Kalau anda tanyakan pada nasabah bca, apa alamat internet banking bca. Pasti jawabannya adalah klikbca.com. Padahal yang benar bukan itu, yang benar adalah ibank.klikbca.com, bukan www.klikbca.com atau klikbca.com saja. Kelihatannya sepele, tapi ada konsekuensi security di sini. Web yang dilindungi dengan https (trusted) hanya ibank.klikbca.com, sedangkan www.klikbca.com tidak (untrusted).
HTTP is Untrusted
Sebelumnya saya sarankan anda membaca artikel saya tentang understanding https. Anda akan memahami bahwa halaman web yang tidak dilindungi dengan SSL, tidak bisa dipercaya, untrusted. HTTPS menjamin Authentication dan Confidentiality, sehingga anda bisa yakin telah berkomunikasi dengan server yang benar dan komunikasi anda dijamin tidak didengarkan orang lain.
Dalam kasus ini confidentiality tidak penting, karena memang www.klikbca.com tidak mengandung informasi yang confidential. Serangan yang efektif adalah pada aspek Authentication. HTTP tidak menjamin Authentication sehingga anda tidak bisa benar-benar yakin bahwa halaman www.klikbca.com yang tampak di browser anda adalah berasal dari server yang benar. Konsekuensinya adalah informasi yang anda baca dan link yang ada di sana juga tidak bisa dipercaya.
Screenshot di bawah ini adalah halaman klikBCA yang normal. Terlihat dari status bar yang memperlihatkan url link button Login yang mengarah pada https://ibank.klikbca.com.
Normal
Sekarang perhatikan juga screenshot di bawah ini yang merupakan halaman klikbca.com yang telah dideface dengan teknik man-in-the-middle sehingga bila user mengklik tombol Login akan membuka halaman ibank.klikbca.com yang telah diberi “racun” XSS (lihat artikel saya yang berjudul: menjaring password klikbca dengan XSS ). Screenshot ini hanyalah simulasi man-in-the-middle di komputer saya sendiri.
Defaced
Kedua screenshot tersebut sama-sama mengakses URL yang sama, yaitu www.klikbca.com, namun hasilnya berbeda tergantung dari server siapakah yang diakses. Jangan menganggap kejadian pada gambar ke-2 sulit terjadi, karena bagi orang yang paham, dengan serangan man in the middle kejadian itu bukanlah hal yang aneh dan sulit.
HTTP Rentan Terhadap Man in The Middle Attack
Salah satu jenis serangan yang berbahaya pada http adalah man in the middle. Serangan ini terjadi karena tidak adanya fitur authentication pada http, sehingga browser mengira tengah berkomunikasi dengan server yang benar, padahal sebenarnya dia tengah berkomunikasi dengan orang ke-3. Orang ke-3 ini bisa dengan bebas membaca dan mengubah request yang dikirimkan ke server dan response yang akan dikirim ke browser. Salah satu contohnya adalah pada screenshot gambar ke-2 yaitu dengan memodifikasi URL untuk link ke ibank.klikbca.com.
Kenapa Serangan ini akan Efektif
Menyesatkan orang ke halaman login palsu dengan serangan ini saya yakin akan efektif. Karena orang sudah merasa benar dengan mengakses www.klikbca.com, dan mengikuti petunjuk resmi BCA untuk mengklik tombol Login. Hal ini berbeda dengan memberikan link phishing/palsu melalui email, karena orang mungkin tidak percaya dengan link yang dikirim melalui email. Tapi saya yakin semua orang akan percaya dengan link yang ada di halaman www.klikbca.com.
Kesimpulan
Seharusnya semua halaman yang mengandung link untuk masuk ke halaman login internet banking juga harus dilindungi dengan https. Karena orang akan mengira link yang ada pada halaman www.klikbca.com pasti bisa dipercaya, padahal tidak karena tidak dilindungi https. Perhatikan Paypal.com, setiap halaman yang mengandung link Login pasti dilindungi dengan https.
Link bisa diilustrasikan seperti orang yang menunjukkan jalan. Bayangkan anda sebagai orang yang tidak tahu jalan, lalu anda bertanya pada orang di jalan. Bila orang yang anda tanya untrusted, maka kemungkinan anda dalam bahaya. Namun bila ada bertanya pada orang yang trusted, maka anda akan selamat.
Tips saya kalau ingin mengakses klikbca, jangan masuk dengan mengklik link yang ada pada halaman yang untrusted. Ketik saja langsung di browser anda https://ibank.klikbca.com .
Semoga Bermanfaat!
Tidak ada komentar:
Posting Komentar