacking umumnya memanfaatkan visual halaman situs untuk mengecoh pengguna. Oleh karena itu solusi terbaiknya adalah mencegah hal-hal yang berkaitan dengan framing. Tanpa berlama-lama, berikut ini adalah beberapa cara menghindari serangan clickjacking :
X-Frame options adalah solusi paling jitu untuk mencegah terjadinya clickjacking. Metode ini menunjukkan boleh atau tidaknya halaman website ditampilkan dalam bentuk iframe. Jika ingin membuat website sepenuhnya aman, dapat menyertakan header HTTP X-Frame-Options di setiap halaman. Dengan begitu, situs akan kebal terhadap serangan clickjacking.
Penggunaan web application firewall sangat disarankan bagi website yang menyimpan datanya di internet, terutama website bisnis, pemerintah, sekolah, dan lain sebagainya. Sebagian firewall memiliki kemampuan untuk mendeteksi sekaligus memblokir ancaman clickjacking secara real time, misalnya Fortinet next-generation firewal.
Clickjacker umumnya hanya menyerang halaman yang elemennya ditempatkan berdasarkan pengaturan default. Sebaiknya, atur dan pindahkan elemen halaman supaya tidak sama persis dengan settingan bawaan. Dengan begitu, dapat mengetahui kapan serangan tersebut terjadi.
Mengaktifkan filter email spam merupakan langkah terbaik mendeteksi segala jenis serangan siber, tidak terkecuali clickjacking. Pasalnya, kebanyakan cyber attack diawali dengan metode email phising untuk mendapatkan lebih banyak akses ke situs web. Menghapus dan memblokir email tersebut dapat meminimalisir risiko terjadinya berbagai jenis serangan.
Apakah Anda menggunakan kartu ATM atau kartu debit? Suka bertransaksi secara cashless? Sepertinya Anda perlu…
Design website toko online tidak hanya soal estetika, tapi juga UX yang bagus secara keseluruhan.…
Sebelum memulai karir Anda sebagai desainer UX, Anda harus membuat portofolio yang mencakup semua pengalaman…
Keep-Alive memungkinkan browser pengunjung Anda mendownload semua konten (JavaScript, CSS, gambar, video, dll) melalui koneksi…
Job description seorang web developer adalah membuat situs web menggunakan berbagai bahasa pemrograman. Tanggung jawab…
Secara default, WordPress tidak mendukung A/B testing. Tapi jangan khawatir. Di bawah ini, kami telah…