Kehilangan akses dari akun online Anda bisa berakibat fatal, lho, mulai dari pencurian data pribadi hingga kerugian finansial.
Salah satu cara peretas melakukan ini adalah melalui session hijacking.
Apa Itu Session Hijacking?
Session hijacking adalah tindakan mengambil alih kendali sesi web pengguna.
Sesi ini, yang diidentifikasi oleh session ID (token unik), menjaga pengguna tetap terhubung ke website atau aplikasi setelah login.
Peretas mencuri atau memanipulasi session ID ini.
Melalui session ID curian tersebut, peretas berpura-pura menjadi pengguna asli.
Melalui penyamaran ini, peretas pun mengakses informasi atau layanan yang seharusnya hanya bisa diakses oleh pengguna asli.
Cara Kerja Session Hijacking
Peretas mencuri atau memanipulasi session ID untuk mendapatkan akses tidak sah.
Ada tiga teknik utama yang digunakan dalam session hijacking, yakni:
- Brute Force: Peretas mencoba berbagai kombinasi session ID hingga menemukan yang valid.
- Calculate: Peretas menganalisis pola dalam pembuatan session ID dan mencoba menghitung atau memprediksi session ID yang valid.
- Steal: Peretas mencuri session ID dengan berbagai teknik, seperti sniffing jaringan, malware, atau cross-site scripting.
Secara umum, serangan session hijacking mengikuti langkah-langkah berikut:
- Pengguna memasukkan kredensial mereka (username dan password) untuk masuk ke website atau aplikasi.
- Setelah otentikasi berhasil, server membuat session ID unik dan mengirimkannya ke browser pengguna, biasanya dalam bentuk cookie.
- Peretas mendapatkan session ID yang valid dengan berbagai cara, seperti yang dijelaskan di atas.
- Peretas menggunakan session ID yang dicuri untuk mengirimkan permintaan ke server, seolah-olah mereka adalah pengguna asli.
- Peretas melakukan tindakan yang tidak sah, seperti mengakses data, mengubah informasi, atau melakukan transaksi.
- Sesi yang dibajak berakhir ketika pengguna keluar, sesi berakhir secara otomatis, atau peretas menghentikan aktivitasnya.
Dampak dari Session Hijacking
Bagi individu:
- Pencurian identitas: Peretas mencuri informasi pribadi, seperti nama, alamat, dan nomor rekening bank, untuk melakukan penipuan.
- Kerugian finansial: Peretas melakukan transaksi yang tidak sah, mencuri uang, atau melakukan pembelian dengan akun korban.
- Kerusakan reputasi: Peretas merusak reputasi korban dengan memposting konten yang tidak pantas atau melakukan tindakan ilegal menggunakan akun korban.
Bagi organisasi/perusahaan:
- Pelanggaran data: Peretas mengakses data sensitif perusahaan, seperti data pelanggan, informasi keuangan, dan rahasia dagang.
- Kerugian finansial: Perusahaan mengalami kerugian finansial akibat gangguan operasional, biaya investigasi, denda, dan tuntutan hukum.
- Kerusakan reputasi: Kepercayaan pelanggan menurun dan citra merek tercoreng.
- Masalah hukum: Perusahaan berisiko menghadapi tuntutan hukum dan sanksi karena gagal melindungi data pengguna.
Cara Mendeteksi Session Hijacking
Dari Sisi Pengguna:
1. Perilaku Akun yang Tidak Biasa
Coba amati aktivitas login yang mencurigakan, misalnya dari lokasi atau perangkat asing.
Caranya, periksa riwayat aktivitas akun untuk menemukan tindakan yang tidak Anda lakukan.
Selalu waspada terhadap perubahan profil atau pengaturan akun.
Perhatikan juga email atau notifikasi terkait perubahan kata sandi atau informasi akun yang tidak pernah Anda minta.
2. Masalah Teknis yang Mencurigakan
Misalnya, akun yang tiba-tiba logout sendiri tanpa alasan yang jelas.
Aplikasi atau website yang tiba-tiba melambat, khususnya saat bertransaksi, juga patut dicurigai.
Belum lagi bila muncul pop-up atau pesan aneh yang tidak biasa.
