Ilustrasi | Foto: freepik.com
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Sepanjang 2019, serangan siber telah menargetkan 75 persen perusahaan besar di Eropa dan Amerika Utara. Dari jumlah itu, 40 persen serangan dilakukan dengan cross-site scripting (XSS), “vektor serangan favorit peretas (hacker) di seluruh dunia,” menurut riset Precise Security.
XSS adalah jenis serangan injeksi, yaitu skrip berbahaya (malicious scripts) disuntikkan ke situs web tepercaya. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya.
Sebagian serangan XSS dilakukan dengan aplikasi web untuk mengirim kode berbahaya—sebagian besar dalam bentuk browser-side script.
“XSS digunakan di 39 persen insiden dunia maya tahun 2019. Lalu, diikuti oleh injeksi SQL dan Fuzzing masing-masing 14 persen dan 8 persen,” demikian tulis Cloud Pro, Senin (23 Desember 2019).
Injeksi Structured Query Language (SQL) adalah teknik yang mengeksploitasi celah keamanan (bug) pada lapisan basis data sebuah aplikasi. Celah ini terjadi ketika input dari pengguna tidak disaring dengan benar. Misal, kolom pengguna yang harusnya diisi huruf dan angka, tapi diisi karakter lain, seperti tanda petik atau garis strip.
Sementara, Fuzzing merupakan suatu metode untuk mencari kesalahan (bug) pada aplikasi dengan menyediakan input yang tak diduga (malformed string). Harapannya, aplikasi itu mengalami kegagalan operasi (crash), dari situlah peretas memanfaatkan celah untuk menguasai sistem informasi korban.
Metode lain yang juga dipakai peretas, seperti pengumpulan informasi dan logika bisnis/logika domain [algoritma khusus yang menangani pertuktaran informasi antara basis data dengan antarmuka pengguna] meski keduanya digunakan kurang dari 7 persen.
Berita Terkait:
Motivasi peretas melakukan serangan dunia maya, menurut Precise Security, karena aktivitas tersebut penuh tantangan (60 persen).
“Alasan lainnya untuk meretas sistem perusahaan, yaitu untuk menguji respons tim keamanan (36 persen) dan untuk memenangkan hadiah minimum bug bounty yang ditawarkan,” tulis Precise Security dalam laporannya.
Sementara itu, alasan “pengakuan” diakui sebanyak 25 persen para peretas. Sekitar 40 persen mengatakan, lebih suka menargetkan perusahaan yang mereka sukai.
Menurut statistik yang disusun oleh Specops Software, teknik peretasan yang paling lazim di sektor bisnis, keuangan, dan hukum adalah malware makro yang disematkan ke dalam dokumen.
Perusahaan ritel dan pelayanan, sebagian besar terkena serangan siber berupa serangan malware, sebanyak 51 persen kejadian dan organisasi pemerintah terkena sebanyak 37 persen. Sementara, industri perawatan kesehatan sebagian besar rentan terhadap serangan man-in-the-middle (MiTM), di mana komunikasi antara dua sistem komputer dicegat oleh pihak ketiga—peretas bebas mendengarkan dan mengubah percakapan.
Selain itu, serangan distrbuted denial of service (DDoS) juga menjadi bentuk serangan paling umum yang dihadapi oleh industri layanan teknis dengan 58 persen insiden.
Laporan Precise Security juga menunjukkan bahwa 72 persen platform yang digunakan sebagai batu loncatan untuk kejahatan siber adalah situs web.
WordPress, misalnya, adalah target utama karena basis pengguna yang besar; sekitar 90 persen situs content management system (CMS) yang diretas pada 2018.
Antarmuka pemrograman aplikasi (API) menjadi platform paling bertarget kedua dalam daftar insiden (6,8 persen) dan melibatkan penggunaan ponsel Android.
Redaktur: Andi Nugroho
Share:
