ClickJacking

Posted on

Metode ini menipu Anda untuk mengklik sesuatu yang berbeda dari apa yang Anda pikir Anda klik. Elemen clickjacking dapat berupa tombol di halaman web yang, ketika diklik, menjalankan fungsi lain, memungkinkan orang lain untuk mengambil kendali komputer. Situs web host mungkin tidak mengetahui keberadaan elemen clickjacking.

Apa itu ClickJacking

Clickjacking, juga dikenal sebagai “serangan ganti rugi UI”, adalah saat penyerang menggunakan beberapa lapisan transparan atau buram untuk mengelabui pengguna agar mengklik tombol atau link di halaman lain saat mereka bermaksud mengklik halaman tingkat atas. Karenanya, penyerang “membajak” klik yang dimaksudkan untuk halaman mereka dan merutekannya ke halaman lain, kemungkinan besar dimiliki oleh aplikasi lain, domain, atau keduanya.

Menggunakan teknik serupa, penekanan tombol juga dapat dibajak. Dengan kombinasi stylesheet, iframe, dan kotak teks yang dibuat dengan hati-hati, pengguna dapat diarahkan untuk percaya bahwa mereka mengetikkan kata sandi ke email atau rekening bank mereka, tetapi malah mengetik ke dalam bingkai tak terlihat yang dikendalikan oleh penyerang.

Contoh ClickJacking

Misalnya, bayangkan seorang penyerang yang membangun situs web yang memiliki tombol yang bertuliskan “klik di sini untuk mendapatkan iPod gratis”. Namun, di bagian atas halaman web tersebut, penyerang telah memuat iframe dengan akun email Anda, dan mengarahkan tombol “hapus semua pesan” tepat di atas tombol “free iPod”. Korban mencoba untuk mengklik tombol “free iPod” tetapi malah mengklik tombol “hapus semua pesan” yang tidak terlihat. Intinya, penyerang telah “membajak” klik pengguna, sehingga dinamai “Clickjacking”.

Salah satu contoh Clickjacking yang paling terkenal adalah serangan terhadap halaman pengaturan plugin Adobe Flash. Dengan memuat laman ini ke dalam iframe yang tidak terlihat, penyerang dapat mengelabui pengguna agar mengubah setelan keamanan Flash, memberikan izin untuk animasi Flash apa pun untuk menggunakan mikrofon dan kamera komputer.

Clickjacking juga membuat berita berupa worm Twitter. Serangan clickjacking ini meyakinkan pengguna untuk mengklik tombol yang menyebabkan mereka menge-tweet ulang lokasi halaman berbahaya tersebut, dan disebarkan secara besar-besaran.

Ada juga serangan clickjacking yang menyalahgunakan fungsi “Like” pada Facebook. Penyerang dapat mengelabui pengguna Facebook yang masuk untuk secara sewenang-wenang menyukai halaman penggemar, tautan, grup dan lain sebagainya.

Bagaimana Mencegah Serangan ClickJacking

Untungnya, Anda memiliki beberapa metode yang mencegah clickjacking sebelum pengguna berada dalam bahaya.

  1. Cegah pembingkaian dari domain lain: Cegah peretas meletakkan hamparan tak terlihat pada konten populer Anda. Satu-satunya cara agar halaman Anda dapat ditayangkan dalam bingkai dengan konfigurasi ini adalah jika domainnya sama dengan situs web.
  2. Memindahkan bingkai saat ini ke atas: Jenis kode ini memastikan bahwa bingkai yang saat ini aktif adalah yang di atas, yang membuatnya sulit untuk melapisi UI dengan elemen tersembunyi.
  3. Add-on anti-clickjacking sisi klien: Beberapa browser web, seperti Firefox, memiliki add-on yang menghentikan skrip agar tidak berjalan di halaman web. Pendekatan ini mencegah peretas untuk dapat mengeksekusi skrip.
  4. Tambahkan framekiller ke situs web: Javascript memiliki fungsi framekiller yang menghentikan penarikan halaman ke dalam iFrame.
  5. Gunakan solusi keamanan siber yang kuat: Solusi keamanan siber yang komprehensif, seperti Forcepoint, mempertimbangkan beberapa vektor serangan saat mengamankan situs web dan sistem Anda dari peretas.

Clickjacking adalah metode serangan yang mengganggu dan merusak yang dapat menyebabkan banyak konsekuensi serius. Perusahaan Anda memerlukan cara untuk secara proaktif menghentikan serangan ini agar tidak mengubah situs web atau konten Anda menjadi lingkungan yang berbahaya bagi pengguna.

Leave a Reply

Your email address will not be published. Required fields are marked *