Skimming web: Perbedaan antara revisi
Konten dihapus Konten ditambahkan
menambah isi artikel baru |
menambah isi artikel baru Tag: kemungkinan perlu pemeriksaan terjemahan VisualEditor |
||
Baris 1:
{{In use}}
'''''Skimming'' web''', juga dikenal sebagai ''skimming'' digital adalah teknik peretasan yang menargetkan bisnis digital dengan memanipulasi aplikasi web sisi klien yang tidak terkontrol dan disusupi. Biasanya, serangan ini dimulai dengan menempatkan kode JavaScript (JS) berbahaya secara strategis pada pembayaran situs web dan laman tempat pengguna yang tidak menaruh curiga memasukkan informasi pribadi maupun keuangan secara mendetail. Platform yang diserang umumnya ditemukan pada situs e-niaga. Namun, platform perbankan, keuangan, perawatan kesehatan, perjalanan, dan layanan elektronik lainnya juga menjadi incaran dalam peretasan.<ref name=":0">{{Cite web|last=Sharabi|first=Daniel|date=2021-04-26|title=All You Need to Know About Web Skimming Attacks|url=https://www.reflectiz.com/blog/all-you-need-to-know-about-web-skimming-attacks/|website=Reflectiz|language=en-US|access-date=2023-04-12}}</ref>
== Jenis Skimming Web ==▼
Penjahat dunia maya kini telah mulai menempatkan ''skimer'' web dan skrip ''Magecart'' ke dalam gambar, logo, dan favicon untuk menambahkannya ke pustaka JavaScript populer atau dalam beberapa kasus menyembunyikannya di widget situs web seperti obrolan langsung yang ditemukan di setiap situs web e-''service'' saat ini.
=== Serangan Langsung ===▼
Serangan langsung merupakan jenis skimming web melalui kode skimming (''malware'') yang telah ditanamkan pada web yang akan dieksploitasi. Jenis serangan ini cukup sulit dilakukan karena membutuhkan perencanaan dan koordinasi yang tepat. Agar menemukan detail dan kredensial admin yang tepat, peretas dapat mengotomatiskan kredensial login. Selain itu, peretas juga dapat mengeksploitasi kelemahan ''zero-day''.<ref name=":0" />▼
▲Serangan langsung merupakan jenis ''skimming'' web melalui kode ''skimming'' (''malware'') yang telah ditanamkan pada web yang akan dieksploitasi. Jenis serangan ini cukup sulit dilakukan karena membutuhkan perencanaan dan koordinasi yang tepat. Agar menemukan detail dan kredensial admin yang tepat, peretas dapat mengotomatiskan kredensial login. Selain itu, peretas juga dapat mengeksploitasi kelemahan ''zero-day''.<ref name=":0" />
=== Serangan rantai pasokan perangkat lunak situs web ===
Jenis serangan ini menjadi populer karena penggunaannya yang meluas oleh pihak ketiga (saat ini rata-rata lebih dari 60 situs ''e-commerce''). Sementara pihak ketiga ini meningkatkan fitur dengan cepat, mereka juga membuat dependensi baru. Malware disuntikkan ke situs hosting pihak ketiga tepercaya dan muatannya kemudian dijalankan di semua situs menggunakan aplikasi web.<ref name=":0" />
Serangan-serangan tersebut tidak sepenuhnya efektif apabila diatasi dengan solusi dan alat keamanan aplikasi tradisional karena ''malware'' tertanam dalam kode asli pihak ketiga. Metode kebingungan juga berkembang sehingga mempersulit CISO (''Chief Information Security Officer'') dan tim keamanan. Aksi terjadi di sisi klien, di mana korban yang tidak menaruh curiga tidak tahu apa yang terjadi sampai semuanya terlambat dan pelanggaran telah terjadi.
== Eksekusi skimming web ==
Pada dasarnya serangan skimming web adalah serangan rantai pasokan perangkat lunak melalui situs web pihak ketiga yang dieksploitasi dan dapat menjangkau ratusan atau ribuan situs web. Server web pihak ketiga ini menjadi sasaran peretas karena HTML/JavaScript pihak ketiga dikirim ke situs web dari repositori yang sama sekali berbeda dan tidak dapat dikontrol oleh pemilik situs web (serta tidak dapat dikontrol secara langsung). Hal ini memberikan akses tidak sah kepada penyerang ke beberapa perpustakaan pihak ketiga. Ini masalah menambahkan kode enkripsi ke salah satu file JavaScript yang ada dan menyembunyikannya.
== Referensi ==
| |||