Cara Menggunakan Netiscover buat Jaringan

NAME 

netdiscover - alat pengintaian ARP aktif / pasif

SINKRONISASI 

netdiscover [ -i  perangkat ] [ -r  range | -l  file | -p ] [ -m  file ] [ -F  filter ]
            [ -S  waktu ] [ -c  count ] [ -n  simpul ] [ -dfPLNS ]

DESKRIPSI 

netdiscover adalah alat pengintaian ARP aktif / pasif, awalnya dikembangkan untuk mendapatkan informasi tentang jaringan nirkabel tanpa server DHCP dalam skenario pengaturan. Ini juga dapat digunakan pada jaringan yang diaktifkan. Dibangun di atas libnet dan libpcap, ia dapat secara pasif mendeteksi host online atau mencarinya dengan mengirimkan permintaan ARP.

Selain itu, ini dapat digunakan untuk memeriksa lalu lintas ARP jaringan Anda, atau menemukan alamat jaringan menggunakan mode pemindaian otomatis, yang akan memindai jaringan lokal umum.

PILIHAN 

perangkat -i

Antarmuka jaringan untuk mengendus dan menyuntikkan paket. Jika tidak ada antarmuka yang ditentukan, tersedia terlebih dahulu akan digunakan.

kisaran -r

Pindai rentang yang diberikan alih-alih pemindaian otomatis. Area nilai rentang valid misalnya: 192.168.0.0/24, 192.168.0.0/16 atau 192.168.0.0/8. Saat ini, rentang yang dapat diterima adalah / 8, / 16 dan / 24 saja.

-l file

Rentang pemindaian yang terdapat pada file yang diberikan . Itu harus mengandung hanya satu rentang per baris.

p

Aktifkan mode pasif. Dalam mode pasif, netdiscover tidak mengirim apa pun, tetapi hanya mengendus.

-m file

Pindai daftar MAC dan nama host yang dikenal.

Filter -F

Kustomisasi ekspresi filter pcap (default: "arp").

waktu -s

Sleep diberikan waktu dalam milidetik antara masing-masing ARP permintaan injeksi. (default 1)

-c menghitung

Jumlah kali mengirim setiap permintaan ARP. Berguna untuk jaringan dengan packet loss, sehingga akan memindai waktu yang diberikan untuk setiap host. (default 1)

-n simpul

Oktet IP terakhir dari sumber IP yang digunakan untuk pemindaian. Anda dapat mengubahnya jika host default (xxx67) sudah digunakan. ( rentang yang diizinkan adalah 2 hingga 253, standar 67)

-d

Abaikan file konfigurasi di direktori home (hanya untuk mode otomatis dan cepat). Ini akan menggunakan rentang default dan IP untuk autoscan dan mode cepat. Lihat di bawah untuk informasi tentang file konfigurasi.

-f

Aktifkan pemindaian mode cepat. Ini hanya akan memindai .1, .100 dan .254 pada setiap jaringan. Mode ini berguna saat mencari rentang yang digunakan. Setelah Anda menemukan rentang tersebut, Anda dapat membuat pemindaian rentang tertentu untuk menemukan kotak online.

-P

Menghasilkan output yang cocok untuk diarahkan ke file atau diurai oleh program lain, daripada menggunakan mode interaktif. Mengaktifkan opsi ini, netdiscover akan berhenti setelah pemindaian rentang yang diberikan.

-L

Mirip dengan -P tetapi melanjutkan eksekusi program untuk menangkap paket ARP secara pasif setelah pemindaian aktif. fase untuk menangkap paket ARP secara pasif.

-N

Jangan cetak header. Hanya valid ketika -P atau -L diaktifkan.

-S

(TERDEPAN) Mengaktifkan penindasan waktu tidur di antara setiap permintaan. Jika diatur, netdiscover akan tidur setelah memindai 255 host alih-alih tidur setelah masing-masing. Mode ini digunakan di netdiscover 0.3 beta4 dan sebelumnya. Hindari opsi ini di jaringan dengan packet loss, atau di jaringan nirkabel dengan level sinyal rendah. (juga disebut mode hardcore)

PENGGUNAAN 

Jika mode pasif ( -p ), daftar pemindaian ( -l ) atau opsi rentang pemindaian ( -r ) tidak diaktifkan, netdiscover akan memindai alamat LAN umum (192.168.0.0/16, 172.16.0.0/12 dan 10.0.0.0 / 8).

Tombol kontrol layar:

    h Tampilkan layar bantuan.
    j Gulir ke bawah (atau panah ke bawah).
    k Gulir ke atas (atau panah ke atas).
    . Gulir halaman ke atas.
    , Gulir halaman ke bawah.
    q Tutup layar bantuan atau akhiri aplikasi.

