Waspada Teknik Phishing dengan Menggunakan Karakter Unicode pada Domain

Apa bedanya epic.com dan еріс.com . Sekilas terlihat sama tapi itu adalah alamat yang berbeda. Kita akan mudah sekali terpedaya dengan apa yang kita lihat. Keduanya terlihat sama karena ada beberapa karakter dari Unicode terlihat mirip dengan karakter ASCII. Dan ini adalah salah satu cara untuk menggali informasi dari orang lain, teknik ini biasa dikenal sebagai Phishing. Dalam konteks ini adalah penyalahgunaan Unicode domain dalam Domain Name System(DNS).

Phishing bisa saja terjadi pada manusia maupun komputer. Terutama pada manusia, karena kita banyak bertindak hanya berdasarkan persepsi pandangan saja. Makanya kadang hoax menjadi viral karena ini. Ini terjadi pada siapa saja, tak perlu malu atau takut. Yang penting tetap waspada; terjatuh adalah biasa dan menjadi tidak biasa karena terjatuh pada hal yang sama berkali-kali.

Coba bayangkan kekasih anda pada gambar dibawah. Tentu genderang perang dunia ke ӏ0 siap ditabuh.

Punycode

Lalu bagaimana ini bisa terjadi? Sederhana saja, ini semua karena didunia banyak bahasa yang mengunakan gambar karakter yang berbeda dengan awal komputer dibuat. Repesentasi karakter diluar ASCII itu adalah Unicode. Internationalized dalam komputer bukan perkara mudah dan itu juga berefek pada pembuatan software-nya.

Awalnya DNS hanya menggunakan ASCII dan pada perkembangannya dukungan untuk Internationalized Domain Names (IDN) hadir karena kebutuhan. Argumentasinya tidak banyak domain yang bisa dibuat kalau hanya menggunakan karakter ASCII saja dan tentu menyenangkan melihat karakter dari bahasa yang menggunakannya bisa muncul pada internet. Logis tapi menyisakan masalah bagi perancang aplikasi yang tidak menyadari hal seperti ini.

Walaupun ada aturan ketat dari pengelola domain untuk IDN ini dan adanya batasan subset ASCII karakter yang diperbolehkan. Maka digunakan Punycode.

Punycode akan membantu men-transcoded karakter Unicode kedalam subset ASCII yang diperbolehkan. Contohnya ebаy.com (ini ada karakter Unicode-nya) akan diterjemahkan menjadi xn--eby-7cd.com. Ini adalah legal tapi sayangnya pembuat aplikasi kadang melupakan hal seperti ini, terutama bila berurusan dengan pengguna. Security adalah fitur.

Dan ini bukan hal baru, ini sekedar mengingatkan saja. Pada suatu waktu terjadi serangan dengan cara ini di ebаy.com . а-nya itu sebetulnya karakter dalam Unicode. Bayangkan di domain palsu itu dibuat halaman yang sama dengan aslinya dan dibuat seakan-akan session expired. Tentu pengguna dengan lugunya memasukkan user name dan password-nya kembali. Setelah di submit, dibuat seakan-akan website-nya sedang rusak. Cara seperti ini dikenal sebagai IDN Homograph Attack dan tampak mudahnya memancing identity penguna dari sebuah website.

Apalagi sekarang ada mitos https adalah aman. Padahal dengan adanya LetsEncrypt untuk mendapatkan certificate adalah mudah. Kombinasi dari domain palsu dengan https akan makin menyakinkan pengunjung bahwa site itu legit.

Sekali lagi ini membuktikan bahwa manusia adalah bagian yang paling rentan dalam masalah keamanan komputer. Semakin lama teknik melindungi secara sistem makin lebih baik dan pada akhirnya penguna yang terpedaya juga lewat Social engineering.

Chrome

Setiap Web Browser memiliki cara masing-masing menangani masalah seperti ini. Dalam Chrome tidak terkecuali. Sekarang kita akan lihat bagaimana Chrome dalam konteks ini.

Chrome - Apple

Kalau kita masuk ke apple.com, maka kita masuk ke alamat yang tepat.

Dengan alamat аррӏе.com maka kita diarahkan ke server yang berbeda. Tapi alamatnya sudah benar bukan?

