Mengulik Tipuan URL Trik Serangan Homograf

Setiap pelaku kriminalitas di internet selalu berupaya mencari jalan agar bagaimana kegiatan ilegal mereka tidak dapat terdeteksi oleh antivirus. Melalui berbagai uji coba sampai mereka menemukan cara baru yang canggih, berikut dengan metode yang dirancang ulung untuk mengelabui pengguna.

Dorongan meraih kuntungan berlipat menjadi motivasi lain mereka melakukan kejahatan, faktor utama kenapa belakangan begitu banyak bermunculan serangan siber di berbagai wilayah mulai dari kelas cere sampai kelas kakap ikut andil membuat gaduh dunia digital.

Eskalasi tingkat kekhawatiran tentu menjadi tinggi. Tapi, percayalah bahwa akan selalu ada jalan untuk semakin memperkuat keamanan kita dan mendeteksi taktik yang mereka gunakan, dan belajar banyak hal atas segenap perubahan yang terjadi. Pembaruan apa saja yang telah terjadi saat ini, sebagai berikut:

  • Salah satunya adalah phishing, mereka mulai pintar dengan menggunakan gambar yang menyakinkan atau menarik konten iframe dari halaman aslinya.

  • Pelaku phishing rupanya juga sudah menyadari kesalahan mendasar yang mereka lakukan yaitu kesalahan ejaan dan tata bahasa. Ini semua berkat kamus dan penerjemah online yang sangat mudah diperoleh di internet.

  • Selain itu, saat ini sudah tidak bisa lagi mengenali atau mencurigai berdasar alamat pengirim email atau SMS, karena teknik spoofing membantu pelaku lolos dengan memalsukan data dalam sebuah pesan.

  • Yang perlu jadi perhatian adalah bagaimana mereka menggunakan tautan yang mengarahkan ke situs penipuan, mereka akan menyembunyikannya dalam alamat yang dipendekkan agar tidak mengungkapkan maksud mereka pada pandangan pertama.

Serangan Homograf

Meskipun benar bahwa sebagian besar laman web palsu menggunakan HTTP, sedangkan situs asli yang meminta kredensial (seperti jaringan sosial, portal bank, dsb.) melakukannya melalui HTTPS, ini tidak berarti penjahat siber tidak dapat melakukan hal yang sama. Sebenarnya, mereka dapat dengan mudah mengubah situs mereka menjadi HTTPS, mendapatkan sertifikat SSL/TLS yang benar-benar valid untuk itu dan gratis.

Agar bisa bekerja, pelaku harus bisa mendaftarkan domain yang terlihat semirip mungkin dengan situs web sebenarnya yang mereka ingin palsukan dan kemudian mendapatkan sertifikat untuk domain baru ini. Salah satu pilihan adalah mencari domain yang ditulis dengan cara yang sama. Misalnya, facabook.com mirip facebook.com yang asli, atau rnercadolibre.com “dibandingkan dengan” mercadolibre.com “yang asli.

Contoh di atas bisa menjadi rujukan bagaimana cara penjahat siber menipu mata kita dengan nenunjukkan kata-kata yang tidak lengkap dengan kesalahan yang hampir tak terlihat, dan apabila membacanya dengan cepat seolah-olah semuanya lengkap dan benar. Nah, hal yang sama terjadi pada banyak orang saat melihat URL ketika mereka browsing.

Sekilas, jika Anda membaca dengan cepat, contoh-contoh di atas bisa menipu beberapa orang. Untuk menghadapi trik seperti ini, kita hanya perlu melihat dari dekat dan membacanya dengan hati-hati bagaimana alamat tersebut ditulis untuk mendeteksi tipuannya. Cara ini sangat mudah dilakukan oleh penjahat siber ini disebut juga sebagai serangan Homograf.

Contoh di atas adalah URL yang sama persis dengan aslinya, tapi bagaimana caranya dapat membuat sebuah URL identik dengan aslinya, apakah itu dimungkinkan karena tidak mungkin ada URL yang sama di dunia ini. Jawabannya tentu saja bisa.

Ini bisa terjadi dengan penggunaan karakter Unicode dari sistem penulisan non-Latin, seperti Cyrillic atau Greek. Dalam abjad ini kita bisa menemukan karakter yang serupa, atau bahkan identik dengan yang kita gunakan dalam alfabet Latin dan di URL. Berkat Punycode, yang merupakan sintaks pengkodean yang memungkinkan karakter Unicode untuk diterjemahkan ke dalam string karakter yang lebih terbatas yang kompatibel dengan URL, dan domain yang menggunakan karakter ini dapat didaftarkan.

