Apakah Anda pernah ketika ingin membuat sebuah akun atau masuk akun di suatu website diharuskan untuk mengisi kode captcha ‘I am not a robot’? Adanya kode captcha dimaksud untuk membedakan apakah si pembuat akun atau pemilik akun adalah komputer/robot atau manusia. Namun, baru-baru terdapat celah serangan siber yang terdapat pada captcha ‘I am not a robot’. Pahami istilah cyber threat, jenis, dan cara mengatasinya!
Contents
Apa itu Captcha?
Menurut Google, captcha adalah tindakan keamanan yang dikenal sebagai autentikasi tantangan-tanggapan. Captcha membantu melindungi dari dekripsi spam dan sandi dengan meminta Anda menyelesaikan pengujian sederhana, yang membuktikan bahwa Anda adalah manusia dan bukan komputer yang mencoba menyusup ke dalam akun yang dilindungi sandi. Captcha sendiri merupakan kepanjangan dari Completely Automatic Public Turing Test to Tell Computers and Human Apart (uji turing publik terotomatisasi penuh untuk membedakan komputer dan manusia).
Biasanya, pengujian captcha sendiri terdiri dari dua bagian meliputi urutan huruf atau angka yang dibuat secara acak yang muncul sebagai gambar terdistorsi dan kotak teks. Tes ini dilakukan untuk membuktikan identitas Anda sebagai manusia dengan lulus pengujian tes captcha ini dengan mengetik karakter yang ada pada gambar ke dalam kotak teks.
Berasal dari Kelompok Hacker Rusia
Tim Tanggap Darurat Komputer Ukraina (CERT) mengungkapkan bahwa terdapat serangan siber dengan menggunakan captcha ‘I am Not a Robot’ yang digunakan oleh kelompok hacker APT28 atau yang dikenal juga sebagai Fancy Bear. Diduga, kelompok hacker ini berafiliasi dengan kelompok intelijen Rusia.
Mereka dilaporkan menggunakan email berisi tabel basis data dan tautan yang terlihat seperti kotak teks captcha bot milik Google. Kemudian, ketika korban mengklik kotak ‘I am Not a Robot’ hacker akan memberi instruksi perintah PowerShell berbahaya ke dalam clipboard pengguna. Serangan ini dicurigai menargetkan para pekerja di pemerintah lokal Ukraina. Namun, tidak menutup kemungkinan cara tersebut hanya digunakan pada daerah tertentu saja, karena metode serangan ini sudah beredar luas dan berhasil memakan banyak korban.
Cara Kerja Serangan Siber Captcha dan Bagaimana Mencegahnya
Cara kerja serangan siber captcha ini dimulai dengan munculnya kotak dialog ‘I am Not a Robot’. Kemudian PowerShell akan memicu script yang menginstruksikan pengguna melakukan sejumlah langkah, termasuk menekan tombol Windows+R untuk membuka prompt perintah dan menekan tombol Windows+V untuk menempelkan instruksi eksekusi yang berisi malware dan menekan enter untuk langsung menginstal malware.
Meski begitu, usaha-usaha serangan siber tersebut merupakan tindakan rumit yang membutuhkan kepercayaan dari pengguna. Maka, untuk mencegah serangan siber ini, Anda cukup menolak instruksi-instruksi yang diberikan hacker melalui captcha tersebut.
