Clickjacking merupakan salah satu teknik serangan yang relatif modern dibandingkan dengan metode serangan siber lain, seperti brute force atau phishing. Kemunculan clickjacking terjadi seiring dengan berkembangnya teknologi web interaktif di era internet modern. Berikut adalah sejarah dan evolusi clickjacking dari awal hingga sekarang.
Perkembangan Clickjacking dari Tahun ketahun
2002: Awal Mula Konsep Clickjacking
Konsep dasar dari clickjacking sebenarnya sudah ada sejak awal 2000-an ketika desain dan antarmuka web mulai menjadi lebih dinamis dan interaktif. Namun, saat itu serangan ini belum terlalu dikenal secara luas atau dianggap sebagai ancaman yang serius. Pada masa ini, kerentanan pada antarmuka pengguna sebagian besar terfokus pada manipulasi tampilan sederhana atau pop-up yang mengganggu, dan belum melibatkan pengambilan kontrol klik pengguna.
Penggunaan iframe (bingkai di dalam halaman web) mulai berkembang di awal 2000-an, memberikan penyerang kemungkinan untuk menampilkan elemen dari situs lain di dalam sebuah halaman web. Konsep serangan clickjacking mulai terbentuk dari teknik ini, di mana iframe bisa dimanipulasi untuk memuat konten atau tombol yang sebenarnya tidak terlihat oleh pengguna.
2008: Clickjacking Diungkap oleh Peneliti Keamanan
Serangan clickjacking pertama kali didefinisikan dan dipublikasikan secara luas pada 2008 oleh dua peneliti keamanan ternama, Jeremiah Grossman dan Robert Hansen. Dalam sebuah konferensi keamanan, mereka menjelaskan bagaimana penyerang dapat memanipulasi klik pengguna dengan menyembunyikan elemen yang tidak terlihat di atas antarmuka pengguna yang sah, sehingga pengguna tanpa sadar melakukan tindakan berbahaya.
Mereka menunjukkan bagaimana serangan clickjacking bekerja dengan menggunakan iframe transparan untuk memuat konten dari situs lain. Penyerang bisa memanfaatkan celah ini untuk membuat pengguna mengklik sesuatu yang tidak mereka ketahui, seperti mengaktifkan kamera web atau memberikan izin akses ke data pribadi.
Penelitian Grossman dan Hansen menarik perhatian besar di dunia keamanan siber, terutama karena clickjacking adalah serangan yang sulit dideteksi oleh pengguna biasa. Setelah temuan ini dipublikasikan, clickjacking mulai dianggap sebagai ancaman serius bagi keamanan web.
2009-2010: Peningkatan Serangan Clickjacking
Setelah terungkapnya serangan ini pada 2008, clickjacking menjadi semakin sering digunakan oleh penyerang siber. Banyak situs web media sosial, terutama Facebook dan Twitter, menjadi target utama serangan clickjacking, karena popularitas platform ini memungkinkan penyebaran konten berbahaya dengan cepat. Likejacking—di mana penyerang membuat pengguna secara tidak sengaja mengklik tombol “Suka” pada Facebook—mulai menjadi umum pada periode ini.
Pada 2010, para penyerang juga mulai menggunakan clickjacking untuk menargetkan sistem online yang lebih kompleks. Misalnya, beberapa serangan clickjacking digunakan untuk menipu pengguna agar memberikan izin pada aplikasi web tertentu atau menyetujui pembayaran online tanpa sepengetahuan mereka.
Baca Sebelumnya : Apa itu Clickjacking : bahaya dan cara mencegahnya
2011-2014: Perkembangan Perlindungan Clickjacking
Menyadari meningkatnya risiko clickjacking, banyak pengembang situs web dan penyedia platform mulai mengambil tindakan pencegahan. Pada tahun 2011, Facebook menjadi salah satu perusahaan pertama yang memperkenalkan langkah-langkah untuk melindungi penggunanya dari serangan clickjacking. Mereka mulai menggunakan teknik framebusting, yaitu mekanisme yang memblokir pemuatan situs web mereka di dalam iframe, sehingga mengurangi risiko serangan clickjacking.
