Apa bedanya [epic.com][] dan [еріс.com][] . Sekilas terlihat sama tapi itu adalah alamat yang berbeda. Kita akan mudah sekali terpedaya dengan apa yang kita lihat. Keduanya terlihat sama karena ada beberapa karakter dari [Unicode][] terlihat mirip dengan karakter [ASCII][]. Dan ini adalah salah satu cara untuk menggali informasi dari orang lain, teknik ini biasa dikenal sebagai [Phishing][]. Dalam konteks ini adalah penyalahgunaan [Unicode][] _domain_ dalam [Domain Name System(DNS)][DNS].

[Phishing][] bisa saja terjadi pada manusia maupun komputer. Terutama pada manusia, karena kita banyak bertindak hanya berdasarkan persepsi pandangan saja. Makanya kadang _hoax_ menjadi _viral_ karena ini. Ini terjadi pada siapa saja, tak perlu malu atau takut. Yang penting tetap waspada; terjatuh adalah biasa dan menjadi tidak biasa karena terjatuh pada hal yang sama berkali-kali.

Coba bayangkan kekasih anda pada gambar dibawah. Tentu genderang perang dunia ke ӏ0 siap ditabuh.

![alt text][i-kiss]

### Punycode

Lalu bagaimana ini bisa terjadi? Sederhana saja, ini semua karena didunia banyak bahasa yang mengunakan gambar karakter yang berbeda dengan awal komputer dibuat. Repesentasi karakter diluar [ASCII][] itu adalah [Unicode][]. _Internationalized_ dalam komputer bukan perkara mudah dan itu juga berefek pada pembuatan _software_-nya.

Awalnya [DNS][] hanya menggunakan [ASCII][] dan pada perkembangannya dukungan untuk [Internationalized Domain Names (IDN)][IDN] hadir karena kebutuhan. Argumentasinya tidak banyak _domain_ yang bisa dibuat kalau hanya menggunakan karakter [ASCII][] saja dan tentu menyenangkan melihat karakter dari bahasa yang menggunakannya bisa muncul pada _internet_. Logis tapi menyisakan masalah bagi perancang aplikasi yang tidak menyadari hal seperti ini.

Walaupun ada aturan ketat dari pengelola _domain_ untuk [IDN][] ini dan adanya batasan _subset_ [ASCII][] karakter yang diperbolehkan. Maka digunakan [Punycode][].

[Punycode][] akan membantu men-_transcoded_ karakter [Unicode][] kedalam _subset_ [ASCII][] yang diperbolehkan. Contohnya [ebаy.com][] (ini ada karakter [Unicode][]-nya) akan diterjemahkan menjadi [xn--eby-7cd.com][]. Ini adalah legal tapi sayangnya pembuat aplikasi kadang melupakan hal seperti ini, terutama bila berurusan dengan pengguna. _Security_ adalah fitur.

Dan ini bukan hal baru, ini sekedar mengingatkan saja. Pada suatu waktu terjadi serangan dengan cara ini di [ebаy.com][] . __а__-nya itu sebetulnya karakter dalam [Unicode]. Bayangkan di _domain_ palsu itu dibuat halaman yang sama dengan aslinya dan dibuat seakan-akan _session expired_. Tentu pengguna dengan lugunya memasukkan _user name_ dan _password_-nya kembali. Setelah di _submit_, dibuat seakan-akan _website_-nya sedang rusak. Cara seperti ini dikenal sebagai [IDN Homograph Attack][] dan tampak mudahnya memancing _identity_ penguna dari sebuah _website_.

Apalagi sekarang ada mitos _https_ adalah aman. Padahal dengan adanya [LetsEncrypt][] untuk mendapatkan _certificate_ adalah mudah. Kombinasi dari _domain_ palsu dengan _https_ akan makin menyakinkan pengunjung bahwa _site_ itu _legit_.

Sekali lagi ini membuktikan bahwa manusia adalah bagian yang paling rentan dalam masalah keamanan komputer. Semakin lama teknik melindungi secara sistem makin lebih baik dan pada akhirnya penguna yang terpedaya juga lewat [Social engineering][].

![alt text][i-vault]

### Chrome

Setiap _Web Browser_ memiliki cara masing-masing menangani masalah seperti ini. Dalam [Chrome][] tidak terkecuali. Sekarang kita akan lihat bagaimana [Chrome][] dalam konteks ini.

