JAKARTA – Bagi pengguna internet, mereka harus tetap ekstra waspada saat mengklik tautan dan lampiran email. Ini untuk mewaspadai adanya serangan siber yang bermula dari sekedar mengklik tautan.
Sayang, cara ini pun saat ini tak bisa membuat pengguna komputer bisa aman. Pasalnya serangan siber kini sangat bervariasi dan berbahaya, bahkan tanpa umpan untuk klik tautan. Serangan zero-click ini menyusup ke perangkat dan sistem tanpa peringatan atau aspek interaksi manusia. Ini membuat serangan siber tersebut sangat sulit untuk dideteksi dan dipertahankan.
Seperti namanya, serangan zero-click (tanpa klik) terjadi dengan klik mouse "nol", penekanan tombol, atau interaksi pengguna. Peretas kebanyakan mengarahkan serangan ini untuk menyalahgunakan kerentanan yang sudah ada di perangkat lunak atau aplikasi perpesanan. Terkadang peretas menjual kerentanan ini di pasar gelap, atau perusahaan akan menawarkan hadiah besar kepada mereka yang menemukannya.
Serangan tanpa klik adalah favorit para penyerang karena tidak memerlukan taktik rekayasa sosial untuk membujuk korban agar mengklik tautan atau lampiran berbahaya. Mereka juga tidak menuntut interaksi pengguna dengan korban, sehingga sangat sulit untuk melacak penyerang.
Serangan tanpa klik sebagian besar menargetkan aplikasi yang menyediakan kemampuan perpesanan atau panggilan suara, seperti WhatsApp atau iMessage, karena layanan ini menerima dan mengurai data dari sumber yang tidak dikenal.
Peretas secara khusus membuat sepotong data seperti pesan teks tersembunyi, email, pesan suara, atau file gambar dan mengirimkannya ke perangkat target melalui koneksi nirkabel dengan menggunakan Wi-Fi, NFC, Bluetooth, GSM, atau LTE. Pengiriman data ini kemudian memicu kerentanan yang tidak diketahui di tingkat perangkat keras atau perangkat lunak.
Serangan tanpa klik terkenal karena menargetkan iPhone dan iPad, dan kerentanan telah muncul sejak September 2012, ketika Apple pertama kali merilis iPhone 5 dengan iOS 6.
Serangan tanpa klik sangat canggih. Peretas tingkat lanjut dan didanai dengan baik bisa mengembangkannya tanpa meninggalkan jejak, Ini yang membuat mereka semakin berbahaya. Serangan email tanpa klik, misalnya, dapat menyalin seluruh kotak masuk sebelum menghapus dirinya sendiri.
Serangan tanpa klik juga membawa ancaman keamanan ke tingkat yang sama sekali baru. Berikut adalah beberapa alasan mengapa serangan zero-click jauh lebih mematikan daripada serangan cyber mainstream menurut makeuseof.
- Serangan tanpa klik tidak mengharuskan korban untuk mengklik tautan, mengunduh lampiran, atau menemukan situs web yang mengandung malware. Semuanya terjadi di belakang layar, dan pengguna sama sekali tidak menyadarinya.
- Penyerang tidak perlu membuang waktu untuk membuat jebakan atau umpan yang rumit untuk memikat korban agar melakukan tugas. Ini mempercepat proliferasi serangan tanpa klik.
- Serangan tanpa klik memasang alat pelacak atau spyware yang ditargetkan secara khusus pada perangkat korban dengan mengirimkan pesan ke ponsel pengguna yang tidak menghasilkan pemberitahuan. Pengguna bahkan tidak perlu menyentuh ponsel mereka untuk memulai infeksi dari serangan itu.
- Serangan-serangan ini sebagian besar menargetkan orang-orang yang memiliki kekuasaan atau pengetahuan tentang keamanan siber, karena penyerang tidak dapat mengelabui mereka agar mengklik tautan berbahaya.
- Serangan tanpa klik tidak meninggalkan jejak atau indikator kompromi apa pun.
- Serangan tanpa klik menggunakan teknik peretasan paling canggih yang dapat melewati keamanan titik akhir, antivirus, atau sistem firewall apa pun.
Selain alasan yang disebutkan di atas, serangan zero-click berkembang pesat pada konsumsi perangkat seluler yang terus meningkat dengan memanfaatkan jangkauan jaringan, kerentanan Wi-Fi, dan ketersediaan data berharga.
BACA JUGA:
Selain menipu, serangan-serangan ini juga berkembang pesat seiring dengan meningkatnya penggunaan teknologi.
Kebanyakan orang bingung antara serangan zero-click dan zero-day.
Serangan zero-day terjadi setelah penyerang mengeksploitasi kerentanan perangkat lunak atau perangkat keras dan merilis malware sebelum pengembang memiliki kesempatan untuk membuat tambalan untuk memperbaiki kerentanan.
Serangan tanpa klik, seperti yang telah kita bahas, membutuhkan tanpa klik atau interaksi untuk terjadi. Namun, masih ada korelasi antara kedua jenis serangan karena terkadang serangan zero-click mengeksploitasi kelemahan zero-day terdalam dan paling digarisbawahi untuk melakukan serangannya.
Sederhananya, karena pengembang belum melaporkan kekurangan zero-day, serangan zero-click memanfaatkan aspek itu, sehingga melakukan eksploitasi yang akan sulit dideteksi atau diteliti..