Di sisi lain, Google juga mulai menerapkan kebijakan keamanan yang lebih ketat di berbagai layanannya untuk melindungi pengguna dari serangan semacam ini. Perusahaan-perusahaan besar lainnya, seperti Twitter dan PayPal, mengikuti langkah ini dan mulai menggunakan X-Frame-Options, yang memungkinkan situs web menentukan apakah halaman mereka dapat di-embed di dalam iframe pada situs lain.
Selain itu, muncul standar keamanan baru bernama Content Security Policy (CSP), yang memberi pengembang web alat lebih lanjut untuk melindungi situs mereka dari ancaman clickjacking. CSP memungkinkan pengaturan lebih detail tentang bagaimana dan di mana konten dari situs web dapat dimuat, termasuk iframe.
2015 dan Seterusnya: Clickjacking Menjadi Bagian dari Serangan yang Lebih Kompleks
Sejak 2015, serangan clickjacking terus berkembang dan menjadi bagian dari rangkaian serangan siber yang lebih kompleks. Penyerang tidak lagi hanya menggunakan clickjacking untuk menyebarkan konten media sosial, tetapi juga untuk mencuri data pribadi, menginfeksi perangkat dengan malware, atau mendapatkan kontrol atas akun pengguna.
Contoh modern dari serangan clickjacking melibatkan kombinasi dengan serangan phishing atau cross-site scripting (XSS). Penyerang mungkin mengarahkan pengguna ke situs yang tampaknya aman, di mana klik mereka diarahkan ke elemen tersembunyi yang berbahaya. Pada periode ini, serangan clickjacking juga mulai menargetkan perangkat mobile, terutama dengan meningkatnya penggunaan aplikasi web di ponsel cerdas.
Baca juga : Apa itu Brute Force dari Serangan Siber hingga Kekerasan Pemecahan Kode
Evolusi Teknik Serangan
Pada era ini, variasi serangan clickjacking seperti cursorjacking (pengubahan lokasi kursor pengguna) dan formjacking (penyerangan pada form web untuk mencuri data) mulai muncul. Serangan ini menjadi lebih sulit dideteksi, dan pengguna biasa sering kali tidak menyadari bahwa mereka telah menjadi korban.
Perkembangan Keamanan dan Masa Depan Clickjacking
Di tengah meningkatnya ancaman clickjacking, perlindungan terus berkembang. Sebagian besar browser modern seperti Google Chrome, Firefox, dan Microsoft Edge telah menerapkan langkah-langkah keamanan bawaan untuk meminimalkan risiko serangan clickjacking, seperti memblokir konten iframe dari sumber yang tidak terpercaya.
Namun, ancaman clickjacking masih ada, terutama di situs web yang tidak menerapkan langkah-langkah perlindungan yang memadai. Banyak situs web kecil dan menengah masih rentan terhadap serangan ini, terutama jika mereka menggunakan iframe dari sumber eksternal atau tidak menggunakan X-Frame-Options dan CSP dengan benar.
Ke depan, dengan meningkatnya adopsi teknologi web interaktif seperti Progressive Web Apps (PWA) dan WebAssembly, serangan clickjacking kemungkinan akan terus berevolusi. Perlindungan yang lebih canggih serta edukasi pengguna yang lebih baik akan menjadi kunci untuk mengurangi dampak serangan clickjacking di masa depan.
Kesimpulan
Clickjacking adalah teknik serangan siber yang terus berkembang sejak ditemukan pada 2008. Dari manipulasi sederhana dengan iframe hingga menjadi bagian dari serangan yang lebih kompleks, clickjacking telah menjadi ancaman serius bagi keamanan web. Meskipun berbagai langkah perlindungan telah diterapkan oleh banyak perusahaan dan browser, pengguna tetap harus waspada terhadap serangan ini. Dengan kombinasi perlindungan teknologi seperti X-Frame-Options, CSP, dan edukasi pengguna, ancaman clickjacking dapat diminimalkan, namun selalu ada potensi untuk berkembang seiring dengan kemajuan teknologi web.
Jika anda butuhkan, keamanan yang holistik untuk perusahaan ataupun yayasan anda, kami Leyun Cloud Asia dapat menjadi Konsultan Keamanan Siber yang siap memberikan solusi kemanan siber bagi perusahaan anda, detailnya hubungi kami di form dibawah ini !