#### Chrome - Apple

Kalau kita masuk ke [apple.com][], maka kita masuk ke alamat yang tepat.

![alt text][i-apple-chrome-norm]

Dengan alamat [аррӏе.com][] maka kita diarahkan ke _server_ yang berbeda. Tapi alamatnya sudah benar bukan?

![alt text][i-apple-chrome-uni]

#### Chrome - Epic

Sekarang kita coba kembali ke alamat [epic.com][]. Kita mendapatkan isi yang benar.

![alt text][i-epic-chrome-norm]

Sedangkan kalau kita ke alamat [еріс.com][]. Sama seperti [аррӏе.com][], kita membuka server yang berbeda.

![alt text][i-epic-chrome-uni]

#### Chrome 5.8 (Windows)

[Chrome][] cukup tanggap mengenai masalah ini. Oleh karena itu mulai dari versi 5.8 (untuk _Windows_) secara _default_ [Unicode][] _domain_ akan di munculkan. Seperti pada alamat [аррӏе.com][] .

![alt text][i-apple-chrome-uni-fix]

Dan juga [еріс.com][] .

![alt text][i-epic-chrome-uni-fix]

### Firefox

[Firefox][] juga bernasib sama dengan [Chrome][].

#### Firefox - Apple

Dengan alamat [apple.com][], kita dapatkan isi yang tepat.

![alt text][i-apple-ff-norm]

Sedangkan kalau ke [аррӏе.com][], maka kita diarahkan ke _server_ yang berbeda.

![alt text][i-apple-ff-uni]

#### Firefox - Epic

Begitu juga dengan alamat [epic.com][] .

![alt text][i-epic-ff-norm]

Dan untuk yang [еріс.com][], kita kembali mengalami seperti pada [Chrome][].

![alt text][i-epic-ff-uni]

[Firefox][] sendiri sudah menyadari masalah ini. Tapi beberapa pertimbangan juga yang membuat _config_ untuk [Punycode][] tidak aktif. Jadi kalau ingin seperti pada [Chrome][] 5.8 (_Windows_) keatas, aktifkan _setting_ ini menjadi _true_. Cukup di _double-click_ saja merubahnya.

![alt text][i-ff-cfg-punycode]

### Opera

[Opera][] juga tidak terbebas dari ini. Mari kita lihat.

#### Opera - Apple

Dengan domain [apple.com][], kita mendapatkan isi yang diharapkan.

![alt text][i-apple-opera-norm]

Untuk yang [аррӏе.com][], kita mengalami nasib yang sama dengan kedua _browser_ diatas.

![alt text][i-apple-opera-uni]

#### Opera - Epic

Sama dengan diatas, _domain_ [epic.com][] dapat bekerja seperti yang diharapkan.

![alt text][i-epic-opera-norm]

Begitu pula dengan _domain_ [еріс.com][] ini.

![alt text][i-epic-opera-uni]

#### Opera Info

Sayangnya [Opera][] belum ada _update_ atau _workround_ untuk ini. Walaupun begitu [Opera][] menyediakan bantuan untuk melihat ini. Pada _domain_ [аррӏе.com][], kalau kita buka _icon lock_. Maka kita akan melihat _domain_ sebenarnya. Jadi berhati-hati juga, walaupun kemungkinan besar pengguna tidak mengecek kesana. Potensi cukup besar untuk terkecoh.

![alt text][i-apple-opera-uni-info]

Untuk _domain_ [еріс.com][], kita bisa melihat alamatnya juga.

![alt text][i-epic-opera-uni-info]

### Edge

_Browser_ [Edge][] ini memang secara _default_ sudah ter-_lockdown_. Yang dimaksud adalah kebanyakkan _setting_-nya dibuat ketat mungkin.

#### Edge - Apple

Dengan _domain_ [apple.com][] .

![alt text][i-apple-edge-norm]

Sedangkan untuk _domain_ [аррӏе.com][] ini, terlihat nama _domain_ aslinya.

![alt text][i-apple-edge-uni]

#### Edge - Epic

Sama halnya dengan [epic.com][] .

![alt text][i-epic-edge-norm]

Dan juga untuk [еріс.com][] .