Tampilan layar:

    daftar Perlihatkan balasan ARP.
    r Tampilkan daftar permintaan ARP.
    u Tampilkan host unik yang terdeteksi.

CONFIG FILES 

Ada 2 file konfigurasi yang akan dicari oleh netdiscover , setiap kali dieksekusi. Jika file tidak ada, netdiscover akan menggunakan nilai default. Anda dapat menggunakan sakelar -d untuk menonaktifkan membaca dan memuat file konfigurasi.

~ /. netdiscover / rentang

File ini berisi daftar rentang (satu per baris) yang digunakan untuk mode pemindaian otomatis, bukan rentang default. Secara default netdiscover akan menggunakan daftar rentang umum yang digunakan pada jaringan lokal.

Contoh:

    192.168.21.0/24
    172.26.0.0/16
    10.0.0.0/8

~ /. netdiscover / fastips

Daftar yang berisi oktet terakhir dari IP yang akan dipindai pada setiap subnet, saat menggunakan mode cepat ( -f ), secara default (1.100.154). Anda harus memasukkan angka per baris.

CONTOH PENGGUNAAN 

Pindai alamat LAN umum pada eth0:

    # netdiscover -i eth0

Pindai cepat alamat LAN umum pada eth0 (hanya mencari gateway):

    # netdiscover -i eth0 -f

Pindai beberapa rentang tetap:

    # netdiscover -i eth0 -r 172.26.0.0/24
    # netdiscover -r 192.168.0.0/16
    # netdiscover -r 10.0.0.0/8

Pindai alamat LAN umum dengan waktu tidur 0,5 milidetik alih-alih standar 1:

    # netdiscover -s 0,5

Pindai rentang tetap pada mode cepat dengan waktu tidur 0,5 milidetik alih-alih standar 1:

    # netdiscover -r 192.168.0.0/16 -f -s 0,5

Pindai rentang menggunakan 101 sebagai oktet terakhir untuk SOURCE IP

    # netdiscover -r 10.1.0.0/16 -n 101

Hanya menghirup lalu lintas ARP, jangan kirim apa pun:

    # netdiscover -p

Continue reading Cara Menggunakan Netiscover buat Jaringan

Cara Menggunakan Wireshark

Untuk mengetahui masalah yang ada di jaringan, akan lebih mudah jika kita dapat menyadap menggunakan wireshark dan memfilter hanya packet tertentu saja yang di sadap.

LANGKAH PERTAMA: Untuk bisa menyadap dengan wireshark. Masuk ke menu Capture > Interface. Klik 'Start' untuk mulai menangkap packet.

LANGKAH KEDUA:

tcp.port == 8080

Misalnya, kita ingin melihat hanya packet yang menuju port 8080,

tcp.destport = 8080

Atau di balik, kita ingin melihat data dari server yang bekerja pada port 8080,

tcp.srcport = 8080

Bisa kita buat misalnya,

tcp.port == 8080

yang artinya sama dengan

tcp.srcport == 8080 || tcp.dstport == 8080

IP address Filter

Jika kita ingin menangkap hanya packet yang dikirim dari IP tertentu saja,

ip.src == 80.80.80.80

Atau IP address tujuan tertentu saja,

ip.dst == 80.80.80.80

atau jika kita tidak peduli arah yag dituju,

ip.addr == 80.80.80.80

Filter Data Tertentu

Biasanya ada banyak paket yang dikirim. Agar hanya packet yang berisi data saja yang di tampilkan, kita dapat mem-filter,

tcp.len > 0

Atau jika kita ingin hanya menampilkan data yang berisi byte tertentu,

data[0] == A0

Atau jika kita ingin menampilkan hanya data pada selang waktu tertentu saja,

frame.time >= 'Feb 1, 2011 11:00:00' && frame.time < 'Feb 1, 2011 11:05:00'

Kombinasi Filter

Kita bisa mengkombinasikan berbagai filter tersebut dengan tanda &&, misalnya,

tcp.destport == 8080 &&
frame.time >= 'Feb 1, 2011 11:00:00' &&
frame.time < 'Feb 1, 2011 11:05:00' &&
ip.src == 80.80.80.80 &&
tcp.len > 0 &&
data[0] == A0

Kita dapat mengeksport data tersebut untuk di analisa lebih lanjut.

Continue reading Cara Menggunakan Wireshark

Digital footprint

Digital footprint adalah jejak data yang Anda buat saat menggunakan Internet. Termasuk situs web yang di kunjungi, email yang di kirim, dan informasi yang di kirimkan ke layanan online.

