Clickjacking adalah salah satu bentuk cyber crime yang harus kamu waspadai. Belakangan ini, kejahatan online marak terjadi seiring bertambahnya jumlah pengguna internet. Rendahnya sistem keamanan website menjadi alasan utama dibalik terjadinya serangan siber.
Clickjacking ini akan menargetkan situs web yang sistem keamanannya lemah serta kurang diperhatikan. Meski tidak mempengaruhi website secara langsung, namun clickjacking tetap berbahaya dan berpotensi merugikan, terutama bagi user atau pelanggan.
Lantas, apa itu clickjacking dan bagaimana cara menghindarinya? Jangan khawatir, melalui artikel ini Dewaweb akan jelaskan semua informasinya secara lengkap dan jelas. Simak pembahasannya sampai akhir, ya!
Baca Juga: Apa itu Session Hijacking? Ini Penjelasan dan Cara Mencegahnya
Apa itu Clickjacking?
Melansir laman Imperva, clickjacking adalah teknik serangan yang menyamarkan suatu elemen website guna mengelabui pengguna. Hacker biasanya menggunakan elemen HTML atau beberapa lapisan transparan untuk menampilkan invisible page di atas halaman yang dilihat user.
Jika elemen tak terlihat tersebut diklik, pelaku telah berhasil meretas tombol klik pengguna. Hal ini sangat berbahaya karena ada banyak potensi yang dapat merugikan user. Sebut saja seperti mengunduh malware tanpa sepengetahuan pengguna, pencurian data sensitif, dialihkan ke situs berbahaya, pembelian produk online, transfer uang, dan lain-lain.
Sebelumnya, peretasan ini cukup terkenal dengan istilah cursor jacking dimana teknik yang digunakan adalah UI redressing untuk mengeksploitasi posisi kursor. Hacker memanfaatkan celah kerentanan di Flash dan browser Firefox untuk melancarkan serangan. Kabar baiknya, seiring pembaruan celah tersebut sudah diperbaiki sehingga lebih kebal terhadap cursor jacking.
Baca Juga: Criptojacking: Pengertian, Cara Kerja dan Cara Mencegahnya
Jenis-jenis Serangan Clickjacking
Clickjacking adalah teknik cyber crime yang dapat mengelabui penggunanya dengan mulus tanpa celah. Oleh karena itu, penting untuk mengetahui apa saja jenis-jenis serangan clickjacking.
1. Content Overlay
Content overlay merupakan jenis serangan paling umum berupa pengaburan dialog halaman dengan menambahkan layer atau lapisan berbahaya. Bentuk serangan pun bervariasi, di antaranya yaitu:
- Completely hidden – Clickjacker membuat konten berbahaya berupa bingkai dari tag HTML (iframe) berukuran 1×1 yang menghalangi pengguna melihat keseluruhan visual konten asli. Iframe diletakkan tepat di bawah pointer sehingga tindakan klik apapun akan berujung menekan konten berbahaya tersebut.
- Transparent overlay – Penyerang merubah halaman menjadi transparan serta menambahkan konten berbahaya di belakangnya. Pengguna tidak akan merasa curiga sama sekali karena visual yang mereka lihat adalah halaman terpercaya. Ketika melakukan klik, maka pengguna secara tidak sadar telah menekan konten berbahaya.
- Cropping – Penyerang hanya mengaburkan sebagian kecil konten melalui pemotongan. Misalnya, ada tombol pilihan “Lewati” dan “Simpan” pada konten asli. Nah, hacker akan menempatkan konten berbahaya di atas pilihan tersebut. Pengguna mungkin merasa aman karena berada di halaman terpercaya, padahal mereka hanya mengikuti arahan penyerang.
- Pointer events – Clickjacker membuat tag div mengambang yang menutupi seluruh tampilan halaman. Properti pointer events CSS akan di-setting menjadi ‘none’ agar setiap tindakan klik diarahkan menuju konten berbahaya. Sederhananya, tag div yang dimaksud ditempatkan di atas konten asli.
Baca Juga: Waspadai Ancaman Advanced Persistent Threat (APT) dan Cara Kerjanya
2. Repositioning
Jenis clickjacking satu ini menggunakan teknik penggantian konten cepat. Dalam hal ini, tampilan halaman asli akan selalu terlihat namun posisi dialognya diganti dengan yang palsu. Proses penggantian berlangsung singkat dan akan berubah kembali menjadi konten asli setelah menekan tombol klik.
