Teknik-teknik Kriptografi untuk Menangkal Praktek Phishing

dokumen-dokumen yang mirip
Penerapan Digital Signature pada Dunia Internet

Untuk mengaktifkan SSL pada situs anda, anda perlu memasang sertifikat SSL yang sesuai dengan server dan situs anda. Saat seorang pengunjung

Analisis Manajemen Kunci Pada Sistem Kriptografi Kunci Publik

Nama : Ari Dwijayanti NIM : STI Keamanan Jaringan. HTTPS (Hyper Text Tranfer Protocol Secure) Sejarah dan Pengertian HTTPS

Pengantar E-Business dan E-Commerce

STUDI KASUS PENGGUNAAN TinyCA SEBAGAI APLIKASI CERTIFICATE AUTHORIZATION (CA) YANG MUDAH DAN SEDERHANA PADA SISTEM OPERASI UBUNTU

E-PAYMENT. Sistem pembayaran (E-Paymen System) memerlukan suatu persyaratan yang mencakup :

Public Key Infrastructure (PKI)

ANALISIS KEAMANAN PROTOKOL PADA INFRASTRUKTUR KUNCI PUBLIK

KEAMANAN DALAM E-COMMERCE

Algoritma Multivariate Quadratic untuk Keamanan E-commerce

Waspadai Penipuan Bermodus Phishing. Apa itu phishing? Bagaimana phishing dilakukan?

Penggunaan Teknologi Komputer di Bidang Perbankan. Disusun Oleh : : M. Agus Munandar : P

Penerapan Kriptografi dalam Pengamanan Transaksi Internet Banking

Metode Autentikasi melalui Saluran Komunikasi yang Tidak Aman

Digital Cash. Septia Sukariningrum, Ira Puspitasari, Tita Mandasari

BAB I PENDAHULUAN. 1.1 Latar Belakang Penelitian

Dwi Hartanto, S,.Kom 10/06/2012. E Commerce Pertemuan 10 1

Studi dan Analisis Penggunaan Secure Cookies Berbasis Kriptografi Kunci Publik untuk Aplikasi ecommerce

Adapun proses yang terdapat dalam E-Commerce meliputi sebagai berikut : 1. Presentasi electronis (Pembuatan Website) untuk produk dan layanan.

Sistem Keamanan Transaksi e-commerce

BAB I PENDAHULUAN. Kemajuan perkembangan internet dan kemudahan dalam pengaksesannya

Analisis Kelemahan Fungsi Hash, Pemanfaatan, dan Penanggulangannya

Waspadai Penipuan Bermodus Phishing

BAB III TAGIHAN YANG SEBENARNYA. Electronic Bill Presentment And Payment adalah salah satu sarana yang

Pengaturan OpenDNS. OpenDNS untuk meningkatkan waktu respon Web navigasi

Annisa Cahyaningtyas

WALIKOTA YOGYAKARTA PR DAERAH ISTIMEWA YOGYAKARTAAR PERATURAN WALIKOTA YOGYAKARTA NOMOR 91 TAHUN 2017 TENTANG

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

KEAMANAN E-COMMERCE MENGGUNKAN SECURE TRANSAKSI ELEKTRONIK

INFRASTRUKTUR KRIPTOGRAFI PADA SECURITY TOKEN UNTUK KEPERLUAN INTERNET BANKING

PROGRAM STUDI S1 SISTEM KOMPUTER UNIVERSITAS DIPONEGORO. By: Rinta Kridalukmana, S. Kom, MT

Mewaspadai Penipuan Berkedok Phising

Manajemen Keamanan Informasi

Analisis dan Implementasi Penerapan Enkripsi Algoritma Kunci Publik RSA Dalam Pengiriman Data Web-form

Security Sistem Informasi.