![alt text][i-epic-edge-uni]

### Brave

[Brave][] juga sama seperti [Edge][] dalam _setting default_-nya.

#### Brave - Apple

Dengan _domain_ [apple.com][], berjalan normal.

![alt text][i-apple-brave-norm]

Seperti halnya dengan [Edge][], _domain_ [аррӏе.com][] akan terlihat nama aslinya.

![alt text][i-apple-brave-uni]

#### Brave - Epic

Begitu pula dengan [epic.com][] .

![alt text][i-epic-brave-norm]

Serta untuk _domain_ [еріс.com][] .

![alt text][i-epic-brave-uni]

### Kode

Melihat kedalam kode [Unicode][] yang sebetulnya angka yang akan diterjemahkan ke gambar karakter. Kita akan melihat beda nilai dari itu.

Kode dibawah menunjukan gambar karakter yang muncul dilayar tidak selamanya bernilai sama. Untuk yang __apple__, kalau kita perhatikan maka akan terlihat berbeda. Sedangkan untuk yang __epic__, sulit membedakannya.

![alt text][i-cs-show-uni]

Kalau penasaran, coba jalankan potongan kode [Go][] ini.

### Penutup

Dalam ilustrasi diatas kita disajikan _domain_ dalam _Web Browser_ yang lebih mudah mendeteksinya. Dan implementasi dari masalah ini akan banyak variasinya, seperti diterapkan untuk serangan _multi vector_ ([Malware][] dan [Phishing][]) pada _email_. Kebanyakkan _email client_ kurang bisa menangani hal seperti ini.

Seperti [bang Napi] sering katakan, __Waspadalah!___(3x)_

### Referensi

* [Internationalized Domain Names (IDNs) in Google Chrome][IDNChrome]
* [SysAdminotaur 30 Vault][Vault]
* [Wikipedia: Internationalized Domain Names (IDN)][IDN]
* [Wikipedia: IDN Homograph Attack][IDN Homograph Attack]
* [Wikipedia: Punycode][Punycode]
* [Wikipedia: Unicode][Unicode]
* [Wikipedia: ASCII][ASCII]
* [Wikipedia: Phishing][Phishing]
* [Wikipedia: Domain Name System(DNS)][DNS]
* [Cover: Food vector created by 3ab2ou - Freepik.com][Cover]

[IDNChrome]: https://www.chromium.org/developers/design-documents/idn-in-google-chrome "IDN in Google Chrome"
[IDN Homograph Attack]: https://en.wikipedia.org/wiki/IDN_homograph_attack "Wikipedia: IDN Homograph Attack"
[Punycode]: https://en.wikipedia.org/wiki/Punycode "Wikipedia: Punycode"
[LetsEncrypt]: https://letsencrypt.org/ "Let's Encrypt - Free SSL/TLS Certificates"
[Social engineering]: https://en.wikipedia.org/wiki/Social_engineering_(security) "Wikipedia: Social engineering (security)"
[IDN]: https://en.wikipedia.org/wiki/Internationalized_domain_name "Wikipedia: Internationalized Domain Name (IDN)"
[Unicode]: https://en.wikipedia.org/wiki/Unicode "Wikipedia: Unicode"
[ASCII]: https://en.wikipedia.org/wiki/ASCII "Wikipedia: ASCII"
[Malware]: https://en.wikipedia.org/wiki/Malware "Wikipedia: Malware"
[Phishing]: https://en.wikipedia.org/wiki/Phishing "Wikipedia: Phishing"
[bang Napi]: https://id.wikipedia.org/wiki/Sergap_(acara_TV) "Wikipedia: Sergap(acara TV)"
[DNS]: https://en.wikipedia.org/wiki/Domain_Name_System "Wikipedia: Domain Name System(DNS)"

[Opera]: http://www.opera.com/ "Opera - Fast, secure, easy-to-use browser"
[Brave]: https://brave.com/ "Browse faster and safer with Brave"
[Firefox]: https://www.mozilla.org/en-US/firefox/products/?v=a "Free yourself with Firefox"
[Chrome]: https://www.google.com/chrome/ "Chrome Web Browser"
[Edge]: https://www.microsoft.com/en-us/windows/microsoft-edge "The faster, safer browser designed for Windows 10"

