Cyberthreat.id – Jangan merasa yakin bahwa situs web Anda paling aman. Sebuah situs web berpotensial untuk diretas dan dijadikan “rumah” bagi peretas.

Kasus yang dialami Canva.com, situs web desain grafis daring gratis populer, baru-baru ini bisa menjadi pembelajaran.

Yang dialami Canva.com, di mana peretas bisa mengarahkan pengguna ke halaman phishing yang menyamar URL Canva menunjukkan ada kerentanan di dalam situs web tersebut. Kerentanan itulah yang kemudian dieksploitasi oleh peretas. (Baca: Awas, Phishing Berkedok Tautan Situs Web Canva)

Deputi Head dari Master of Information Technology-Swiss Germany University (SGU) Charles Lim menduga apa yang dialami Canva.com sebuah pelanggaran data pengguna. Peretas memanfaatkan basis data pengguna Canva.com yang bocor.

Bisa pula kelemahan lain yang tidak diperbaiki segera sehingga “dipakai [oleh peretas] untuk itu phishing," ujar Charles saat dihubungi Cyberthreat.id, Jumat (16 Oktober 2020).

Charles menuturkan, sebuah situs web baik terkenal maupun tidak, jika memiliki kerentanan, dapat dimanfaatkan oleh peretas untuk melakukan apa saja.

“Semua website yang mengandung login dan password ... memang menjadi sasaran [peretas],” kata dia.

Sebelumnya, perusahaan keamanan siber berpusat di Washington DC, Amerika Serikat, Confese, mendapati peretas memanfaatkan kepopuleran situs web Canva untuk serangan phishing.

Taktik yang dipakai adalah peretas memanfaatkan URL hasil desain dari Canva.com.

URL tersebut biasa dipakai untuk berbagi antarpengguna. Pengguna yang mengklik tautan akan melihat tampilan halaman penuh. Di sinilah celah yang dimanfaatkan peretas.

Dari contoh email phishing yang memanfaatkan Canva.com itu tersematkan sebuah tautan ke halaman phishing yang di-hosting di Canva.Com.

“Saat korban phishing mengklik tautan tersebut, mereka akan diarahkan ke halaman HTML perantara desain Canva yang di-hosting di Canva.com. Halaman arahan ini berpura-pura sebagai informasi tentang faks yang Anda terima, dengan tautan yang dapat diklik yang menyatakan bahwa itu dapat digunakan untuk meninjau dokumen faks,” tulis BleepingComputer, portal berita keamanan siber diakses Kamis (15 Oktober 2020).

Kecerdasan peretas

Charles mengatakan, serangan terhadap Canva tersebut menunjukkan kemampuan cerdas dari peretas yang memanfaatkan kerentanan canva.com itu.

“Pintar si hacker itu menurut saya, pintar banget itu,” ujar dia.

Mengapa pintar? Ini lantaran peretas memanfaatkan situs web terkenal yang membuat orang tidak terlalu curiga, padahal sebenarnya peretas sedang menipu pengguna.

“Oh ini ke Canva nih—orang mengiranya—oh aman, padahal kerentanannya canva lagi digunakan,” Charles menuturkan.

Untuk itu, ia berpendapat seharusnya Canva atau pemilik situs web apa pun mengevaluasi situs webnya jika sudah ada peretas yang mengeksploitasi kelemahan.

Dalam kasus Canva.com, perusahaan juga perlu menjelaskan kepada pelanggannya supaya mereka merasa lebih aman; ini sebagai bentuk tanggung jawab pemilik web kepada pelanggannya.

Sementara itu, untuk pengguna disarankan tidak mengklik tautan atau dokumen sembarangan, sekalipun itu kelihatannya dari situs web yang diketahui ketenarannya.

“Salah kita itu, buka dokumen, nah itu dia yang harus kita hindari. Jangan sembarangan buka dokumen,” ujarnya.[]

Redaktur: Andi Nugroho