Apa Itu Clickjacking ? - Blog Rizki M Farhan
Skip to content Skip to sidebar Skip to footer
Lacak seluruh pasar di TradingView
Home / Cyber Security / Informasi

Apa Itu Clickjacking ?

Oleh Rizki M Farhan

Apa Itu Clickjacking ?


Apa Itu Clickjacking ?

Clickjacking merupakan suatu teknik serangan pada website dengan cara menipu pengguna (user) orang lain dengan mengklik sebuah tombol atau tautan berupa link yang terdapat sebuah script untuk mendapatkan sebuah informasi dengan cara mencuri data - data informasi.
Teknik hacking serangan bug terhadap clickjacking mengacu pada eksploitasi kerentanan atau bug dalam implementasi clickjacking pada suatu situs web atau aplikasi. Clickjacking adalah teknik di mana penyerang menipu pengguna untuk melakukan klik pada elemen yang tersembunyi atau tidak diinginkan di dalam halaman web, yang sebenarnya mengarah pada tindakan yang merugikan atau tidak diinginkan. Serangan clickjacking dapat dimanfaatkan dengan berbagai cara, termasuk pemasangan malware, pencurian informasi, atau melakukan aksi tidak sah atas nama pengguna.

Dalam konteks teknik hacking serangan bug terhadap clickjacking, penyerang mencari dan memanfaatkan bug atau kelemahan dalam cara implementasi clickjacking pada suatu situs web. Beberapa contoh kerentanan atau bug yang dapat dimanfaatkan untuk serangan clickjacking termasuk :
1. Kurangnya X-Frame-Options : X-Frame-Options adalah header HTTP yang dapat digunakan untuk mengontrol perilaku framing pada browser. Jika situs web tidak mengatur atau mengaktifkan header ini, maka situs tersebut rentan terhadap serangan clickjacking.

2. Penggunaan CSS atau Teknik Framing yang Tidak Aman : Penggunaan CSS atau teknik framing yang tidak aman dapat menyebabkan elemen-elemen halaman web dapat ditumpuk secara tidak diinginkan, sehingga memungkinkan serangan clickjacking.

3. Manipulasi Konten IFrame : Jika suatu situs web memuat konten dari situs lain melalui IFrame, penyerang dapat memanipulasi konten IFrame tersebut untuk menampilkan elemen-elemen clickjacking.

4. Kerentanan pada Plugin atau Widget Eksternal : Situs web yang menggunakan plugin atau widget eksternal yang rentan terhadap serangan clickjacking dapat dieksploitasi oleh penyerang.

Dengan memanfaatkan bug atau kerentanan semacam itu, penyerang dapat membuat skrip atau payload yang memanipulasi elemen-elemen halaman web untuk melakukan clickjacking secara efektif. Ini dapat digunakan untuk melakukan serangkaian tindakan berbahaya, termasuk pengalihan ke situs phishing, pemasangan malware, pencurian kredensial, atau pengambilan aksi tertentu atas nama pengguna yang tidak diinginkan. Serangan ini dilakukan oleh seseorang dengan cara menipu pengguna (user) orang lain pada sebuah website agar mengklik tombol atau tautan link yang terdapat sebuah script untuk mencuri data dan mendapatkan informasi.  

Untuk melindungi situs web dari serangan clickjacking, penting untuk menerapkan praktik keamanan yang tepat, seperti pengaturan header X-Frame-Options yang benar, penggunaan teknik CSS atau framing yang aman, serta melakukan audit keamanan secara berkala untuk mendeteksi dan memperbaiki kerentanan clickjacking serta bug keamanan lainnya. Namun, saya dapat memberikan contoh serangan yang sering terjadi dan menggunakan istilah yang Anda sebutkan :

1. Cursor Jacking (Kursor Diculik) :

  • Cursor Jacking adalah serangan teknik ini untuk menipu pengguna agar mengklik sesuatu untuk mendapatkan informasi pada sebuah objek yang terdapat halaman web.
  • Cara Kerja : Penyerang menggunakan teknik clickjacking untuk menampilkan elemen di halaman web yang tersembunyi tetapi terbuka di belakang elemen lain. Elemen yang tersembunyi ini biasanya berukuran sangat kecil sehingga tidak terlihat oleh pengguna. Ketika pengguna melakukan klik di area yang seharusnya aman, mereka sebenarnya melakukan klik pada elemen tersembunyi yang dapat melakukan aksi tidak sah. 
  • Contoh : Penyerang membuat tombol "Download" yang sebenarnya tersembunyi di bawah kursor mouse. Ketika pengguna mencoba menutup pop-up atau elemen lain, mereka sebenarnya mengklik tombol "Download" yang mengunduh file malware.

2. Like Jacking (Penculikan Like) :

  • Like Jacking adalah serangan teknik untuk menyukai (like) halaman account (akun) fanspage facebook yang seharusnya tidak dia ketahui.
  • Cara Kerja : Penyerang menggunakan clickjacking untuk menipu pengguna agar "mengklik" tombol "Suka" atau "Like" pada halaman web yang tidak mereka sadari. Ini dapat menghasilkan peningkatan jumlah "like" palsu pada suatu konten atau halaman.
  • Contoh : Penyerang membuat elemen yang tersembunyi di atas tombol "Like" pada suatu postingan media sosial. Ketika pengguna mengklik elemen yang mereka lihat, mereka sebenarnya mengklik tombol "Like" tanpa sepengetahuan mereka.