Terakhir, browser yang mengarahkan pengguna ke website tidak dikenal atau tidak diminta.
3. Peringatan Keamanan
Layanan seperti Google atau Facebook akan memberi peringatan jika mendeteksi aktivitas login yang mencurigakan; Anda harus memperhatikan peringatan ini.
Perangkat lunak keamanan, seperti antivirus dan firewall, juga biasanya memberikan peringatan jika ada aktivitas yang mencurigakan.
Dari Sisi Administrator/Pengembang Aplikasi:
1. Pemantauan Log
Administrator sebaiknya menganalisis log server secara teratur untuk mendeteksi pola aktivitas yang mencurigakan.
Analisis ini mencakup identifikasi banyaknya percobaan login gagal dari satu alamat IP, login dari lokasi geografis yang berjauhan dalam waktu singkat, dan permintaan tidak valid.
Perubahan user agent yang drastis untuk satu session ID, serta aktivitas di luar jam kerja normal, juga harus diwaspadai.
2. Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS)
Administrator dapat mengonfigurasi Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) untuk mendeteksi serta memblokir pola serangan yang mengindikasikan session hijacking, contohnya injeksi cookie atau serangan replay.
Konfigurasi yang tepat pada IDS/IPS merupakan lapisan pertahanan penting terhadap pembajakan sesi.
Melalui pemantauan aktif, sistem ini memberikan peringatan dini atau bahkan menghentikan serangan secara real-time.
3. Pemantauan Performa Aplikasi
Penurunan kinerja aplikasi yang terjadi secara tiba-tiba dan tidak bisa dijelaskan patut dicurigai sebagai indikasi adanya serangan.
Hal ini dapat terjadi karena resource aplikasi sedang digunakan oleh penyerang, atau aplikasi sengaja dirusak.
4. Validasi Session
Periksa secara teratur apakah session ID yang digunakan masih valid dan belum kedaluwarsa.
Verifikasi apakah session ID cocok dengan data pengguna yang tersimpan di server.
Cara Mencegah Session Hijacking
Untuk pemilik website dan pengembang aplikasi:
1. Gunakan HTTPS di Seluruh Aplikasi
HTTPS mengenkripsi seluruh lalu lintas antara pengguna dan server, tidak terbatas pada halaman login saja.
Nah, dengan enkripsi ini, peretas akan kesulitan mencegat session ID.
2. Terapkan Manajemen Sesi yang Kuat
Aplikasi harus membuat session ID yang kompleks, panjang, dan acak menggunakan generator nomor pseudo-acak yang aman secara kriptografis.
Selain itu, aplikasi perlu menetapkan waktu kedaluwarsa untuk sesi; sesi yang lebih singkat akan meminimalkan risiko pembajakan.
Aplikasi juga harus meregenerasi session ID setiap kali pengguna login atau mengubah hak aksesnya. Menyimpan session ID di URL adalah praktik yang harus dihindari.
Terakhir, aktifkan flag “HttpOnly” dan “Secure” pada cookie sesi untuk mencegah akses cookie melalui JavaScript (HttpOnly) dan memastikan cookie hanya dikirim melalui HTTPS (Secure).
3. Tambahkan Otentikasi Multi-Faktor (MFA)
Penerapan MFA mewajibkan pengguna untuk menyediakan lebih dari satu bukti identitas, misalnya kode dari aplikasi autentikator atau hasil pemindaian biometrik.
MFA memberikan perlindungan tambahan, bahkan ketika session ID berhasil diretas, karena peretas masih memerlukan faktor otentikasi lainnya.
4. Pantau Aktivitas Sesi
Lakukan pemantauan aktivitas sesi secara berkala untuk mendeteksi perilaku mencurigakan, seperti login dari lokasi atau perangkat yang mencurigakan.
Pemantauan ini memudahkan deteksi dini potensi pembajakan sesi.
Melalui analisis log, administrator dapat segera mengambil tindakan jika ditemukan aktivitas mencurigakan.
Untuk pengguna:
1. Hindari Wi-Fi Publik
Pengguna sebaiknya menghindari Wi-Fi publik karena sering kali tidak aman dan menjadikan mereka target empuk serangan pembajakan sesi.