PERATURAN KEPALA LEMBAGA SANDI NEGARA NOMOR 7 TAHUN 2016 TENTANG OTORITAS SERTIFIKAT DIGITAL DENGAN RAHMAT TUHAN YANG MAHA ESA

Analisis Implementasi dan Keamanan Digital Signature pada Kartu Kredit

BAB I PENDAHULUAN. layanannya menggunakan Hand phone, Tablet PC atau website maka dibutuhkan

PERANCANGAN PROTOKOL SMS BANKING

TEKNOLOGI SEKURITAS E-COMMERCE

Judul : JENIS ANCAMAN DAN SOLUSI KEAMAN DALAM E-COMMERCE Sifat : Tugas Individu Topik : IoT/E-Commerce/Blockchain/ Wireless Sensor Networks/

e-security: keamanan teknologi informasi

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

MAKALAH KEAMANAN KOMPUTER PHISING. Oleh : ARIS WINANDI ( ) 2011 E

MAKALAH DIGITAL SIGNATURE. Disusun Untuk Memenuhi Tugas Mata Kuliah Sekuriti Komputer. Disusun oleh : NAMA : FAUZAN BEKTI NUGOHO NIM :

Pengamanan Web Browser

E-Commerce. Ade Sarah H., M. Kom

Bab 4 Hasil dan Pembahasan

PENERAPAN DIGITAL SIGNATURE PADA DUNIA PERBANKAN Faisal Agus Nugraha, Arie Yanda Ibrahim. Pasca Sarjana Teknik Informatika Universitas Sumatera Utara

Lebih kompatibel dengan Windows karena memang IIS adalah keluaran Microsoft.

2. Bagaimana Kami Menggunakan Informasi Anda

Pengujian Man-in-the-middle Attack Skala Kecil dengan Metode ARP Poisoning

BAB 3 METODOLOGI. Gambar 3.1 Security Policy Development Life Cycle (SPDLC)

Tanda Tangan Digital pada E-Resep untuk Mencegah Pemalsuan Resep Dokter dan sebagai Media Anti Penyangkalan Dokter

INTERNET, INTRANET, DAN ELECTRONIC COMMERCE KONSEP SISTEM INFORMASI AKUNTANSI

ADOPSI ENKRIPSI JEFFERSON WHEEL PADA PROTOKOL ONE-TIME PASSWORD AUTHENTICATION UNTUK PENCEGAHAN SNIFFING PADA PASSWORD

Pada sistem terdistribusi, security berfungsi untuk: pengambilan informasi oleh penerima yang tidak berhak

2.1. Prosedur operasional baku ini mencakup prosedur penggunaan layannan IPB

TUGAS E-COMMERCE MASALAH YANG TIMBUL DALAM E-COMMERCE DI SUSUN OLEH NAMA : RIDWAN M. YUSUF KELAS : S1 SI 4I NIM : JURUSAN SISTEM INFORMASI

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

ALGORITMA ELGAMAL UNTUK KEAMANAN APLIKASI

MATERI MUATAN REGULASI INFORMASI DAN TRANSAKSI ELEKTRONIK

Kejahatan Kartu Kredit via Internet: Hantu E-Commerce?

Public Key Infrastructure (PKI)

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom., M.Kom

CHAPTER 8 MELINDUNGI SISTEM INFORMASI

TUGAS DIGITAL SIGNATURE

BAB 2 TINJAUAN PUSTAKA

commerce di Indonesia sebesar US$ 230 juta, dan diperkirakan akan meningkat

PENGGUNAAN DIGITAL SIGNATURE DALAM SURAT ELEKTRONIK DENGAN MENYISIPKANNYA PADA DIGITIZED SIGNATURE

Kebijakan Privasi. Cakupan. Jenis Data dan Metode Pengumpulan

Modul Praktikum Keamanan Sistem

Kebijakan Privasi (Privacy Policy)

Cryptanalysis. adalah suatu ilmu dan seni membuka (breaking) ciphertext dan orang yang melakukannya disebut cryptanalyst.

