Waspadai Identifikasi Jejaring Sosial

Sulit untuk menolak mengklik tautan penawaran iPhone gratis. Tapi hati-hati: klik Anda dapat dengan mudah dibajak, dan hasilnya bisa menjadi bencana.

Clickjacking adalah metode serangan, juga dikenal sebagai User Interface Redressing, karena diatur dengan menyamarkan (atau memperbaiki) tautan dengan overlay yang menipu pengguna untuk melakukan sesuatu yang berbeda dari yang dia pikirkan.

Sebagian besar pengguna jejaring sosial menikmati kemudahan untuk tetap terhubung dengan mereka setiap saat. Penyerang dapat dengan mudah memanfaatkan kebiasaan ini untuk memaksa pengguna menyukai atau mengikuti sesuatu tanpa menyadarinya. Untuk melakukan ini, penjahat dunia maya dapat memasang tombol yang menggoda – misalnya, dengan teks yang menarik, seperti “iPhone gratis – penawaran waktu terbatas” – di halaman webnya sendiri dan melapisi bingkai tak terlihat dengan halaman jejaring sosial di dalamnya, sedemikian rupa cara tombol “Suka” atau “Bagikan” diletakkan di atas tombol iPhone Gratis.

Trik clickjacking sederhana ini dapat memaksa pengguna Facebook untuk menyukai grup atau halaman penggemar tanpa diketahui.

Skenario yang dijelaskan cukup polos, dalam artian satu-satunya konsekuensi bagi korban adalah ditambahkan ke grup jejaring sosial. Tetapi dengan sedikit usaha ekstra, teknik yang sama dapat digunakan untuk menentukan apakah seorang pengguna masuk ke rekening banknya dan, alih-alih menyukai atau membagikan beberapa item media sosial, dia dapat dipaksa untuk mengklik tombol yang mentransfer dana ke akun penyerang, misalnya. Bagian terburuknya adalah tindakan jahat tersebut tidak dapat dilacak, karena pengguna tersebut sah masuk ke rekening banknya, dan dia secara sukarela mengklik tombol transfer.

Karena sebagian besar teknik clickjacking memerlukan rekayasa sosial, jejaring sosial menjadi vektor serangan yang ideal.

Mari kita lihat bagaimana mereka digunakan.

Clickjacking di Twitter

Sekitar sepuluh tahun yang lalu, jejaring sosial Twitter mengalami serangan besar-besaran yang menyebarkan pesan dengan cepat, yang membuat pengguna mengklik tautan, memanfaatkan keingintahuan alami mereka.

Tweet dengan teks “Jangan klik”, diikuti dengan tautan, disebarkan dengan cepat ke ribuan akun Twitter. Ketika pengguna mengklik tautan dan kemudian tombol yang tampaknya tidak berbahaya di halaman target, sebuah tweet dikirim dari akun mereka. Tweet itu menyertakan teks “Jangan klik”, diikuti dengan tautan berbahaya.

  Cara Menyisipkan Baris Tanda Tangan di Microsoft Word

Insinyur Twitter menambal serangan clickjacking tidak lama setelah dimulai. Serangan itu sendiri terbukti tidak berbahaya, dan berfungsi sebagai alarm yang memberitahukan potensi risiko yang terlibat dalam inisiatif clickjacking Twitter. Tautan jahat membawa pengguna ke halaman web dengan iframe tersembunyi. Di dalam bingkai ada tombol tak terlihat yang mengirimkan tweet jahat dari akun korban.

Klik Jack di Facebook

Pengguna aplikasi Facebook seluler terpapar bug yang memungkinkan spammer memposting konten yang dapat diklik di timeline mereka, tanpa persetujuan mereka. Bug tersebut ditemukan oleh seorang profesional keamanan yang sedang menganalisis kampanye spam. Pakar mengamati bahwa banyak dari kontaknya menerbitkan tautan ke halaman dengan gambar-gambar lucu. Sebelum mencapai gambar, pengguna diminta untuk mengklik pernyataan kedewasaan.