Passive digital footprint

“Jejak digital pasif” adalah jejak data yang Anda tinggalkan secara tidak sengaja. Misalnya, ketika mengunjungi situs web, server web dapat mencatat alamat IP Anda, dapat mengidentifikasi penyedia layanan Internet yang di gunakan dan perkiraan lokasi Anda. Meskipun alamat IP dapat berubah, itu masih dianggap sebagai bagian dari jejak digital. Aspek yang lebih pribadi dari jejak digital pasif adalah riwayat pencarian Anda.

Active digital footprint

“Jejak digital aktif” mencakup data yang Anda kirimkan secara online. Mengirim email juga berkontribusi pada jejak digital aktif Anda. Semakin banyak email yang Anda kirim, semakin banyak jejak digital Anda. Karena kebanyakan orang menyimpan email mereka secara online, pesan yang Anda kirim dapat dengan mudah tetap online selama beberapa tahun atau lebih.

Mempublikasikan blog dan memposting pembaruan media sosial adalah cara lain yang populer untuk memperluas jejak digital Anda. Setiap tweet yang di posting di Twitter, setiap pembaruan status yang Anda publikasikan di Facebook, dan setiap foto yang Anda bagikan di Instagram, semua berkontribusi pada jejak digital Anda. Semakin banyak Anda menghabiskan waktu di situs web jejaring sosial, semakin besar jejak digital Anda. Bahkan “menyukai” halaman atau posting Facebook menambah jejak digital Anda, karena data tersebut disimpan di server Facebook.

Setiap orang yang menggunakan Internet memiliki jejak digital, jadi itu bukan sesuatu yang perlu dikhawatirkan. Namun, adalah bijaksana untuk mempertimbangkan jejak data apa yang Anda tinggalkan. Misalnya, mengingat jejak digital, dapat mencegah Anda mengirim email yang dapat melanggar hukum, karena pesan itu mungkin tetap online selamanya.

Ini juga dapat mengarahkan Anda untuk lebih cerdas dalam apa yang Anda publikasikan di situs web dan media sosial. Meskipun Anda dapat menghapus konten dari situs media sosial, setelah data digital dibagikan, tidak ada jaminan Anda akan dapat menghapusnya dari Internet.

Continue reading Digital footprint

social engineering penetration testing

Social engineering penetration testing adalah praktik percobaan social engineering pada karyawan perusahaan untuk memastikan pegawai perusahaan memahami tingkat kerentanan perusahaan terhadap jenis manipulasi dan penipuan.

Social engineering pen testing dirancang untuk menguji kepatuhan karyawan terhadap kebijakan dan praktik keamanan yang ditentukan oleh manajemen.

Pengujian harus memberi perusahaan informasi tentang bagaimana penyusup dapat meyakinkan karyawan untuk membocorkan atau memberikan akses ke informasi sensitif. Perusahaan juga mendapatkan pemahaman yang lebih baik tentang seberapa sukses pelatihan keamanan mereka.

Social engineering testing bisa jadi adalah bagian dari penetration tests (pen tests) yang lebih komprehensif. Seperti metode ethical hacking, Tes yang dilakukan meniru berbagai upaya yang digunakan penyusup di dunia nyata.

Physical testing, Penguji akan mencoba memasuki gedung atau ruangan pada saat banyak karyawan yang masuk. Penguji mungkin akan bertingkah seperti sedang menelepon dan membawa banyak barang, tindakan penguji untuk melihat apakah ada karyawan yang  memegang atau menahan pintu agar tetap terbuka, atau berpegang pada standar keamanan perusahaan. Namun hal ini tergantung prosedur keamanan perusahaan apakah seorang pegawai harus menggunakan kartu masuk pegawai atau tidak saat memasuki gedung.

Phishing exploits, adalah metode social engineering yang umum dan sering digunakan untuk menguji karyawan. Penguji mungkin akan mengirim email dengan menggunakan nama dari seseorang dalam manajemen, dan meminta karyawan untuk membuka lampiran email. Metode lain adalah dengan berpura-pura menjadi karyawan yang meminta kata sandi baru melalui telepon dan berpura-pura tidak mengerti IT.

Penguji mungkin akan menelepon karyawan dan berpura – pura menjadi karyawan di bagian IT. Penguji akan memberi mereka dengan kata sandi baru dan menyuruh karyawan untuk mengganti kata sandi karyawan dengan kata sandi yang yang penguji berikan.

Continue reading social engineering penetration testing

CVSS (Common Vulnerability Scoring System)

Common Vulnerability Scoring System (CVSS) adalah sebuah framework untuk menilai tingkat keparahan kerentanan keamanan dalam perangkat lunak. Dioperasikan oleh Forum of Incident Response and Security Teams (FIRST), CVSS menggunakan algoritma untuk menentukan tiga peringkat rating keparahan: Base, Temporal dan Environmental. Skornya menggunakan numerik; berkisar dari 0.0 hingga 10.0, skor 10.0 adalah yang paling parah.