3. Cookie / Session Jacking (Penculikan Sesi) :

  • Cara Kerja : Serangan ini bertujuan untuk mencuri atau memanipulasi sesi pengguna yang aktif. Penyerang menggunakan clickjacking untuk memaksa pengguna melakukan tindakan tertentu yang dapat menyebabkan akses tidak sah ke sesi pengguna atau pengambilan kontrol atas sesi tersebut.
  • Contoh : Penyerang membuat elemen yang tersembunyi di atas tombol "Logout" di suatu situs web. Ketika pengguna mengklik elemen tersebut, mereka sebenarnya keluar dari sesi mereka tanpa sepengetahuan mereka, yang dapat dimanfaatkan oleh penyerang.
  • Cookie / Session Jacking adalah serangan teknik ini mengambil cookie dari sebuah browser web untuk mendapatkan sebuah informasi sehingga dapat mengetahui data - data user (pengguna) orang lain.

4. UI Redressing (UI Hacking) :

  • Cara Kerja : Penyerang menggunakan clickjacking untuk menampilkan elemen-elemen atau antarmuka pengguna (UI) yang mengelabui pengguna agar melakukan tindakan tertentu, seperti mengisi formulir atau melakukan aksi yang tidak diinginkan.
  • Contoh : Penyerang menampilkan formulir login yang tersembunyi di belakang elemen lain sehingga pengguna secara tidak sengaja mengisi formulir login saat mencoba mengklik area lain di halaman web.

5. Scroll Hijacking (Penculikan Gulir) :

  • Cara Kerja : Penyerang menggunakan clickjacking untuk mengganti perilaku gulir (scroll) halaman web, sehingga pengguna dapat secara tidak sengaja menggulir halaman atau memicu tindakan tertentu saat mencoba menggulir konten.
  • Contoh : Penyerang menampilkan tombol "Scroll Down" yang sebenarnya tersembunyi di belakang elemen lain. Saat pengguna mencoba menggulir halaman web, mereka sebenarnya mengklik tombol "Scroll Down" yang menyebabkan halaman bergulir ke bawah.

6. Keystroke Recording (Perekaman Pekerjaan Tombol) :

  • Cara Kerja : Penyerang menggunakan clickjacking untuk menciptakan elemen yang tidak terlihat tetapi menangkap atau merekam setiap ketukan tombol yang dilakukan oleh pengguna di halaman web yang diserang.
  • Contoh : Penyerang menyembunyikan elemen di atas area teks atau formulir yang mengumpulkan data input pengguna. Setiap kali pengguna mengetik sesuatu, keystroke tersebut direkam oleh penyerang.

7. Drag and Drop Hijacking (Penculikan Seret dan Lepas) :

  • Cara Kerja : Penyerang menggunakan clickjacking untuk menipu pengguna agar melakukan tindakan seret dan lepas pada elemen tertentu, yang sebenarnya menyebabkan aksi tidak diinginkan seperti transfer file atau tindakan lainnya.
  • Contoh : Penyerang menampilkan elemen seret dan lepas yang mengarah ke "Transfer Uang" ketika pengguna seharusnya hanya menyeret elemen gambar.
Harap diingat bahwa contoh-contoh ini bertujuan untuk memberikan pemahaman tentang bagaimana serangan clickjacking dapat dimanfaatkan dalam situasi tertentu. Praktik-praktik ini melanggar hukum dan etika keamanan informasi, dan penting untuk selalu mematuhi hukum dan kebijakan keamanan yang berlaku. Untuk melindungi diri dari serangan clickjacking, berikut beberapa langkah yang dapat diambil:
  • Pengguna : Perhatikan tindakan yang Anda lakukan di halaman web, hindari mengklik elemen yang mencurigakan atau tidak diinginkan, dan pastikan browser Anda diperbarui dengan versi terbaru yang memiliki fitur keamanan clickjacking.
  • Pengembang Web : Pastikan aplikasi web Anda memiliki header HTTP yang tepat seperti `X-Frame-Options` yang mengarahkan browser untuk memblokir tindakan framing jika Anda tidak memerlukannya, dan gunakan CSS atau teknik lain untuk mencegah tumpang tindih elemen-elemen yang dapat dimanfaatkan untuk clickjacking.
  • Perusahaan Keamanan Informasi : Lakukan pemantauan dan audit terhadap aplikasi web secara teratur untuk mendeteksi dan merespons serangan clickjacking serta kerentanan keamanan lainnya.
Dengan meningkatkan kesadaran dan menerapkan langkah - langkah keamanan yang tepat, pengguna dan pengembang web dapat membantu mengurangi risiko serangan clickjacking.

Penting untuk diingat bahwa semua bentuk clickjacking bertujuan untuk menipu pengguna dan melakukan tindakan yang merugikan. Praktik-praktik ini melanggar hukum dan etika keamanan informasi. Pengguna dan pengembang web harus berhati-hati terhadap tindakan clickjacking dan selalu menjaga keamanan aplikasi dan perilaku browsing mereka.
Rizki M Farhan
Rizki M Farhan Saya adalah seorang penulis konten artikel untuk belajar yang membahas Teknologi Layanan Pendidikan Internet.