[apple.com]: https://www.apple.com/ "Apple.com"
[аррӏе.com]: https://www.аррӏе.com/ "xn--80ak6aa92e.com"
[xn--80ak6aa92e.com]: https://www.xn--80ak6aa92e.com/ "аррӏе.com"

[epic.com]: https://www.epic.com/ "Epic.com"
[еріс.com]: https://www.еріс.com/ "xn--e1awd7f.com"
[xn--e1awd7f.com]: www.xn--e1awd7f.com "еріс.com"

[xn--eby-7cd.com]: http://xn--eby-7cd.com/ "ebаy.com"
[ebаy.com]: http://ebаy.com/ "xn--eby-7cd.com"

[Vault]: https://blog.devolutions.net/2014/02/sysadminotaur-30-vault.html "SysAdminotaur 30 Vault"
[Go]: https://play.golang.org/p/KnretBR2Os "play.golang: UniValue"

[Cover]: http://www.freepik.com/free-photos-vectors/food "Food vector created by 3ab2ou - Freepik.com"

[i-apple-brave-norm]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-brave-norm.png "Brave Apple"
[i-apple-brave-uni]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-brave-uni.png "Brave аррӏе(xn--80ak6aa92e)"

[i-apple-chrome-norm]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-chrome-norm.png "Chrome Apple"
[i-apple-chrome-uni-fix]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-chrome-uni-fix.png "Chrome аррӏе(xn--80ak6aa92e)"
[i-apple-chrome-uni]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-chrome-uni.png "Chrome аррӏе(xn--80ak6aa92e)"

[i-apple-edge-norm]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-edge-norm.png "Edge Apple"
[i-apple-edge-uni]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-edge-uni.png "Edge аррӏе(xn--80ak6aa92e)"

[i-apple-ff-norm]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-ff-norm.png "Firefox Apple"
[i-apple-ff-uni]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-ff-uni.png "Firefox аррӏе(xn--80ak6aa92e)"

[i-apple-opera-norm]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-opera-norm.png "Opera Apple"
[i-apple-opera-uni-info]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-opera-uni-info.png "Opera аррӏе(xn--80ak6aa92e)"
[i-apple-opera-uni]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/apple-opera-uni.png "Opera аррӏе(xn--80ak6aa92e)"

[i-epic-brave-norm]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-brave-norm.png "Brave Epic"
[i-epic-brave-uni]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-brave-uni.png "Brave еріс(xn--e1awd7f)"

[i-epic-chrome-norm]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-chrome-norm.png "Chrome Apple"
[i-epic-chrome-uni-fix]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-chrome-uni-fix.png "Chrome еріс(xn--e1awd7f)"
[i-epic-chrome-uni]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-chrome-uni.png "Chrome еріс(xn--e1awd7f)"

[i-epic-edge-norm]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-edge-norm.png "Edge Apple"
[i-epic-edge-uni]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-edge-uni.png "Edge еріс(xn--e1awd7f)"

[i-epic-ff-norm]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-ff-norm.png "Firefox Apple"
[i-epic-ff-uni]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-ff-uni.png "Firefox еріс(xn--e1awd7f)"

[i-epic-opera-norm]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-opera-norm.png "Opera Epic"
[i-epic-opera-uni-info]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-opera-uni-info.png "Opera еріс(xn--e1awd7f) Info"
[i-epic-opera-uni]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/epic-opera-uni.png "Opera еріс(xn--e1awd7f)"

[i-ff-cfg-punycode]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/ff-cfg-punycode.png "Firefox about:config Punycode"
[i-cs-show-uni]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/cs-show-uni.png "C# show unicode"
[i-vault]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/sysadminotaur-030-vault.jpg "SysAdminotaur 30 Vault"
[i-kiss]: https://dede.gitlab.io/a/i/p/is-phishing-unicode/kiss.jpg "Preseption of Kiss"

Waspada Teknik Phishing dengan Menggunakan Karakter Unicode pada Domain

GenAI Video Fest adalah ajang kompetisi video kreatif yang diselenggarakan oleh CODEPOLITAN bekerjasama dengan Alibaba Cloud.