Base score adalah metrik yang paling diandalkan oleh perusahaan dan berhubungan dengan kualitas inheren dari suatu  vulnerability. Skor Temporal mewakili kualitas kerentanan yang berubah seiring waktu, dan skor Environmental smewakili kualitas kerentanan yang khusus untuk lingkungan yang terpengaruh.

Menurut versi terbaru dari CVSS, v3.0, penilaian vulnerability sebagai berikut :

• Skor 0.0 menerima peringkat “None“.
• Skor  0.1-3.9 menerima peringkat “Low“.
• Skor 4.0-6.9 menerima peringkat “Medium“.
• Skor 7.0-8.9 menerima peringkat “High“.
• Skor 9.0 – 10.0 menerima peringkat “Critical“.

CVSS memungkinkan organisasi untuk memprioritaskan kerentanan mana yang harus diperbaiki terlebih dahulu dan mengukur dampak dari kerentanan pada sistem mereka.

Banyak organisasi menggunakan CVSS, dan National Vulnerability Database untuk memberikan skor terhadap kerentanan yang paling sering ditemui. Menurut NVD, skor dasar CVSS dari 0.0-3.9 dianggap keparahan “Rendah”; skor dasar CVSS 4.0-6.9 adalah tingkat keparahan “Sedang”; sedangkan skor dasar 7,0-10,0 adalah tingkat keparahan “Tinggi”.

CVSS diperkenalkan pada 2005 oleh National Infrastructure Advisory Council (NIAC), yang menyerahkan manajemen dan pengembangan standar ke FIRST. Versi saat ini, CVSS 3.0, diperkenalkan pada bulan Juni 2015. Sebagai standar yang bebas dan terbuka, beberapa vendor seperti Oracle telah menyesuaikan versi mereka sendiri dari CVSS.

Continue reading CVSS (Common Vulnerability Scoring System)

Session ID

Session ID nomor unik yang diberikan server situs Web untuk pengguna tertentu selama durasi kunjungan (session). ID sesi dapat disimpan sebagai cookie, form field, atau URL (Uniform Resource Locator).

Beberapa server Web menghasilkan ID sesi dengan hanya menambah angka statis. Namun, sebagian besar server menggunakan algoritme yang melibatkan metode yang lebih kompleks, seperti memfaktorkan dalam tanggal dan waktu kunjungan bersama dengan  variables yang ditentukan oleh administrator server.

Setiap kali pengguna Internet mengunjungi situs Web, session ID baru ditetapkan. Menutup browser dan kemudian membuka kembali dan mengunjungi situs itu lagi menghasilkan ID sesi baru. Namun, ID sesi yang sama terkadang dipertahankan selama web browser terbuka, meskipun pengguna meninggalkan situs dan kembali lagi. Dalam beberapa kasus, server Web mengakhiri sesi dan menetapkan ID sesi baru setelah beberapa menit tidak aktif.

Session IDs, dalam bentuk konvensionalnya, tidak menawarkan penjelajahan Web yang aman. Black-hat hacker yang bertalenta dapat memperoleh session ID (sebuah proses yang dinamakan session prediction), kemudian menyamar sebagai pengguna yang sah, bentuk serangan ini dikenal sebagai session hijacking.

Continue reading Session ID

Snort

Snort adalah sistem deteksi intrusi jaringan open source yang dibuat oleh Martin Roesch. Snort adalah program paket sniffer yang memonitor lalu lintas jaringan secara real time, meneliti setiap packet secara detail untuk mendeteksi payload berbahaya atau anomali yang mencurigakan.

Snort bergantung pada tool libpcap (library untuk untuk capture paket), sebuah alat yang banyak digunakan dalam  sniffers dan analisis traffic TCP/IP.

Melalui analisis protocol dan pencarian konten serta pencocokan, Snort mendeteksi metode serangan,termasuk serangan denial of service, buffer overflow, CGI attack, stealth port scanning, dan SMB probes.

Ketika perilaku yang mencurigakan terdeteksi, Snort mengirimkan peringatan real-time ke syslog, file “alert” terpisah, atau ke jendela pop-up.

NSS Group, organisasi penguji keamanan jaringan Eropa, menguji Snort bersama dengan produk sistem deteksi intrusi (IDS) dari 15 vendor besar. Sejumlah perangkat termasuk Cisco, Computer Associates, dan Symantec turut diuji dalam kegiatan ini. Menurut NSS, Snort, yang merupakan satu-satunya produk freeware open source yang diujikan, jelas mengungguli produk proprietary.

Continue reading Snort

Exploit (Komputer)

Exploit komputer, atau exploit, adalah serangan pada sistem komputer, terutama yang memanfaatkan kerentanan tertentu yang ada pada sistem oleh penyusup. Digunakan sebagai kata kerja, exploit mengacu pada tindakan yang berhasil membuat serangan seperti itu.