Apa yang tidak mereka ketahui adalah bahwa deklarasi tersebut berada di bawah bingkai yang tidak terlihat.

Saat pengguna menerima deklarasi tersebut, mereka dibawa ke halaman dengan gambar-gambar lucu. Namun sementara itu, tautan tersebut dipublikasikan di timeline Facebook pengguna. Itu dimungkinkan karena komponen browser web di aplikasi Facebook untuk Android tidak kompatibel dengan header opsi bingkai (di bawah kami jelaskan apa itu), dan oleh karena itu memungkinkan overlay bingkai berbahaya.

Facebook tidak mengenali masalah ini sebagai bug karena tidak berdampak pada integritas akun pengguna. Jadi tidak pasti apakah itu akan diperbaiki.

Clickjacking di jejaring sosial yang lebih rendah

Bukan hanya Twitter dan Facebook. Jejaring sosial dan platform blog lain yang kurang populer juga memiliki kerentanan yang memungkinkan terjadinya clickjacking. LinkedIn, misalnya, memiliki kelemahan yang membuka pintu bagi penyerang untuk mengelabui pengguna agar membagikan dan memposting tautan atas nama mereka tetapi tanpa persetujuan mereka. Sebelum diperbaiki, cacat tersebut memungkinkan penyerang memuat halaman LinkedIn ShareArticle pada bingkai tersembunyi, dan melapisi bingkai ini pada halaman dengan tautan atau tombol yang tampaknya tidak bersalah dan menarik.

Kasus lainnya adalah Tumblr, platform blogging web publik. Situs ini menggunakan kode JavaScript untuk mencegah clickjacking. Tetapi metode perlindungan ini menjadi tidak efektif karena halaman dapat diisolasi dalam bingkai HTML5 yang mencegahnya menjalankan kode JavaScript. Teknik yang dibuat dengan hati-hati dapat digunakan untuk mencuri kata sandi, menggabungkan cacat yang disebutkan dengan plugin browser pembantu kata sandi: dengan menipu pengguna untuk mengetik teks captcha palsu, mereka dapat secara tidak sengaja mengirimkan kata sandi mereka ke situs penyerang.

  Mulailah Proyek dengan Membuat Garis Besar & Mengatur Konten Anda

Pemalsuan permintaan lintas situs

Salah satu varian serangan clickjacking disebut Cross-site request forgery, atau singkatnya CSRF. Dengan bantuan rekayasa sosial, penjahat dunia maya mengarahkan serangan CSRF terhadap pengguna akhir, memaksa mereka untuk melakukan tindakan yang tidak diinginkan. Vektor serangan dapat berupa tautan yang dikirim melalui email atau obrolan.

Serangan CSRF tidak bermaksud mencuri data pengguna karena penyerang tidak dapat melihat respons terhadap permintaan palsu. Sebaliknya, serangan menargetkan permintaan perubahan negara, seperti perubahan kata sandi atau transfer dana. Jika korban memiliki hak akses administratif, serangan tersebut berpotensi membahayakan seluruh aplikasi web.

Serangan CSRF dapat disimpan di situs web yang rentan, terutama situs web dengan apa yang disebut “cacat CSRF tersimpan”. Ini dapat dilakukan dengan memasukkan tag IMG atau IFRAME di kolom masukan yang nantinya akan ditampilkan di halaman, seperti komentar atau halaman hasil pencarian.

Mencegah serangan framing

Peramban modern dapat diberi tahu jika sumber daya tertentu diizinkan atau tidak dimuat dalam bingkai. Mereka juga dapat memilih untuk memuat sumber daya dalam bingkai hanya jika permintaan berasal dari situs yang sama dengan pengguna. Dengan cara ini, pengguna tidak dapat diakali untuk mengeklik bingkai tak terlihat dengan konten dari situs lain, dan klik mereka tidak dibajak.

