Awas! Serangan IDN homograph Membuat Pengguna Chrome dan Firefox Bisa Tertipu

Apakah anda pengguna Google Chrome atau Mozilla Firefox? Bila jawabnya “Ya”, anda perlu membaca artikel ini sampai selesai, sebab menyangkut keamanan akun anda, misalnya akun surél (email) dan akun e-banking. Bila anda merasa sudah ahli komputer, tolong, setidaknya bacalah empat paragraf di bawah ini. Demi keamanan anda sendiri dan orang-orang terdekat anda. Serangan ini masih berdampak pada peramban (web browser) terbaru yaitu Google Chrome versi 57.0.2987 dan Mozilla Firefox versi 52.0.2.

Saya yakin anda sudah tahu apa itu Phising.
Seorang penipu mengirim surél, mengaku dirinya adalah pegawai suatu perusahaan resmi, mengabarkan bahwa ada suatu masalah pada akun anda yang harus segera diselesaikan dengan cara mengklik tautan (link) tertentu. Saya juga yakin anda sudah tahu bagaimana cara membédakan antara situs web (web site) asli dengan situs web palsu.

Pertama kali, anda melihat nama domainnya. Terlihat tidak ada yang berbéda atau mencurigakan. Kemudian anda meng-klik tautan tersebut. Terbukalah jendéla Google Chrome atau Mozilla Firefox yang membawa anda kepada situs web yang dimaksud.

Langkah keamanan ke dua adalah memperhatikan ikon (icon) gembok hijau. Umumnya orang menyangka bahwa bila terlihat ikon gembok hijau, berarti aman. Bila ikonnya berwarna abu-abu atau hitam dan berupa gembok terbuka, berarti tidak aman. Karena anda melihat gembok warna hijau, berarti aman. Lalu anda mengetik nama pengguna (username) dan kata sandi (password).

Apakah itu yang anda lakukan?
Bila jawabnya “Ya”, maka saya mengucapkan “Selamat”. Anda telah menjadi korban penipuan gaya baru, yang menggunakan téknik Serangan IDN Homograph (IDN Homograph Attack). Tidak ada perbédaan visual antara situs web asli dengan situs web palsu, padahal sérvernya berbéda!

Kok bisa? Anda terkejut? Ayo baca terus artikel ini.

A. TEKNIK SERANGAN IDN HOMOGRAPH.

Sebenarnya téknik ini telah ditemukan cukup lama, yaitu sekitar tahun 2001 saat dua peneliti asal Israél bernama Evgeniy Gabrilovich dan Alex Gontmakher menulis pada sebuah paper, tapi beritanya baru meledak setelah Xudong Zheng menulis blog berjudul “Phishing with Unicode Domains” pada tanggal 14 April 2014 dan didiskusikan di netsec subreddit. Seperti kita ketahui, selain karakter Inggris yang hurufnya ada di papan ketik (keyboard) US, juga ada karakter unicode yang digunakan pada bahasa Spanyol, Portugis, China, dan sebagainya. Contoh karakter tersebut adalah Ã, Æ, Ç, È, É, dan Ñ.

Karena itulah, nama domain bisa berupa huruf Russia, China, bahkan Arab! Contohnya adalah situs web Kementrian Komunikasi dan Téknologi Mesir yang beralamat di http://موقع.وزارة-الأتصالات.مصر/

Di dalam karakter Cyrillic (huruf Rusia) terdapat sekurang-kurangnya 11 karakter yang secara visual sangat mirip dengan karakter Latin. Karakter-karakter inilah yang kemudian dimanfaatkan para penipu untuk mengécoh korbannya.

Nama domain yang menggunakan karakter unicode, punycode-nya diawali oléh string xn--.
Contoh: Nama domain mãwãn.net (perhatikan ada perbédaan pada huruf “a”) punycode-nya adalah xn--mwn-mlab.net. Dengan demikian, anda bisa membuka alamat web mãwãn.net dengan dua cara:

  • Mengetik mãwãn.net atau
  • mengetik xn--mwn-mlab.net
Bilah URL yang menampilkan mãwãn.net

Bilah URL yang menampilkan mãwãn.net

Masalahnya adalah:
Google Chrome dan Mozilla Firefox menampilkan nama domain mãwãn.net di bilah URL dalam bentuk mãwãn.net dan bukan xn--mwn-mlab.net. Ini bisa menjadi masalah sebab banyak huruf unicode yang sepintas sangat mirip. Contoh: Huruf c mirip dengan huruf ç ć ĉ ċ dan č.

Di sinilah letak “biang kérok”-nya. Penipu bisa mendaftarkan nama domain mãwãn.net (xn--mwn-mlab.net) kemudian mendapatkan sértifikat SSL dari LetsEncrypt secara gratis (supaya ikon gemboknya berwarna hijau), sehingga hanya dalam waktu 5 menit si penipu bisa membuat situs web palsu yang secara visual sangat mirip dengan situs web mawan.net yang asli. Setelah itu, si penipu memancing kita agar mengetik nama pengguna dan kata sandi. Bagaimana bila yang dipalsu adalah situs web Paypal? Atau situs e-banking? Berbahaya bukan?

Cek apakah anda berésiko menjadi korban phising jenis ini?
Klik ini: http://www.mãwãn.net

Mau contoh yang lebih ékstrim tingkat kemiripannya?

  • уаҺоо
  • ргіոсеѕѕ

Dua contoh di atas dibagun dari huruf-huruf unicode yang tidak ada di papan ketik berbahasa Inggris. Bagi mata kita sama dengan yahoo dan princess, tapi bagi komputer berbéda karena mémang kode  hurufnya berbéda!
Kalau anda tidak percaya, lakukan saja pencarian (Ctrl+F atau Find) terhadap string yahoo dan princess. Pasti dua contoh di atas akan terléwati (tidak terdetéksi oléh komputer).

B. CARA MENANGGULANGI

Sayang sekali, sampai artikel ini ditulis, hanya Mozilla Firefox yang bisa “diobati”. Sedangkan pengembang Google Chrome berjanji akan segera memperbaikinya.

Untuk Mozilla Firefox, caranya adalah:

  1. Di bilah lokasi (location bar), ketik: about:config lalu tekan tombol Enter.
  2. Klik: I accept the risk.
  3. Cari: punycode
  4. Anda akan melihat paraméter berjudul network.IDN_show_punycode
  5. Ubah nilainya dari False menjadi True.

Untunglah Microsoft Internét Explorer dan Apple Safari tidak terkena dampak dari jenis serangan ini.

Bila anda merasa artikel ini bermanfaat, tolong disebarkan (di-share). Terima kasih.

Référénsi:
https://en.wikipedia.org/wiki/IDN_homograph_attack

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Save

Web Hosting

One Response to “Awas! Serangan IDN homograph Membuat Pengguna Chrome dan Firefox Bisa Tertipu”
  1. urwah 11 May 2018

Leave a Reply