Exploit memanfaatkan kelemahan dalam sistem operasi, aplikasi atau kode perangkat lunak lainnya, termasuk plug-in aplikasi atau pustaka perangkat lunak. Pemilik kode biasanya mengeluarkan perbaikan, atau patch, sebagai tanggapan. Pengguna sistem atau aplikasi bertanggung jawab untuk mendapatkan tambalan, yang biasanya dapat diunduh dari pengembang perangkat lunak di web, atau dapat diunduh secara otomatis oleh sistem operasi atau aplikasi yang membutuhkannya. Gagal memasang tambalan untuk masalah yang diberikan memaparkan pengguna ke eksploitasi komputer dan kemungkinan pelanggaran keamanan.

Tipe dari Exploit komputer

Eksploitasi keamanan datang dalam berbagai bentuk dan ukuran, tetapi beberapa teknik lebih sering digunakan daripada yang lain. Beberapa kerentanan keamanan berbasis web yang paling umum termasuk serangan SQL injection, cross-site scripting dan cross-site request forgery, serta penyalahgunaan kode otentikasi yang rusak atau kesalahan konfigurasi keamanan.

Eksploitasi komputer dapat dikategorikan dalam beberapa cara berbeda, tergantung pada bagaimana eksploitasi bekerja dan jenis serangan apa yang dapat mereka lakukan. Jenis eksploitasi yang paling dikenal adalah eksploitasi zero-day, yang memanfaatkan kerentanan yang baru ditemukan. Kerentanan zero-day terjadi ketika perangkat lunak – biasanya aplikasi atau sistem operasi – berisi kerentanan keamanan kritis yang tidak disadari vendor. Kerentanan hanya diketahui ketika seorang hacker mendeteksi dan mengeksploitasi kerentanan, maka istilah ini eksploitasi zero-day. Setelah eksploitasi tersebut terjadi, sistem yang menjalankan perangkat lunak dibiarkan rentan terhadap serangan sampai vendor mengeluarkan tambalan untuk memperbaiki kerentanan dan tambalan diterapkan ke perangkat lunak.

Eksploitasi komputer dapat ditandai dengan hasil serangan yang terjadi, seperti denial of service, remote code execution, privilege escalation, pengiriman malware atau tujuan jahat lainnya. Eksploitasi komputer juga dapat ditandai dengan jenis kerentanan yang dieksploitasi, termasuk eksploitasi buffer overflow, code injection, atau jenis kerentanan validasi masukan lainnya dan serangan side-channel.

Bagaimana Exploitasi komputer terjadi?

Meskipun eksploitasi dapat terjadi dalam berbagai cara, salah satu metode umum adalah untuk mengeksploitasi eksploitasi dari situs web berbahaya. Korban dapat mengunjungi situs tersebut secara tidak sengaja, atau mereka mungkin tertipu untuk mengklik tautan ke situs jahat dalam email phishing atau iklan jahat.

Situs web berbahaya yang digunakan untuk eksploitasi komputer dapat dilengkapi dengan paket eksploit, perangkat lunak perangkat lunak yang mencakup perangkat lunak berbahaya yang dapat digunakan untuk melepaskan serangan terhadap berbagai kerentanan browser dari situs web jahat, atau dari situs web yang telah diretas. Serangan semacam itu biasanya menargetkan perangkat lunak yang dikodekan di Java, browser yang tidak ditambal atau plug-in browser, dan mereka biasanya digunakan untuk menyebarkan malware ke komputer korban.

Eksploitasi otomatis, seperti yang diluncurkan oleh situs web jahat, seringkali terdiri dari dua komponen utama: exploit code (kode eksploit) dan shell code (kode shell). Exploit code adalah perangkat lunak yang mencoba mengeksploitasi kerentanan yang diketahui. Shell code adalah payload dari exploit – software yang dirancang untuk berjalan begitu sistem target telah dibobol. Kode shell mendapatkan namanya dari fakta bahwa beberapa payload ini membuka perintah shell yang dapat digunakan untuk menjalankan perintah terhadap sistem target; Namun, tidak semua kode shell benar-benar membuka command shell.

Contoh Kerentanan Serius dan exploit

Dalam beberapa tahun terakhir, banyak eksploitasi profil tinggi telah digunakan untuk melakukan pelanggaran data besar-besaran dan serangan malware. Pada 2016, misalnya, Yahoo mengumumkan peretasan yang terjadi bertahun-tahun sebelumnya telah menyebabkan data 1 miliar pengguna bocor. Penyerang memperoleh akses ke akun email pengguna karena kata sandi dilindungi oleh MD5, yang merupakan algoritma hashing yang lemah dan ketinggalan zaman.

