Clickjacking adalah salah satu metode penipuan di internet agar ketika user mengklik sebuah link atau button yang terlihat wajar dan normal, namun tanpa disadari user mengklik link atau button untuk menjalankan suatu program jahat tertentu atau menuju ke web yang tidak sesuai dengan tujuan asal user. Istilah clickjacking diperkenalkan oleh Jeremiah Grossman dan Robert Hansen pada tahun 2008. Istilah lain untuk clickjacking adalah UI redressing dan UI redress attack.
Deskripsi
Metode Clickjacking dapat terjadi karena fitur dari HTML yang tampak tidak berbahaya, digunakan untuk menanamkan sebuah script yang dapat menjalankan program yang tidak diinginkan. Fitur HTML yang sering digunakan adalah <frame> dan <iframe>. Sebuah halaman web yang sudah disusupi dengan kode clickjacking, dapat menipu user. Sehingga ketika user mengklik sebuah link, ternyata secara otomatis user menjalankan sebuah program jahat yang tidak diingikan.
Sebuah halaman web yang digunakan untuk clickjacking biasanya terdiri dari dua layer. Layer pertama adalah layer yang terlihat oleh user, kemudian ditambah layer transparan yang berada di atas layer pertama. Karena layer transparan inilah, user bisa tertipu. Ketika user berniat mengklik sebuah button yang wajar dan tidak terlihat mencurigakan, ternyata di atas button tersebut terdapat pula button pada layer tranparan yang apabila diklik, akan menjalankan program tertentu yang tidak diinginkan. Karena layer kedua tranparan, user tidak menyadari bahwa dia telah menjalankan sebuah program yang tidak diinginkan. Halaman web yang berada pada layer transparan bisa saja merupakan halaman web yang sudah terotentikasi sebelumnya oleh user, sehingga sulit untuk melacak apa yang sebelumnya sudah dilakukan secara tidak sengaja.
Contoh
Seorang user menerima email yang terdapat link ke sebuah video promosi, tapi sebuah halaman web lain yang valid, misalnya halaman product pada amazon.com bisa diletakkan pada layer transparan di atas halaman video promosi produk. Halaman web pada layer transparan diatur sedemikian rupa sehingga button "BUY" tepat di atas tombol "PLAY" pada video. Dengan demikian ketika user berniat memainkan video dengan mengklik tombol "PLAY" secara tidak sengaja dia juga mengklik tombol "BUY" pada product amazon.com yang ada di layer transparan. User sangat dirugikan karena di harus membeli barang yang tidak diinginkan, bahkan tidak diketahui. Konten pada layer pertama basanya adalah hal-hal yang lebih menarik perhatian, misalnya gambar atau video dewasa, atau juga hadiah gratis.
Contoh lain penggunaan clickjacking adalah:
- Menipu user agar mengaktifkan webcam dan microphone melalui aplikasi Flash (namun sudah diperbaiki oleh Adobe).
- Menipu user agar merubah setting profile menjadi public.
- Memaksa user mem-follow sebuah akun twitter.
- Memaksa user men-share link di Facebook.
Pencegahan clickjacking
Beberapa metode yang dapat digunakan untuk mencegah terjadinya clickjacking antara lain:
- Dari sisi web server
- Framekiller, Pemilik situs bisa membantu melindungi user dengan cara menambahkan Framekiller, yaitu script javascript yang digunakan untuk mencegah agar halaman web kita menolak jika ditampilkan dengan frame. Akan tetapi, penggunaan Framekiller saja tidak cukup untuk mencegah terjadinya clickjacking.
- Dari sisi Server-CLient
- X-Frame-Options, merupakan header dari respon HTTP yang bisa digunakan untuk memberitahu kepada browser, apakah dia boleh atau tidak untuk menampilkan sebuah halaman web ke dalam tag <frame> atau <iframe>. Pengembang situs bisa menggunakan metode ini untuk mencegah clickjacking, yaitu dengan memastikan bahwa situs mereka tidak dapat ditanamkan dalam situs lain. Ide ini berawal dari Microsoft ketia pada 26 January 2009 Microsoft me-release Internet Explorer 8, yang memiliki fitur untuk mencegah terjadinya clickjacking. Berdasarkan dari Microsoft, IE 8 akan mendeteksi situs yang memasukan tag dan menampilkan error di layar user, yang berarti bahwa host dari content website tidak memperbolehkan content tersebut ditampilkan dalam frame, namun memberikan pilihan kepada user untuk membuka content tersebut di windows yang berbeda. Saran dari Microsoft ini kemudian diterapkan kedalam browser-browser lain, misalnya Safari, Firefox, Chrome dan Opera.
- Dari sisi client (User)
- Update browser dan plugins, extension, atau addons yang anda gunakan ke versi yang terbaru. Bagi anda pengguna Firefox, silakan install NoScript, sebuah addons untuk Firefox untuk menambah keamanan.
Referensi
- https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet
- http://en.wikipedia.org/wiki/Clickjacking
Tweet
Tidak ada komentar:
Posting Komentar