Misalnya, nama domain yang didaftarkan adalah “xn--pple-43d.com”, yang oleh browser diartikan sebagai “apple.com”, namun sebenarnya ditulis menggunakan karakter Cyrillic “a” (U+0430) bukan ASCII “a” (U+0041). Sementara kedua karakter terlihat sama dengan mata telanjang, tapi untuk browser dan sertifikat keamanan, ada dua karakter yang berbeda dan mewakili domain yang berbeda. Contoh lain adalah “tωitter.com” (xn--titter-i2e.com di Punycode) dan “gmạil.com” (xn--gmil-6q5a.com). Anda bahkan bisa bersenang-senang menciptakan kombinasi Anda sendiri dengan konverter Unicode ke Punycode.

Banyak browser saat ini memiliki sistem yang mampu mencegah jenis serangan Homograf. Seperti Firefox atau Chrome, jika keduanya menemukan sebuah domain berisi karakter dari sistem penulisan yang berbeda, daripada menampilkan bentuk Unicode-nya, mereka menunjukkan Punycode yang sesuai.

Kasus Homograf di Indonesia

Pada tahun 2001 Indonesia dihebohkan oleh kasus pembobolan internet banking bank BCA. Insiden ini terjadi akibat ulah seorang mahasiswa salah satu perguruan tinggi terkenal di Indonesia yang juga seorang karyawan media online, membeli domain-domain internet dengan harga sekitar US$20 yang menggunakan nama dengan kemungkinan orang-orang salah mengetikkan dan tampilan yang sama persis dengan situs internet banking BCA. Seperti:

  • wwwklikbca.com

  • kilkbca.com

  • clikbca.com

  • klickbca.com

  • klikbac.com

Peretas tersebut mampu mendapatkan User ID dan password dari pengguna yang memasuki situs aspal tersebut, karena memiliki tampilan yang disajikan sama persis dengan situs aslinya. Namun aktivitas siber tersebut tidak dimaksudkan untuk melakukan tindakan kriminal seperti mencuri dana nasabah, hal ini murni dilakukan atas keingintahuannya mengenai seberapa banyak orang yang tidak sadar menggunakan situs klikbca.com, Sekaligus menguji tingkat keamanan dari situs milik BCA tersebut. Namun tindakan ini tetap dianggap sebagai tindakan yang ilegal karena memalsukan situs resmi bank BCA dan mengambil data milik pihak lain

Menghadapi Homograf

ESET selalu menyarankan agar pengguna periksa pengirim pesan, perhatikan link dari halaman yang ingin dikunjungi, pastikan semua tertulis dengan benar dan yang terpenting, aman (misal menggunakan HTTPS) dan memiliki sertifikat keamanan.

Namun, tindakan pencegahan ini tidak lagi cukup, karena penjahat dunia maya menggunakan teknik yang semakin rumit untuk mengelabui pengguna. Menggunakan HTTPS dan sertifikat bukan lagi hal yang merisaukan atau menyulitkan bagi pihak peretas. Lagi pula, jika mereka mencuri kredensial, apa yang mereka pedulikan apakah data tersebut dienkripsi atau tidak.

Intinya adalah teknik-teknik ini digunakan untuk memberi pengguna rasa aman palsu, yang membawa mereka memasukkan data mereka dengan keyakinan bahwa ini adalah situs yang aman, setelah mengikuti saran tersebut berulang-ulang untuk mereka karena mereka harus melihat Apakah situs tersebut memiliki gembok kecil dan mengatakan HTTPS. Seperti yang telah kita lihat, meskipun, ini sudah tidak cukup lagi.

Saran lain, ESET menganjurkan agar pengguna memperhatikan sertifikat keamanan dengan cermat, hindari mengakses situs web melalui tautan yang dikirim melalui email (lebih baik melakukannya dengan mengetik URL atau melalui tautan langsung yang dapat dipercaya) dan tambahkan lapisan perlindungan ekstra ke akun dengan menggunakan dua faktor otentikasi.

Sumber berita:
https://www.welivesecurity.com/
https://www.xudongz.com