3. Scrolling
Scrolling merupakan jenis clickjacking yang menyembunyikan dialog dengan cara menggulir halaman hingga sebagian besar dialog tidak terlihat oleh pengguna. Misalnya, ada pilihan tombol “Setuju” dan “Tidak Setuju”, penyerang akan menggeser dialog ke bawah hingga deskripsinya tak terlihat. Di sini, clickjacker membuat deskripsi palsu yang ditempatkan di samping pilihan untuk mengelabui pengguna.
Alur Terjadinya Serangan Clickjacking
Untuk memudahkan pemahamanmu, berikut ini Dewaweb berikan contoh alur terjadinya serangan clickjacking:
- Penyerang awalnya membuat sebuah halaman menarik, misalnya hadiah liburan gratis ke Bali.
- Selanjutnya penyerang akan memeriksa setiap pengunjung terutama terkait informasi perbankan.
- Jika pengguna diketahui memiliki akun perbankan, penyerang menyiapkan parameter kueri untuk melampirkan detail bank miliknya ke dalam formulir.
- Penyerang membuat iframe transparan yang ditempatkan sejajar dengan tombol “Klaim Hadiah Liburan”. Iframe tersebut merupakan tombol konfirmasi pembayaran atau transfer ke bank yang didaftarkan penyerang sebelumnya.
- Ketika pengguna mengklik tombol “Klaim Hadiah Saya”, maka secara otomatis dana akan ditransfer menuju bank milik penyerang.
Baca Juga: Cara Memblokir Situs Berbahaya di Google Chrome dengan Mudah
Bagaimana Cara Menghindari Serangan Clickjacking?
Clickjacking umumnya memanfaatkan visual halaman situs untuk mengecoh pengguna. Oleh karena itu solusi terbaiknya adalah mencegah hal-hal yang berkaitan dengan framing. Tanpa berlama-lama, berikut ini adalah beberapa cara menghindari serangan clickjacking:
1. X-Frame Options
X-Frame options adalah solusi paling jitu untuk mencegah terjadinya clickjacking. Metode ini menunjukkan boleh atau tidaknya halaman website ditampilkan dalam bentuk iframe. Jika ingin membuat website sepenuhnya aman, kamu dapat menyertakan header HTTP X-Frame-Options di setiap halaman. Dengan begitu, situs milikmu akan kebal terhadap serangan clickjacking.
2. Gunakan Firewall
Penggunaan web application firewall sangat disarankan bagi website yang menyimpan datanya di internet, terutama website bisnis, pemerintah, sekolah, dan lain sebagainya. Sebagian firewall memiliki kemampuan untuk mendeteksi sekaligus memblokir ancaman clickjacking secara real time, misalnya Fortinet next-generation firewall.
3. Pindahkan Elemen Halaman
Clickjacker umumnya hanya menyerang halaman yang elemennya ditempatkan berdasarkan pengaturan default. Sebaiknya, atur dan pindahkan elemen halaman supaya tidak sama persis dengan settingan bawaan. Dengan begitu, kamu dapat mengetahui kapan serangan tersebut terjadi.
4. Evaluasi Perlindungan Email
Mengaktifkan filter email spam merupakan langkah terbaik mendeteksi segala jenis serangan siber, tak terkecuali clickjacking. Pasalnya, kebanyakan cyber attack diawali dengan metode email phising untuk mendapatkan lebih banyak akses ke situs web. Menghapus dan memblokir email tersebut dapat meminimalisir risiko terjadinya berbagai jenis serangan.
Baca Juga: Man in the Middle Attack: Pengertian, Jenis dan Cara Menghindarinya
Kesimpulan
Sejauh ini kamu tentu sudah tahu apa itu clickjacking mulai dari pengertian, jenis, hingga cara menghindarinya. Clickjacking adalah salah satu serangan siber yang dilakukan dengan cara menyamarkan elemen tertentu untuk mengelabui pengguna. Dampak serangan ini dapat merugikan banyak pihak, terutama dari sisi user. Di antaranya seperti instalasi malware, transfer uang, pembelian produk online, dan sebagainya tanpa disadari pengguna.
Terlepas dari itu, kamu dapat mempercayakan keamanan website kepada cyber security handal seperti Dewaguard. Dengan sumber daya dan teknologi mumpuni, Dewaguard menjamin semua data website kesayanganmu terlindungi sepanjang waktu (24×7). Layanan cyber security maturity assessment (CSMA) bisa kamu manfaatkan demi menciptakan keamanan website tingkat tinggi. Tunggu apalagi? Yuk, segera konsultasi ke Dewaguard!
