Pembajakan klik
Penyemuan tekan atau clickjacking (diklasifikasikan sebagai serangan ganti rugi antarmuka pengguna atau ganti rugi UI ) adalah teknik berbahaya untuk mengelabui pengguna agar mengklik sesuatu yang berbeda dari apa yang dirasakan pengguna, sehingga berpotensi mengungkapkan informasi rahasia atau membiarkan orang lain mengambil kendali komputer mereka saat mengklik tampaknya objek yang tidak berbahaya, termasuk halaman web . [1] [2] [3] [4] [5]
Penyemuan tekan adalah contoh dari masalah deputi yang membingungkan, di mana komputer tertipu untuk menyalahgunakan otoritasnya. [6]
Keterangan
[sunting | sunting sumber]Salah satu bentuk penyemuan tekan memanfaatkan kerentanan yang ada di aplikasi atau halaman web untuk memungkinkan penyerang memanipulasi komputer pengguna untuk keuntungan mereka sendiri.
Misalnya, laman yang diklik mengelabui pengguna agar melakukan tindakan yang tidak diinginkan dengan mengeklik tautan tersembunyi. Pada halaman yang diklik, penyerang memuat halaman lain di atas halaman asli dalam lapisan transparan untuk mengelabui pengguna agar mengambil tindakan, yang hasilnya tidak akan sama seperti yang diharapkan pengguna. Pengguna yang tidak curiga berpikir bahwa mereka mengklik tombol yang terlihat, padahal mereka sebenarnya melakukan tindakan pada halaman yang tidak terlihat, mengklik tombol halaman di bawah lapisan. Halaman tersembunyi mungkin merupakan halaman autentikasi; oleh karena itu, penyerang dapat mengelabui pengguna agar melakukan tindakan yang tidak pernah diinginkan pengguna. Tidak ada cara untuk melacak tindakan tersebut ke penyerang nanti, karena pengguna akan benar-benar diautentikasi di halaman tersembunyi.
Kategori penyemuan tekan
[sunting | sunting sumber]- Klasik: sebagian besar berfungsi melalui browser web [7]
- Likejacking: memanfaatkan kemampuan media sosial Facebook [8] [9]
- Bersarang: clickjacking yang disesuaikan untuk memengaruhi Google+ [10]
- Cursorjacking: memanipulasi tampilan dan lokasi kursor [7]
- MouseJacking : menyuntikkan input keyboard atau mouse melalui tautan RF jarak jauh [11]
- Browserless: tidak menggunakan browser [7]
- Cookiejacking : memperoleh cookie dari browser [7] [12]
- Filejacking: mampu mengatur perangkat yang terpengaruh sebagai server file [7] [13] [14]
- Serangan pengelola kata sandi: clickjacking yang memanfaatkan kerentanan dalam kemampuan pengisian otomatis browser [7]
Referensi
[sunting | sunting sumber]- ^ Robert McMillan (17 September 2008). "At Adobe's request, hackers nix 'clickjacking' talk". PC World. Diarsipkan dari versi asli tanggal 2015-07-17. Diakses tanggal 2008-10-08.
- ^ Megha Dhawan (29 September 2008). "Beware, clickjackers on the prowl". The Times of India. Diarsipkan dari versi asli tanggal 24 July 2009. Diakses tanggal 2008-10-08.
- ^ Dan Goodin (7 October 2008). "Net game turns PC into undercover surveillance zombie". The Register. Diakses tanggal 2008-10-08.
- ^ Fredrick Lane (8 October 2008). "Web Surfers Face Dangerous New Threat: 'Clickjacking'". newsfactor.com. Diarsipkan dari versi asli tanggal 13 October 2008. Diakses tanggal 2008-10-08.
- ^ Shahriar, Hossain; Devendran, Vamshee Krishna (2014-07-04). "Classification of Clickjacking Attacks and Detection Techniques". Information Security Journal: A Global Perspective (dalam bahasa Inggris). 23 (4–6): 137–147. doi:10.1080/19393555.2014.931489. ISSN 1939-3555.
- ^ The Confused Deputy rides again!, Tyler Close, October 2008
- ^ a b c d e f Niemietz, Marcus (2012). "UI Redressing Attacks on Android Devices" (PDF). Black Hat.
- ^ "Viral clickjacking 'Like' worm hits Facebook users". Naked Security (dalam bahasa Inggris). 2010-05-31. Diakses tanggal 2018-10-23.
- ^ "Facebook Worm – "Likejacking"". Naked Security (dalam bahasa Inggris). 2010-05-31. Diakses tanggal 2018-10-23.
- ^ Lekies, Sebastian (2012). "On the fragility and limitations of current Browser-provided Clickjacking protection schemes" (PDF). USENIX.
- ^ "Wireless Mouse Hacks & Network Security Protection". MOUSEJACK (dalam bahasa Inggris). Diakses tanggal 2020-01-03.
- ^ Valotta, Rosario (2011). "Cookiejacking". tentacoloViola – sites.google.com. Diarsipkan dari versi asli tanggal 2019-08-07. Diakses tanggal 2018-10-23.
- ^ "Filejacking: How to make a file server from your browser (with HTML5 of course)". blog.kotowicz.net. Diakses tanggal 2018-10-23.
- ^ "Password Managers: Attacks and Defenses" (PDF). Diakses tanggal 26 July 2015.