Lebih dari 58% Website Phising Ternyata Berstatus Aman
Munculnya peraturan standard keamanan website menggunakan sertifikat SSL yang ditetapkan oleh beberapa browser ternama seperti Chrome dan Mozilla pada tahun 2017 memunculkan pro kontra pada pengguna jasa browser.
Keharusan tersebut menyebabkan banyaknya vendor yang muncul untuk menyediakan sertifikat SSL tidak berbayar. Hal ini menjadikan banyaknya muncul website motif penipuan yang berstatus aman ataupun “HTTPS”. Bahkan, lebih dari 58% website phising tersebut berstatus aman.
SSL Store: 58% Website Phising Berbentuk HTTPS
Berdasarkan hasil penelusuran yang dilakukan tim The SSL Store, sebanyak 58% dari website phising yang ada. Sengaja dibuat untuk melakukan penipuan dengan status aman. Hal ini merupakan evolusi phising secara substansial, dimana aktivitas yang dilakukan secara publik menggunakan website tidak lagi menggunakan email spam.
Kejahatan phising ini melakukan rekayasa sosial yang disesuaikan dengan target industry, perusahaan dan individu tertentu. 91% serangan dunia maya awalnya menggunakan email sebagai media penipuan.
Mari membahas website penipuan yang menggunakan sertifikat SSL.
Anti Phising Working Group (APWG) yang berdiri pada tahun 2003 menerbitkan laporan triwulanan tentang phising. Isi laporan melingkupi industry yang ditargetkan, jumlah total email phising yang diterima dan berapa banyak situs web phising baru yang telah dibuat selama 3 bulan awal Q1 tahun 2019. Berdasarkan hasil kerja tim APWG ada 3 aktivitas phising yang menggunakan sertifikat SSL
- Sertifikat SSL tidak berbayar yang disediakan oleh CA dan perusahaan hosting cpanel banyak digunakan oleh website phising. 58% situs web phising menggunakan sertifikat SSL sebagai standard keamanan untuk meningkatkan kepercayaan pengunjung.
- Jumlah total situs web phising meningkat secara substansial selama Q3 dan Q4 tahun 2018 dan meningkat setiap bulan pada tahun 2019. Peningkatan website phising berstatus aman memuncak pada bulan Maret 2019
- Kejahatan phising menargetkan perangkat lunak sebagai layanan klien webmail yang paling banyak pada Q1 2019. Ini merupakan segmen yang pertama kali muncul di industry pembayaran sejak APWG telah melakukan penelitian.
- Target industri kejahatan phising tersebut yakni industry keuangan, ecommerce dan Telkom
Dari hasil penelitian APWG ini kita dapat menyimpulkan bahwa aktivitas website yang berstatus aman tidak selalu dapat dipercaya. Ketetapan awal website aman dari penelusuran browser Chrome adalah sertifikat SSL. Namun celah ini digunakan sebagai media penyebaran phising dengan menggunakan sertifikat SSL DV yang tidak berbayar.
Validasi Domain tidak sulit
Tipe Validasi Domain (DV) yang terdapat pada sertifikat SSL tidak berbayar tidak menegaskan identitas organisasi, hanya melakukan verifikasi secara domain saja. Syarat penerbitan sertifikat SSL validasi DV pun tidak terlalu susah, hanya perlu melakukan validasi domain lewat email otentikasi yang diberikan.
Dan tipe validasi ini disetujui oleh penyedia otoritas sertifikat SSL CA. Itu sebabnya tim SSL Indonesia merekomendasikan menggunakan sertifikat SSL validasi organisasi pada website perusahaan maupun UKM yang membutuhkan aktivitas internet yang terpercaya dan aman dari aktivitas phising.
Tipe validasi organisasi pada sertifikat SSL ini akan menegaskan identitas organisasi lewat verifikasi telpon dan email domain. Dengan menyatakan identitas sertifikat SSL, organisasi dapat membantu pengunjung menghindari phising melalui situs web palsu. Ini sama hal nya dengan penggunaan Secure Site Seal yang bersifat dinamis.
Perkembangan Website Phising Status HTTPS
Sebelum perkembangan menuju aktivitas website, email adalah media yang digunakan untuk menyebarkan aktivitas penipuan. Email ini merupakan fase pertama yang digunakan untuk membawa pembaca email menuju website phising dan memulai aktivitas penipuan.
Email ini dirancang untuk mengambil tindakan dari pembaca sehingga dilampirkan tautan menuju situs web yang sangat menarik. Lalu mengapa situs web ini masih bisa berada pada browser pencarian seperti Chrome?
Sebenarnya situs ini dibuat secara detail untuk menjauhi aktivitas pencarian dari google. Situs ini disembunyikan, tidak diindeks dan dibuat secara berkala untuk beberapa jam saat sasaran berhasil klik tautan yang dilampirkan.
Beberapa situs phising akan menunjukkan tingkat detail yang mengesankan, bahkan melakukan peniruan secara detail segel situs dan indicator kepercayaan website yang dibuat. Namun perlu Anda ketahui bahwa website phising yang berstatus HTTPS tidak dapat melakukan penipuan melalui gembok hijau yang tercantum pada website. Pada ikon gembok hijau https akan terdapat informasi organisasi atau perusahaan serta sertifikat SSL yang digunakan.
Saat Anda menemukan website yang menggunakan sertifikat SSL tidak berbayar ataupun ikon gembok hijau yang tidak memiliki informasi organisasi, pastikan Anda tidak melakukan transaksi sensitive sebelum melakukan pencarian detail perusahaan ataupun memastikan bahwa website tersebut benar-benar aman dan asli.
SSL Indonesia menyediakan sertifikat SSL dengan berbagai macam brand seperti Digicert, Symantec, GeoTrust, Thawte, RapidSSL, dan Sectigo. Hubungi sales@sslindonesia.com atau live chat untuk mendapatkan penawaran atau hubungi support@sslindonesia.com untuk konsultasi kendala aktivasi sertifikat SSL Anda.