Kebutuhan ini muncul karena sumber tersebut digunakan secara bersama

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Pengertian M-Commerce

E-Commerce STIMIK MUHAMMADIYAH BANTEN. Oleh : : Roji Muhidin NIM :

2012, No BAB I KETENTUAN UMUM Pasal 1 Dalam Peraturan Pemerintah ini yang dimaksud dengan: 1. Sistem Elektronik adalah serangkaian perangkat dan

Jenis ancaman jaringan Dan Cara mengatasinya

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

APPLICATION LAYER. Pengertian Application layer Service application layer (HTTP, DNS, SMTP)

DIGITAL CERTIFICATE & DIGITAL SIGNATURE

Jurnal Ilmiah Komputer dan Informatika (KOMPUTA) KEAMANAN HTTP DAN HTTPS BERBASIS WEB MENGGUNAKAN SISTEM OPERASI KALI LINUX

Siapa Perlu Peduli Ancaman Cybercrime?

BAB I PENDAHULUAN. di seluruh Dunia. Internet sebagai media komunikasi kini sudah biasa. memasarkan dan bertransaksi atas barang dagangannya.

Fathirma ruf

WEB SERVER DAN E-COMMERCE

SISTEM PEMBAYARAN DALAM TRANSAKSI ONLINE

Tanda-Tangan Digital, Antara Ide dan Implementasi

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

PROSEDUR OPERASIONAL BAKU. Pengelolaan & Penggunaan Mail IPB

BAB I PENDAHULUAN 1.1. Latar Belakang

A. Registrasi Sertifikat Elektronik pada RA Kominfo

Protokol Kriptografi

BAB I. Pendahuluan. dan sebagai penunjang dalam pengembangan pasar, meningkatkan efisiensi, dapat

SISTEM INFORMASI MANAJEMEN

ABSTRAK. Kata kunci :SSL, RSA, MD5, Autentikasi, Kriptografi. Universitas Kristen Maranatha

Transkripsi:

Teknik-teknik Kriptografi untuk Menangkal Praktek Phishing Imam Habibi, Keeghi Renandy, Yohanes Seandy Sunjoko Departemen Teknik Informatika Institut Teknologi Bandung Jalan Ganesha 10 Bandung 40132 E-mail : if12042@students.if.itb.ac.id, if12026@students.if.itb.ac.id, if12038@students.if.itb.ac.id Abstraksi Dalam kegiatan berbisnis secara elektronik yang dikenal dengan nama e-commerce, aspek keamanan menjadi sebuah hal yang penting. Praktek-praktek kecurangan seperti phishing kerap terjadi. Pada makalah ini dipaparkan teknik-teknik yang dapat digunakan untuk menangkal praktek tersebut sehingga tingkat keamanan pengguna jaringan komputer terjaga dengan baik. Teknikteknik tersebut adalah strong website authentication, mail server authentication, mail authentication via digital signature. Pada makalah ini dikemukakan pula keuntungan dan kerugian dari setiap teknik. Kata kunci: authentication, phishing, digital signature. 1. Pendahuluan Perkembangan teknologi informasi pada abad ke-21 ini telah memberikan kepraktisan bagi masyarakat modern untuk melakukan berbagai kegiatan komunikasi secara elektronik, salah satunya dalam bidang bisnis seperti perdagangan dan perbankan. Kegiatan berbisnis secara elektronik ini dikenal dengan nama e-commerce. Dengan teknologi informasi, khususnya dengan jaringan komputer yang luas seperti Internet, barang dan jasa dapat dipromosikan secara luas dalam skala global. Kepada calon konsumen pun diberikan pula kemudahan-kemudahan yang memungkinkan mereka mengakses dan membeli produk dan jasa yang dimaksud secara praktis, misalnya pelayanan kartu kredit. Perkembangan ini rupanya membawa serta dampak negatif dalam hal keamanan. Praktek-praktek kejahatan dalam jaringan komputer kerap terjadi dan meresahkan masyarakat, misalnya pencurian sandi lewat dan nomor rahasia kartu kredit. Akibat dari hal seperti ini, aspek keamanan dalam penggunaan jaringan komputer menjadi hal yang krusial. Kriptografi hadir untuk menjawab tantangan tersebut. Kriptografi merupakan sebuah ilmu dan seni yang bertujuan untuk menjaga kerahasiaan dan keamanan dari pesan. Yang dimaksud dengan kerahasiaan adalah bahwa pesan yang hendak dikirim disandikan terlebih dahulu ke dalam suatu bentuk yang tidak bermakna. Yang dimaksud dengan keamanan adalah bahwa