Continue reading Exploit (Komputer)

man-in-the-middle attack

Serangan man in the middle adalah di mana penyerang diam-diam mencegat dan menyampaikan pesan antara dua pihak yang percaya bahwa mereka berkomunikasi langsung satu sama lain.

man-in-the-middle

Serangan MiTM menimbulkan ancaman serius bagi keamanan online karena memberi penyerang kemampuan untuk menangkap dan memanipulasi informasi sensitif secara real-time. Serangan adalah jenis penyadapan di mana seluruh percakapan dikendalikan oleh penyerang. Kadang-kadang disebut sebagai sesi serangan pembajakan, MiTM memiliki peluang sukses yang besar ketika penyerang dapat menyamar sebagai pihak masing-masing (client dan server) untuk kedua pihak lain (korban) tidak menyadari terjadi serangan man-in-the-midlle.

Metode umum untuk mengeksekusi serangan MiTM melibatkan penyebaran malware yang memberikan penyerang akses ke browser Web pengguna dan data yang dikirim dan diterima selama transaksi dan percakapan. Setelah penyerang memiliki kontrol, ia dapat mengarahkan pengguna ke situs palsu yang terlihat seperti situs yang diharapkan dijangkau oleh pengguna. Penyerang kemudian dapat membuat koneksi ke situs nyata dan bertindak sebagai proxy untuk membaca, menyisipkan, dan memodifikasi lalu lintas antara pengguna dan situs yang sah. Perbankan online dan situs e-commerce sering menjadi target serangan MITM sehingga penyerang dapat menangkap kredensial masuk dan data sensitif lainnya.

Sebagian besar protokol kriptografi menyertakan beberapa bentuk otentikasi titik akhir khusus untuk mencegah serangan MITM. Misalnya, protokol Transport Layer Security (TLS) dapat diminta untuk mengautentikasi satu atau kedua pihak menggunakan otoritas sertifikat yang saling dipercaya. Namun, kecuali pengguna memperhatikan peringatan saat sertifikat tersangka diberikan, serangan MITM masih dapat dilakukan dengan sertifikat palsu atau aspal (sertifikat palsu yang menyerupai asli).

Penyerang juga dapat mengeksploitasi kerentanan dalam konfigurasi keamanan router nirkabel yang disebabkan oleh kata sandi yang lemah atau default. Misalnya, malicious router, juga disebut evil twin, dapat dipasang di tempat umum seperti kafe atau hotel untuk mencegat informasi yang datang dan pergi melalui router evil twin tersebut.

Cara lain yang sering dilakukan penyerang melakukan serangan man-in-the-middle termasuk Address Resolution Protocol (ARP) spoofing, domain name system (DNS) spoofing, Spanning Tree Protocol (STP) mangling, port stealing, Dynamic Host Configuration Protocol (DHCP) spoofing, Internet Control Message Protocol (ICMP) redirection, traffic tunneling dan route mangling.

Continue reading man-in-the-middle attack

Phising

Phishing adalah bentuk penipuan di mana penyerang menyamar sebagai entitas atau orang yang memiliki reputasi baik di email atau saluran komunikasi lainnya. Penyerang menggunakan email phishing untuk mendistribusikan tautan berbahaya atau lampiran yang dapat melakukan berbagai fungsi, termasuk ekstraksi kredensial login atau informasi akun dari korban.

Phishing populer di kalangan penjahat dunia maya, karena jauh lebih mudah untuk menipu seseorang agar mengklik tautan jahat dalam email phishing yang tampaknya sah daripada mencoba menerobos pertahanan komputer.

Bagaimana Penyebaran phishing

Serangan phishing biasanya mengandalkan teknik jejaring sosial yang diterapkan pada email atau metode komunikasi elektronik lainnya, termasuk pesan langsung yang dikirim melalui jejaring sosial, pesan teks SMS dan mode pesan instan lainnya.

Phisher kadang juga menggunakan social engineering dan sumber informasi publik lainnya, termasuk jejaring sosial seperti LinkedIn, Facebook dan Twitter, untuk mengumpulkan informasi latar belakang tentang sejarah pribadi dan pekerjaan korban, minatnya, dan aktivitasnya.

Sebelum menyerang, Proses pengintaian dapat mengungkap nama, jabatan, dan alamat email calon korban, serta informasi tentang kolega mereka dan nama-nama karyawan dan jabatannya di organisasi mereka. Informasi ini kemudian dapat digunakan untuk membuat email yang dapat dipercaya. Serangan bertarget, termasuk yang dilakukan oleh kelompok-kelompok ancaman persisten tingkat lanjut (APT), biasanya dimulai dengan email phishing yang berisi tautan jahat atau lampiran email.