Chrome - Epic

Sekarang kita coba kembali ke alamat epic.com. Kita mendapatkan isi yang benar.

Sedangkan kalau kita ke alamat еріс.com. Sama seperti аррӏе.com, kita membuka server yang berbeda.

Chrome 5.8 (Windows)

Chrome cukup tanggap mengenai masalah ini. Oleh karena itu mulai dari versi 5.8 (untuk Windows) secara default Unicode domain akan di munculkan. Seperti pada alamat аррӏе.com .

Dan juga еріс.com .

Firefox

Firefox juga bernasib sama dengan Chrome.

Firefox - Apple

Dengan alamat apple.com, kita dapatkan isi yang tepat.

Sedangkan kalau ke аррӏе.com, maka kita diarahkan ke server yang berbeda.

Firefox - Epic

Begitu juga dengan alamat epic.com .

Dan untuk yang еріс.com, kita kembali mengalami seperti pada Chrome.

Firefox sendiri sudah menyadari masalah ini. Tapi beberapa pertimbangan juga yang membuat config untuk Punycode tidak aktif. Jadi kalau ingin seperti pada Chrome 5.8 (Windows) keatas, aktifkan setting ini menjadi true. Cukup di double-click saja merubahnya.

Opera

Opera juga tidak terbebas dari ini. Mari kita lihat.

Opera - Apple

Dengan domain apple.com, kita mendapatkan isi yang diharapkan.

Untuk yang аррӏе.com, kita mengalami nasib yang sama dengan kedua browser diatas.

Opera - Epic

Sama dengan diatas, domain epic.com dapat bekerja seperti yang diharapkan.

Begitu pula dengan domain еріс.com ini.

Opera Info

Sayangnya Opera belum ada update atau workround untuk ini. Walaupun begitu Opera menyediakan bantuan untuk melihat ini. Pada domain аррӏе.com, kalau kita buka icon lock. Maka kita akan melihat domain sebenarnya. Jadi berhati-hati juga, walaupun kemungkinan besar pengguna tidak mengecek kesana. Potensi cukup besar untuk terkecoh.

Untuk domain еріс.com, kita bisa melihat alamatnya juga.

Edge

Browser Edge ini memang secara default sudah ter-lockdown. Yang dimaksud adalah kebanyakkan setting-nya dibuat ketat mungkin.

Edge - Apple

Dengan domain apple.com .

Sedangkan untuk domain аррӏе.com ini, terlihat nama domain aslinya.

Edge - Epic

Sama halnya dengan epic.com .

Dan juga untuk еріс.com .

Brave

Brave juga sama seperti Edge dalam setting default-nya.

Brave - Apple

Dengan domain apple.com, berjalan normal.

Seperti halnya dengan Edge, domain аррӏе.com akan terlihat nama aslinya.

Brave - Epic

Begitu pula dengan epic.com .

Serta untuk domain еріс.com .

Kode

Melihat kedalam kode Unicode yang sebetulnya angka yang akan diterjemahkan ke gambar karakter. Kita akan melihat beda nilai dari itu.

Kode dibawah menunjukan gambar karakter yang muncul dilayar tidak selamanya bernilai sama. Untuk yang apple, kalau kita perhatikan maka akan terlihat berbeda. Sedangkan untuk yang epic, sulit membedakannya.

Kalau penasaran, coba jalankan potongan kode Go ini.

Penutup

Dalam ilustrasi diatas kita disajikan domain dalam Web Browser yang lebih mudah mendeteksinya. Dan implementasi dari masalah ini akan banyak variasinya, seperti diterapkan untuk serangan multi vector (Malware dan Phishing) pada email. Kebanyakkan email client kurang bisa menangani hal seperti ini.

Seperti bang Napi sering katakan, Waspadalah!(3x)

Referensi

• Internationalized Domain Names (IDNs) in Google Chrome
• SysAdminotaur 30 Vault
• Wikipedia: Internationalized Domain Names (IDN)
• Wikipedia: IDN Homograph Attack
• Wikipedia: Punycode
• Wikipedia: Unicode
• Wikipedia: ASCII
• Wikipedia: Phishing
• Wikipedia: Domain Name System(DNS)
• Cover: Food vector created by 3ab2ou - Freepik.com