Header Ads

Chrome dan Firefox Rentan Terhadap Serangan Phishing yang Tidak Diketahui

Copyhitam.com - Browser saat ini sangat mendukung kinerja dari system karena kebanyakan system terutama yang berbasis web yaitu dengan browser dan memang secara fisicly sebagai sarana untuk terhubung dengan mesininformasi besar yaitu Google,Terlepas dari semua inovasi tersebut, terdapat serangan phishing "lama" terus membuat banyak korban dan menjadi inspirasi untuk serangan lebih lanjut. 

Biasanya, jenis serangan ini tiba melalui e-mail yang menyajikan link yang ternyata bisa dipercaya dan bahkan dikenal. Tapi sebenarnya tidak!

Bagi mereka yang menggunakan Chrome atau Firefox sadar karena tampilannya, mungkin tidak!Browser saat ini alat mendasar dalam sistem apapun. Keamanan pengguna adalah titik kunci, tapi tahukah Anda bahwa browser yang paling populer bisa menipu Anda? Benar, misalkan misalnya di address bar ada URL bank anda dan linknya malah sudah https. 

Rupanya semuanya baik-baik saja dan kami seharusnya menghadapi situs web yang aman, namun, di Chrome dan Firefox, mungkin tidak seperti itu.


Punycode! Tapi apa masalahnya?
Masalahnya ada pada URL itu sendiri yang walaupun sepertinya sah bukan, ini karena karakter Unicode yang mengizinkan URL dengan karakter yang ada dalam bahasa lain yang sangat mirip dengan yang kita kenal. Baik Chrome dan Firefox menampilkan link dengan karakter Unicode dan tidak dalam format Punycode.

Mari ambil contohnya
Di situs Wordfence, ada contoh yang memungkinkan untuk lebih memahami "kegagalan" ini di browser. Untuk ini, domain "epic.com" dibuat yang mengarah ke situs palsu (tapi alamatnya terlihat seperti aslinya). 

Jika kita upload ke situs ini kita menyadari bahwa kita sebenarnya tidak mengakses epic.com melainkan domain https://www.xn--e1awd7f.com. Namun, jika Anda ingin melihat demonstrasi serangan Phishing ini maka cukup klik di sini.

Chrome dan Firefox Rentan Terhadap Serangan Phishing yang Tidak Diketahui

Namun, ini hanya terjadi di Chrome dan Firefox karena kedua browser ini tidak memiliki alamat dalam format Punycode. Bug ini mempengaruhi versi Chrome saat ini (57.0.2987) dan juga Firefox (52.0.2). Di Internet Explorer dan Safari tidak ada masalah. Bagaimana masalah bisa diatasi di Firefox:

Di address bar anda tuliskan 'about: config' tanpa spasi.
Carilah 'Punycode' tanpa petik.

Anda harus menemukan parameter yang berjudul: network.IDN_show_punycode
Ubah nilai dari false menjadi true.

Sekarang, jika Anda bereksperimen setelah menetapkan yang benar, saat mengunjungi lokasi demonstrasi seharusnya terlihat seperti ini:

Chrome dan Firefox Rentan Terhadap Serangan Phishing yang Tidak Diketahui
Untuk Google Chrome masih belum ada metode untuk diperbaiki namun segera setelah tersedia, saya akan mengepost  berita tersebut.

2 comments:

Powered by Blogger.