2 Teknik-teknik Kriptografi untuk Menangkal Praktek Phishing dalam hal penyampaian pesan dari pengirim kepada penerima, perlu diperhatikan keaslian pengguna, keaslian pesan, dan ketiadaan penyangkalan dari pengirim. Pada makalah ini dipaparkan teknik-teknik kriptografi yang dapat digunakan untuk menangkal satu jenis kejahatan yang belakangan sering terjadi dalam dunia maya, yaitu phishing. Pemaparan tersebut mencakup pula keuntungan dan kerugian dari setiap teknik. Teknik-teknik tersebut adalah: 1. strong website authentication 2. mail server authentication 3. mail authentication via digital signature 2. Phishing Menurut definisi dalam [1], phishing adalah usaha untuk mendapatkan suatu informasi penting, misalnya sandi lewat atau informasi kartu kredit, dengan cara memanfaatkan seseorang atau sebuah perusahaan bisnis yang sudah dikenal dan dipercaya oleh masyarakat, seperti bank, online retailer, dan perusahaan penerbit kartu kredit ternama. Sarana yang umumnya digunakan adalah pesan elektronik, pesan instan, dan situs jaringan palsu. Melalui sarana tersebut korban dikendalikan untuk menyerahkan informasi-informasi rahasia yang diinginkan. Karena itu, phising tergolong dalam bentuk social engineering. Nama ini sebetulnya merupakan akronim dari sebuah jargon, yaitu password harvesting fishing. Serangan phishing menggunakan penipuan e- mail untuk memikat penerimanya menuju situs jaringan yang tidak benar. Penipuan e-mail merupakan teknik yang memanfaatkan pengubahan metadata/header email melalui protokol SMTP (simple mail transfer protocol) sehingga pengirim dapat memalsukan identitas dirinya menjadi pihak lain yang dikenal oleh penerima. Masalah utama terjadinya praktek phishing adalah ketiadaan pemeriksaan asal e-mail. SMTP (Simple Mail Transfer Protocol) mengizinkan mengisi isian FROM dengan alamat apapun, sehingga phishers dapat memanfaatkannya untuk memperdaya penerima e-mail [1]. Celakanya, sebesar 5% dari seluruh target phishing menanggapi penipuan e-mail ini. Akibatnya, banyak pengguna menderita berbagai kerugian berupa pemakaian kartu kredit oleh pihak yang tidak bertanggung jawab, pencurian indentitas, dan kerugian lainnya. Di samping itu, pengguna jasa e-commerce juga merasa dirugikan oleh pihak perusahaan yang tidak dapat melakukan suatu tindakan pencegahan terhadap tindakan phishing. Mereka menuntut perusahaan tersebut untuk memakai teknologi baru yang dapat menjamin keaslian e-mail dan situs jaringan. Statistik berikut menyatakan persentase pemasangan situs jaringan yang melakukan phising di berbagai belahan dunia [2]: 1. Amerika Serikat 35.0 % 2. Korea Selatan 16.0 % 3. RRC 15.0 % 4. Rusia 7.0 % 5. Inggris 5.5 % 6. Meksiko 4.5 % 7. Taiwan 2.5 % Kerugian akibat phising meningkat setiap tahunnya dan hal ini perlu ditangani secara serius. Terlebih lagi, bank dan pihak penerbit kartu kredit di Amerika Serikat