Ketika menggunakan Wi-Fi publik, enkripsilah lalu lintas data dengan menggunakan VPN (Virtual Private Network).
2. Selalu Keluar Setelah Selesai Menjelajah Website
Pengguna harus selalu logout dari website atau aplikasi setelah selesai menggunakan.
Logout membatalkan session ID sehingga mencegah akses tidak sah ke akun pengguna.
Ini memang langkah sederhana, tetapi sangat penting untuk mencegah risiko pembajakan sesi dan melindungi informasi pribadi.
3. Berhati-hati terhadap Tautan Mencurigakan
Jangan mengklik tautan dari email atau pesan yang tidak dikenal, ya. Karena peretas bisa menggunakannya untuk mencuri session ID atau memasang malware.
Periksa dengan cermat alamat URL sebelum mengkliknya. Waspadai tautan yang diperpendek (shortened links) karena sering kali menyembunyikan tujuan sebenarnya.
Verifikasi keaslian pengirim sebelum berinteraksi dengan tautan apa pun, ya.
4. Aktifkan MFA (Otentikasi Multi-Faktor)
Aktifkan MFA (Otentikasi Multi-Faktor) pada setiap akun yang menawarkannya. MFA menambahkan lapisan perlindungan ekstra pada akun Anda.
Bahkan jika kata sandi bocor, akun tetap aman karena peretas memerlukan faktor otentikasi tambahan yang hanya Anda miliki.
Contoh Kasus Nyata Session Hijacking
1. Ekstensi Browser Firesheep (2010)
Peretas menggunakan ekstensi Firesheep untuk Firefox untuk mencuri session cookie pengguna dengan mudah di jaringan Wi-Fi publik yang tidak terenkripsi.
Kejadian ini menegaskan pentingnya HTTPS karena mengenkripsi komunikasi browser dan server untuk mencegah intersepsi cookie.
2. Pembajakan Sesi Google Gmail (2010)
Beberapa bagian layanan Gmail yang masih menggunakan HTTP (tidak terenkripsi) memudahkan peretas mencuri session cookie, meskipun Gmail sudah menggunakan HTTPS.
Kejadian ini memicu Google dan penyedia layanan lain untuk menerapkan HTTPS secara menyeluruh (HTTPS-everywhere) di semua layanan.
3. Pencurian Cookie Yahoo Mail (2013-2014)
Jutaan akun Yahoo Mail dibajak karena peretas memalsukan session cookie.
Kejadian ini menunjukkan perlunya rotasi session ID berkala dan validasi session yang kuat guna mencegah pemalsuan cookie.
4. Serangan MITM (Man-in-the-Middle) di Bursa Cryptocurrency
Serangan MITM yang dilancarkan peretas berhasil mencuri session token dan menguras dompet cryptocurrency korban.
Kejadian ini menegaskan pentingnya otentikasi multi-faktor (MFA) dan penggunaan VPN, khususnya ketika melakukan transaksi keuangan yang sensitif.
Kesimpulan
Session hijacking memang ancaman siber yang serius dalam dunia digital, tetapi dengan pemahaman tepat dan mengetahui langkah-langkah pencegahannya, kita bisa meminimalkan risiko menjadi korban.
Nah, salah satu langkah penting dalam meningkatkan keamanan website Anda dan meminimalkan risiko session hijacking adalah menggunakan sertifikat SSL!
Pastikan membeli sertifikat SSL dari CA resmi atau penyedia SSL terpercaya, seperti GudangSSL!
GudangSSL adalah penyedia sertifikat SSL terbaik dan termurah yang menyediakan sertifikat SSL dari berbagai brand ternama, seperti Sectigo, Globalsign, Entrust, Sectigo, Symantec, dan banyak lagi.
Di GudangSSL, GudPeople bisa mendapatkan sertifikat SSL dengan harga 30% lebih murah dari CA!
Tenang saja, semua produk SSL di GudangSSL sudah terbukti mampu bekerja di lebih dari 99% browser. Kami juga siap memberikan GARANSI 15 HARI setelah SSL diaktifkan!
Punya pertanyaan? Tim customer support GudangSSL siap menjawab pertanyaan para GudPeople!
Jadikan website #MakinAman dengan sertifikat SSL dari GudangSSL!