Kelompok cybercriminal seringkali menggunakan tata bahasa baku seperti yang digunakan pemasar profesional. Untuk mengidentifikasi jenis pesan terkait phishing yang mendapatkan tingkat buka atau click-through rate dan posting Facebook yang menghasilkan paling banyak “like”.

Karakteristik Penyebaran Phishing

Penyebaran phishing sering marak di sekitar peristiwa besar, musim liburan, hari besar atau mengambil keuntungan dari berita, baik benar atau hoax. Biasanya, seorang korban menerima pesan yang tampaknya telah dikirim oleh kontak atau organisasi yang dikenal.

Serangan bisa dilakukan baik melalui lampiran email  yang berisi software untuk  tujuan phishing, atau melalui tautan yang terhubung ke situs web berbahaya. Dalam kedua kasus tersebut, tujuannya adalah untuk menginstal malware pada perangkat pengguna atau mengarahkan korban ke situs web berbahaya yang diatur untuk mengelabui mereka agar membocorkan informasi pribadi dan keuangan, seperti kata sandi, ID akun, atau detail kartu kredit.

Pesan phishing yang sukses, biasanya direpresentasikan berasal dari perusahaan terkenal, dan biasanya sulit dibedakan dari pesan otentik. Email phishing dapat menyertakan logo perusahaan dan gambar pengidentifikasi lainnya serta data yang dikumpulkan dari perusahaan yang di salah diartikan. Tautan berbahaya dalam pesan phishing biasanya juga dirancang untuk membuatnya seolah-olah masuk ke organisasi palsu. Penggunaan subdomain dan salah eja URL (kesalahan ketik) adalah trik umum, seperti penggunaan teknik manipulasi tautan lainnya.

Tipe Phishing

Ketika para praktisi keamanan terus meng-edukasi pengguna untuk menanggulangi phishing dan menerapkan strategi anti-phishing. Penjahat cyber terus mengasah keterampilan mereka pada serangan phishing yang ada dan meluncurkan jenis baru penipuan phishing. Beberapa jenis serangan phishing yang umum terjadi meliputi :

Serangan Spear phishing

Spear phising diarahkan pada individu atau perusahaan tertentu, biasanya menggunakan informasi khusus untuk korban yang telah dikumpulkan.

Tingkat keberhasilan sangat tinggi karena terlihat seperti mewakili pesan otentik. Email Spear phishing mungkin terkait informasi perusahaan yang di tujukan kepada karyawan atau eksekutif di organisasi korban, serta penggunaan nama korban, lokasi atau informasi pribadi lainnya.

Whaling attacks

Whaling attack adalah jenis serangan Spear phising yang secara khusus menargetkan eksekutif senior dalam suatu organisasi, seringkali dengan tujuan mencuri dalam jumlah besar. Mereka yang menyiapkan Spear phising  meneliti korban mereka secara rinci untuk membuat pesan yang terlihat lebih asli, karena menggunakan informasi yang relevan atau spesifik untuk target meningkatkan peluang serangan menjadi sukses.

Whaling attack sering menargetkan karyawan dengan kemampuan untuk mengotorisasi pembayaran, dengan pesan phishing yang tampaknya merupakan perintah dari eksekutif untuk mengesahkan pembayaran besar kepada vendor misalnya. Pada kenyataannya, pembayaran akan dilakukan kepada penyerang atau orang yang membuat email phising.

Pharming

Pharmin adalah jenis phishing yang bergantung pada DNS cache poisoning  untuk mengarahkan ulang pengguna dari situs yang sah ke situs yang palsu, dan menipu pengguna agar menggunakan kredensial login mereka untuk mencoba masuk ke situs penipuan.

Serangan kloning phishing ini menggunakan pengiriman sebelumnya, tetapi email yang sah dan berisi tautan atau lampiran. Penyerang membuat salinan – atau tiruan – dari email yang sah, mengganti satu atau lebih tautan atau file yang dilampirkan dengan tautan jahat atau lampiran malware. Karena pesan tersebut tampaknya merupakan salinan dari email asli yang sah, para korban seringkali dapat diperdaya untuk mengklik tautan jahat atau membuka lampiran yang berisi program atau kode berbahaya.

Teknik ini sering digunakan oleh penyerang yang telah menguasai sistem korban lain. Dalam hal ini, penyerang memanfaatkan kendali mereka atas satu sistem untuk  beroperasi dalam suatu organisasi menggunakan pesan email dari pengirim tepercaya yang diketahui para korban.

Phisher terkadang menggunakan serangan Wi-Fi duplikat (istilah Wi-Fi samaran atau kembar disebut evil twin) dengan menerupai akses poin Wi-Fi dan dengan nama yang mirip dengan akses poin yang sah.