Teknik-teknik Kriptografi untuk Menangkal Praktek Phishing 3 menderita kerugian dengan jumlah mendekati 1.2 milyar dolar pada tahun 2003 akibat phishing [1]. 3. Persyaratan Teknik untuk Menangkal Phishing Teknik-teknik yang digunakan untuk menangkal masalah phishing ini pada dasarnya harus memenuhi persyaratan berikut ini [3]: 1. Teknik tersebut harus mampu mengautentikasi alamat e-mail yang tercantum pada isian FROM. 2. Teknik tersebut tidak memerlukan banyak pelatihan kepada pengguna. Pengalaman membuktikan bahwa pelatihan kepada pengguna tidak begitu efektif. Alasannya adalah bahwa pengguna umumnya merasa bahwa phishing dapat dihindari cukup dengan menganalisis isi e-mail. Pembelajaran terhadap teknik baru dirasakan cukup membebani pengguna. 3. Teknik tersebut harus dapat diterapkan pada teknologi yang sudah ada dan sudah distandarkan oleh badan global, misalnya pada SMTP. 4. Teknik yang dimanfaatkan harus efektif secara biaya bagi pengirim, penerima, maupun penyedia infrastruktur Internet. 4. Strong Website Authentication Teknik ini menggunakan suatu mekanisme yang mengautentikasi setiap pengguna yang mengunjugi situs jaringan melalui dua tahapan. Tahap pertama dapat berupa permintaan akun nama pengguna dan sandi lewat, sedangkan tahap kedua berupa proses challenging dari pihak server kepada client seperti pada smart card. Teknologi ini berusaha untuk membatasi/mengurangi proses pelatihan bagi pihak pengguna [2]. Keuntungan dari teknik ini adalah : 1. Phisher tidak dapat masuk ke dalam situs jaringan e-commerce tanpa objek autentikasi secara fisik seperti smart card walaupun informasi pengguna telah diperoleh melalui praktek phishing. 2. Pengguna mendapatkan jaminan keamanan utuh untuk melakukan transaksi pada situs jaringan e- commerce Kerugian dari teknik ini adalah : 1. Proses yang dilakukan memakan waktu yang lebih lama (time delay) 2. Pada komputer pengguna perlu diinstalasi suatu perangkat lunak desktop demi kepentingan autentikasi tahap kedua tersebut. 3. Diperlukan biaya manajemen yang tinggi dari pengembang dan penyedia jasa e-commerce.

4 Teknik-teknik Kriptografi untuk Menangkal Praktek Phishing 4. Dibutuhkan biaya yang besar yang harus dikeluarkan oleh setiap pengguna. 5. Pengguna diwajibkan membawa serta smart card tersebut setiap kali transaksi hendak dilakukan. 5. Mail Server Authentication Teknik ini merupakan peningkatan kemampuan dari DNS (Domain Name System) server dengan melakukan pemeriksaan dan verifikasi alamat IP (Internet Protocol) server pengirim e-mail [2] [3]. Keuntungan dari teknik ini adalah : 1. Server pengirim e-mail mudah dikonfigurasi agar dapat menggunakan teknik ini. 2. Pihak phisher sulit mengirim e-mail sebagai anonymous user karena domain yang hendak dipakai untuk mengirim e-mail harus sesuai dengan IP server yang digunakan. 2. SMTP pengirim tetap tidak terlihat pada penerima. Alamat e-mail pada isian FROM masih dapat disamarkan. 3. Terdapat masalah kompatibilitas bagi pengguna yang memakai fasilitas e-mail dari pihak ketiga. 4. Kebutuhan e-mail forwarding tidak dapat diakomodasi. 6. Mail Authentication via Digital Signature Teknik ini menggunakan tanda tangan digital S/MIME untuk memastikan bahwa e-mail yang dikirim telah diverifikasi oleh penerimanya pada gateway atau e-mail client [2] [3]. S/MIME menggunakan teknik kriptografi asimetri untuk mengautentikasi pengirim dan menyediakan semantik tanda tangan digital yang cukup kuat. 3. E-mail dari perusahaan yang sah dapat dengan mudah diidentifikasi sehingga dapat dicegah kemungkinan adanya tindakan spamming. Kerugian dari teknik ini adalah : 1. Diperlukan adanya sender dan recepient gateway. Gambar 1. Mail Authentication via Digital Signature