Teknik mitigasi sisi klien disebut penghancur bingkai atau pembunuhan bingkai. Meskipun mereka bisa efektif dalam beberapa kasus, mereka juga dapat dengan mudah dilewati. Itulah mengapa metode sisi klien tidak dianggap sebagai praktik terbaik. Alih-alih merusak bingkai, pakar keamanan merekomendasikan metode sisi server seperti X-Frame-Options (XFO) atau yang lebih baru, seperti Kebijakan Keamanan Konten.

X-Frame-Options adalah header respons yang disertakan server web pada halaman web untuk menunjukkan apakah browser diizinkan untuk menampilkan kontennya di dalam bingkai atau tidak.

Header X-Frame-Option memungkinkan tiga nilai.

  • DENY, yang melarang menampilkan halaman dalam bingkai
  • SAMAORIGIN, yang memungkinkan menampilkan halaman dalam bingkai, asalkan tetap berada di domain yang sama
  • ALLOW-FROM URI, yang memungkinkan tampilan halaman di dalam bingkai tetapi hanya di URI tertentu (Uniform Resource Identifier), misalnya, hanya di dalam halaman web tertentu.
  Cara Memulai Percakapan Dengan Firefox Halo

Metode anti-clickjacking yang lebih baru termasuk Content Security Policy (CSP) dengan arahan frame-ancestors. Opsi ini banyak digunakan sebagai pengganti XFO. Salah satu manfaat utama CSP dibandingkan dengan XFO adalah memungkinkan server web mengotorisasi beberapa domain untuk membingkai kontennya. Namun, itu belum didukung oleh semua browser.

Direktif frame-ancestors CSP mengakui tiga jenis nilai: ‘none’, untuk mencegah domain apa pun menampilkan konten; ‘self’, untuk hanya mengizinkan situs saat ini menampilkan konten dalam bingkai, atau daftar URL dengan karakter pengganti, seperti ‘*.some site.com,’ ‘https://www.example.com/index.html,’ dll., untuk hanya membolehkan pembingkaian pada halaman mana pun yang cocok dengan elemen dari daftar.

Bagaimana melindungi diri Anda dari clickjacking

Lebih mudah untuk tetap masuk ke jejaring sosial saat menjelajah, tetapi jika Anda melakukannya, Anda harus berhati-hati dengan klik Anda. Anda juga harus memperhatikan situs yang Anda kunjungi karena tidak semuanya mengambil tindakan yang diperlukan untuk mencegah clickjacking. Jika Anda tidak yakin tentang situs web yang Anda kunjungi, Anda tidak boleh mengeklik klik yang mencurigakan, tidak peduli seberapa menggodanya.

Hal lain yang perlu diperhatikan adalah versi browser Anda. Bahkan jika sebuah situs menggunakan semua header pencegahan clickjacking yang kami sebutkan sebelumnya, tidak semua browser mendukung semuanya, jadi pastikan untuk menggunakan versi terbaru yang bisa Anda dapatkan dan mendukung fitur anti-clickjacking.

Akal sehat adalah perangkat perlindungan diri yang efektif terhadap clickjacking. Saat Anda melihat konten yang tidak biasa, termasuk tautan yang diposting oleh teman di jejaring sosial mana pun, sebelum melakukan apa pun, Anda harus bertanya pada diri sendiri apakah itu jenis konten yang akan dipublikasikan teman Anda. Jika tidak, Anda harus memperingatkan teman Anda bahwa dia bisa menjadi korban clickjacking.

Satu nasihat terakhir: jika Anda seorang pemberi pengaruh, atau Anda hanya memiliki jumlah pengikut atau teman yang sangat besar di jejaring sosial mana pun, Anda harus menggandakan tindakan pencegahan dan mempraktikkan perilaku online yang bertanggung jawab. Karena jika Anda menjadi korban clickjacking, serangan itu akan berdampak pada banyak orang.