Ketika korban terhubung ke jaringan Wi-Fi evil twin, penyerang mendapatkan akses apapun transmisi yang masuk maupun keluar dari perangkat korban, termasuk ID pengguna dan kata sandi. Penyerang juga dapat menggunakan vektor ini untuk menargetkan perangkat korban dengan permintaan penipuan mereka sendiri untuk kredensial sistem yang tampaknya berasal dari sistem yang sah.

Voice phishing,

juga dikenal sebagai vishing, adalah bentuk phishing yang terjadi pada media komunikasi suara, termasuk voice over IP (VoIP) dan layanan telepon biasa. Jenis penipuan yang biasanya memberi tahu korban tentang aktivitas mencurigakan di bank atau akun kartu kredit, dan meminta korban untuk menanggapi nomor telepon jahat untuk memverifikasi identitasnya – sehingga membahayakan kredensial akun korban.

Serangan phishing lain yang berorientasi perangkat seluler, phishing SMS – juga kadang-kadang disebut SMishing atau SMShing – menggunakan pesan teks untuk meyakinkan korban untuk mengungkapkan kredensial akun atau menginstal malware.

Phishing techniques

Serangan phishing tidak hanya bergantung pada mengirim email ke korban dan berharap mereka mengklik tautan jahat atau membuka lampiran yang dsertakan. Beberapa penipuan phishing menggunakan JavaScript untuk menempatkan gambar dengan URL yang sah di bilah alamat browser. URL yang diungkapkan dengan mengarahkan kursor ke tautan yang disematkan juga dapat diubah dengan menggunakan JavaScript.

Untuk sebagian besar serangan phising, baik yang dilakukan melalui email atau media lain, tujuannya adalah membuat korban mengikuti tautan yang tampaknya mengarah ke website yang sah, tetapi yang sebenarnya membawa korban ke website jahat.

Taktik phishing lain adalah dengan menggunakan layanan pemendekan tautan (link shortening) seperti Bitly untuk menyembunyikan tujuan tautan. Korban tidak memiliki cara untuk mengetahui apakah URL yang diperpendek mengarah ke website yang sah atau ke website berbahaya.

Spoofing homograf bergantung pada URL yang dibuat menggunakan karakter logis berbeda untuk membaca persis seperti domain tepercaya. Sebagai contoh, penyerang dapat mendaftarkan domain yang menggunakan rangkaian karakter berbeda yang menampilkan cukup dekat dengan domain yang sudah terkenal dan terkenal. Contoh awal dari spoofing homograf meliputi penggunaan angka 0 atau 1 untuk mengganti huruf O atau l.

Sebagai contoh, penyerang mungkin mencoba untuk menipu domain microsoft.com dengan m! Crosoft.com, mengganti huruf i dengan tanda seru. Domain berbahaya juga dapat mengganti karakter Latin dengan Cyrillic, Greek, atau set karakter lainnya yang menampilkan karakter serupa.

Taktik phishing lain bergantung pada pengalihan terselubung, di mana kerentanan pengalihan terbuka gagal memeriksa apakah URL yang diarahkan itu mengarah ke sumber yang tepercaya.  URL yang dialihkan adalah laman perantara, berbahaya yang mengumpulkan informasi otentikasi dari korban sebelum meneruskan browser korban ke situs yang sah.

Cara Mencegah atau Menghindari Phishing

Pertahanan phishing dimulai dengan mendidik pengguna untuk mengidentifikasi pesan-pesan phishing, tetapi ada taktik lain yang dapat mengurangi serangan yang berhasil.

Filter email gateway dapat menahan banyak email phising yang ditargetkan secara massal dan mengurangi jumlah email phishing yang mencapai kotak masuk pengguna.

Server email perusahaan harus menggunakan setidaknya satu standar otentikasi email untuk memverifikasi setiap email masuk. Ini termasuk protokol Kerangka Kebijakan Pengirim (Sender Policy Framework – SPF), yang dapat membantu mengurangi email yang tidak diminta (spam).

Protokol DomainKeys Identified Mail (DKIM), yang memungkinkan pengguna untuk memblokir semua pesan kecuali yang telah ditandatangani secara kriptografis; dan protokol Domain-based Message Authentication, Reporting and Conformance (DKIM ), yang menetapkan bahwa SPF dan DKIM digunakan untuk email masuk.

Gateway keamanan web juga dapat memberikan lapisan pertahanan lain dengan mencegah pengguna mencapai target tautan jahat. Mereka bekerja dengan memeriksa URL yang diminta terhadap database situs yang terus diperbarui yang diduga menyebarkan malware.

Sejarah Penggunaan Nama Phishing

Sejarah istilah phishing tidak sepenuhnya jelas.

Salah satu penjelasan umum untuk istilah ini adalah bahwa phishing adalah homophone dari fishing (memancing), dan dinamakan demikian karena penipuan phishing menggunakan umpan untuk menangkap korban.

Continue reading Phising