Teknik-teknik Kriptografi untuk Menangkal Praktek Phishing 5 Berikut ini adalah langkah-langkah autentikasi e-mail melalui tanda tangan digital S/MIME: 1. Pihak yang berwenang dalam hal sertifikasi publik (contohnya VeriSign, Thawte, GlobalSign, dsb) menerbitkan sertifikat digital bagi alamat e-mail tersebut. 2. E-mail yang dikirimkan melalui alamat yang telah disertifikasi akan dibubuhkan tanda tangan digital dengan kunci privat. Tanda tangan digital ini menyediakan sebuah cara untuk membuktikan keabsahan alamat e-mail pada isian FROM. 3. Penerima e-mail yang dilengkapi dengan fitur S/MIME memvalidasi tanda tangan digital tersebut. Jika tanda tangan tersebut valid, alamat e- mail pada isian FROM dinyatakan sah dan penerima dapat mempercayai isi e- mail tersebut. Keuntungan dari teknik ini adalah : 1. Teknik ini dapat dijalankan tanpa membutuhkan instalasi software tambahan 2. Alamat FROM tidak mungkin dapat disamarkan karena selalu dilakukan validasi tanda tangan digital. 3. Phisher harus terdaftar dan memiliki certificate authority untuk bisa mengirim phishing e-mail. Akan tetapi hal tersebut tidak akan bermanfaat karena identitas dapat dilacak dan diaudit sehingga mudah dituntut ke pengadilan 4. E-mail dari perusahaan legitimasi dapat dengan mudah diidentifikasi oleh pihak end-user Kerugian dari teknik ini adalah : 1. Tidak semua e-mail client mendukung teknologi S/MIME 2. Terdapat kemungkinan bahwa penerima e-mail tidak memeriksa certificate revocation status. 3. Teknik ini menuntut biaya yang cukup tinggi bagi pengguna. 4. Harus ada informasi tentang tanda tangan digital pada gateway dari pihak pengirim dan penerima. 7. Kesimpulan Hingga saat ini belum ada satu metode yang bebas dari kelemahan untuk menangkal praktek phishing. Teknik strong website authentication menyediakan tingkat autentikasi yang tinggi, tetapi tidak memberikan kepraktisan bagi pengguna. Teknik mail server authentication memeriksa domain pengirim, tetapi tidak mengautentikasi isian FROM dan tidak mengakomodasi e-mail forwarding. Teknik mail authentication via digital signature sebetulnya mengakomodasi secara baik autentikasi alamat e-mail dan pencegahan praktek phishing dan spamming, namun tidak efektif dari segi biaya yang diperlukan. Dari segi kepraktisan bagi

6 Teknik-teknik Kriptografi untuk Menangkal Praktek Phishing pengguna pada umumnya, mail server authentication adalah teknik yang disarankan. Walaupun demikian, pengguna yang mengandalkan teknik ini tetap perlu memeriksa keabsahan dari isi e-mail. 8. Referensi [1] http://en.wikipedia.org/wiki/phishing, diakses pada tanggal 4 Januari 2006 pukul 10.00 [2] http://www.antiphishing.org/, diakses pada tanggal 6 Januari 2006 pukul 12.00 [3] http://www.itpapers.com/whitepaper.aspx?scname=digital+signatures&docid=130185, diakses pada tanggal 31 Desember 2005 pukul 18.00

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan