Jenis Phishing Baru yang Tidak Bisa Diacuhkan

Jenis Phishing Baru yang Tidak Bisa Diacuhkan

Dengan beragamnya jenis phishing yang ada, ia tetap menjadi ancaman security yang serius. Statistiknya mengingatkan kita untuk terus waspada.

Ini bukan hal yang bisa disepelekan sehingga penting bagi kita untuk bisa terus memahami bagaimana melindungi diri dari upaya-upaya phishing.

Teknologi terus berkembang. Begitu pula teknik yang digunakan untuk menjalankan phishing. Mari kita bahas salah satu teknik yang baru-baru ini menjadi pembahasan hangat di dunia cyber security: browser-in-the-browser phishing attack.

💻 Mulai Belajar Pemrograman

Belajar pemrograman di Dicoding Academy dan mulai perjalanan Anda sebagai developer profesional.

Daftar Sekarang

Jenis Phishing baru ala Browser-in-the-browser

Saya rasa pembaca sudah pernah menggunakan fasilitas Single-Sign-On (SSO) untuk proses autentikasi. Misalnya ketika hendak login ke e-commerce, daripada harus mengetikkan email dan password, teman-teman bisa login menggunakan akun Google, Facebook, dan sebagainya. Ketika menggunakan fasilitas ini, ada kemungkinan browser akan menampilkan popup login seperti gambar berikut ini.

Jenis phishing baru yang memanfaatkan window popup

Saat memperoleh popup ini, kita biasanya akan memasukkan password untuk akun yang hendak digunakan. Di mana ada password, di situ ada pihak yang ingin mencurinya. Adakah cara bagi password kita untuk bocor melalui popup window seperti gambar di atas? Sayangnya ada.

Tahukah teman-teman bahwa window yang menampilkan form autentikasi di atas dapat di-render di browser menggunakan HTML dan CSS? Berikut adalah upaya saya membuat ulang window di atas menggunakan HTML dan CSS. Window yang ada di dalam kotak merah bukanlah window dari browser, tetapi window buatan menggunakan HTML dan CSS.

BITB: Jenis phishing baru yang menyerupai window login popup

Cukup mengerikan karena tampilannya sangat mirip dengan tampilan window yang biasanya dimunculkan oleh browser. Bahkan style dari window ini dapat diatur agar tampilannya mirip dengan browser window di beberapa sistem operasi (OS) yang umum dipakai.

Bahayanya di mana? Bila korban tidak menyadari bahwa ini adalah window autentikasi palsu, ia akan mengetikkan user dan passwordnya ke form autentikasi yang ada. Dengan demikian, peretas akan memperoleh kredensial sang korban dan mengambil alih akunnya. Cukup berbahaya!

Metode phishing ini dikembangkan oleh seorang peneliti security dengan nickname mr. dOx. Ia menamainya browser-in-the-browser phishing attack (BITB) karena upaya phishing-nya berusaha mengelabui pengguna yang seakan-akan menampilkan sebuah browser window.

Lalu, bagaimana cara kita bisa terhindar dari ancaman ini?

Menghindari Browser-in-the-browser Attack

Pertama, untuk menghindari serangan ini, kita perlu mengenali perilaku browser yang normal dan tidak normal. Contohnya sebagai berikut.

Cara membedakan phishing: gerakkan window popup

Seperti gambar di atas, window browser yang asli akan bisa digerakkan keluar dari browser utama. Namun, tidak demikian dengan window browser yang ditampilkan oleh BITB attack.

Window hasil phishing tidak bisa digerakkan keluar dari browser

Bisa dilihat window-nya tidak bisa dikeluarkan dari browser aslinya. Bahkan, akan ada beberapa keanehan yang tampak. Misalnya, title bar pada window akan terpotong.

Upaya pengamanan berikutnya adalah memanfaatkan sebuah password manager. Biasanya password manager akan menampilkan (bahkan mengisi secara otomatis) kredensial yang dapat digunakan di website yang sedang dikunjungi pengguna.

Sebagai contoh, bila pengunjung pernah mendaftar di website Dicoding, password manager akan menampilkan kredensial pengguna untuk Dicoding. Pada gambar di bawah ini, add-on Bitwarden (salah satu contoh password manager) menampilkan kredensial yang saya miliki di website Dicoding.

Memanfaatkan password manager untuk menghindari phishing

Namun, apa yang terjadi ketika kita membuka window yang ditampilkan oleh BITB attack?

Window login palsu

Meskipun url dari window yang ditampilkan adalah www.dicoding.com (agar mengelabui pengguna), tetapi password manager-nya mengenali bahwa ini bukanlah website Dicoding. Oleh karena itu, ia tidak menampilkan kredensial yang bisa dipakai.

Kehidupan Digital yang Aman

Biasanya phishing akan memanfaatkan hal mendesak (seperti kesempatan vaksin covid19, akun bank yang harus diperbarui karena ada masalah) dan juga hal yang lagi populer. Namun ada baiknya kita tidak tergesa-gesa ketika melakukan aksi apa pun di dunia digital. Ketergesa-gesaan inilah yang menjadi salah satu kunci keberhasilan peretas memperoleh korban phishing baru.

Oleh karena itu, ada baiknya teman-teman terus mempelajari teknik-teknik baru dalam melindungi diri dan keluarga dari phishing supaya aktifitas kita di dunia digital tetap aman.


Belajar Pemrograman Gratis
Belajar pemrograman di Dicoding Academy dan mulai perjalanan Anda sebagai developer profesional.