Kami menantang kreator, tech-enthusiast, dan siapa saja untuk mendobrak batas imajinasi menggunakan teknologi Generative AI terbaru. Di sini, kamu wajib menggunakan WAN Model Studio dari Alibaba Cloud sebagai tools utama untuk menghasilkan karya videomu (bisa dikombinasikan dengan tools editing lainnya).

Tunjukkan pada dunia bagaimana teknologi dan kreativitas bisa bersatu menciptakan karya visual yang berdampak!

Kategori Kompetisi
Pilih satu dari empat tema besar ini untuk karyamu:
* Humanity (Kemanusiaan): Cerita yang menyentuh hati, sosial, dan kepedulian antar sesama.
* Sports (Olahraga): Energi, semangat juang, dan dinamika dunia olahraga.
* Entertainment (Hiburan): Komedi, musik, video klip, atau parodi yang menghibur.
* Science (Sains): Visualisasi masa depan, teknologi, alam semesta, atau penemuan ilmiah.

Total Prize Pool senilai Rp 250.000.000 menunggu para pemenang!
* Top Winners Rewards: Uang Tunai, Alibaba Cloud Credits (hingga $500), Merchandise Eksklusif, dan SWAG CODEPOLITAN.
* Lucky Draw Event: Kesempatan menang hadiah tambahan bagi peserta yang beruntung.
* Massive Exposure: Karya terbaik akan di-highlight di media sosial CODEPOLITAN, Alibaba Cloud, dan channel industri kreatif lainnya.
* Special Access (Khusus Alumni RuangAI): Dapatkan 2 Token untuk klaim Kelas Spesialisasi di RuangAI secara gratis.

Jangan sampai ketinggalan tanggal penting ini:
* Pendaftaran & Submission: 23 Desember 2024 - 23 Januari 2025
* Penjurian (Judging Phase): 24 - 26 Januari 2025
* Pengumuman Pemenang: 27 Januari 2025

Cara Ikutan:
1. Daftar: Klik tombol "Daftar Sekarang" dan pastikan kamu punya akun RuangAI.
2. Join Discord: Masuk ke server Discord komunitas untuk info teknis dan diskusi.
3. Create: Buat video kreatifmu menggunakan WAN Model Studio (Alibaba Cloud) sesuai kategori pilihan.
4. Upload & Submit: Unggah videomu ke media sosial (IG/TikTok/YouTube) dan submit link karyamu di halaman submission RuangAI.

Ikuti kompetisi video Generative AI terbesar dari CODEPOLITAN dan Alibaba Cloud! Gunakan teknologi WAN Model Studio untuk menyulap ide liarmu menjadi visual memukau. Rebut total hadiah senilai Rp 250.000.000!

GenAI Video Fest

Beasiswa Basic Cybersecurity adalah program inisiatif dari JagoanSiber yang dirancang untuk membuka wawasan masyarakat luas tentang dunia keamanan digital. Program ini hadir untuk menjawab kebutuhan talenta keamanan siber yang tinggi, dimulai dengan membangun pemahaman fundamental yang kokoh.

Program ini berbentuk Kelas Online Belajar Mandiri (Self-Paced Learning) berbasis video. Peserta diberikan keleluasaan penuh untuk mengakses materi kapan saja dan di mana saja tanpa terikat jadwal, sehingga sangat fleksibel bagi pelajar, mahasiswa, maupun pekerja profesional.

Kelebihan utama program ini adalah aksesnya yang 100% GRATIS dan terbuka untuk siapa saja tanpa syarat latar belakang IT. Peserta akan dibimbing langsung oleh Mahrus Qusaery, seorang praktisi keamanan siber berpengalaman, yang akan mengupas tuntas materi dasar yang krusial.

Program beasiswa kelas online gratis untuk mempelajari dasar keamanan siber dari nol. Belajar mandiri berbasis video langsung dari praktisi ahli, Mahrus Qusaery.

Waspada Teknik Phishing dengan Menggunakan Karakter Unicode pada Domain

Learning

KelasFullstack

RuangAI

JagoanSiber

Baca Artikel Lainnya

IBM Swift Sandbox, Belajar dan Tes Kode Program Swift Online

T-SQL : Greatest Function di SQL Server

WinForm: Cross-Thread

Implementasi Math Summation

PeachPie, PHP compiler untuk .NET

UrhoSharp Game-Engine dari Xamarin