Web Phishing itu HTTP atau HTTPS?

Offensive, Defensive
Web Phishing itu HTTP atau HTTPS?

Overview

Web phishing adalah salah satu metode serangan yang paling sering digunakan oleh para penyerang. Dalam serangan phishing, penyerang membuat situs web palsu yang meniru situs web asli. Situs web palsu ini biasanya digunakan untuk mencuri informasi sensitif dari korban, seperti kredensial login, informasi kartu kredit, dan lain-lain.

Presepsi yang umum adalah bahwa situs web phishing selalu menggunakan protokol HTTP. Namun, apakah benar demikian? Apakah situs web phishing tidak pernah menggunakan protokol HTTPS?

Baca juga: Serangan Phishing dan Pencegahannya

HTTP vs HTTPS

HTTP

HTTP (Hypertext Transfer Protocol) adalah protokol yang digunakan untuk mentransfer data di web. HTTP tidak aman karena data yang ditransfer tidak dienkripsi. Ini berarti bahwa data yang dikirim melalui HTTP dapat dibaca oleh siapa saja yang dapat memata-matai koneksi seperti serangan Man-in-the-Middle (MitM) atau sniffing.

HTTPS

HTTPS (Hypertext Transfer Protocol Secure) adalah versi aman dari HTTP. HTTPS menggunakan enkripsi SSL/TLS untuk melindungi data yang ditransfer. Ini membuatnya jauh lebih sulit bagi penyerang untuk memata-matai koneksi dan mencuri data, karena data yang ditransfer dienkripsi secara end-to-end sebelum dikirimkan ke server dan akan didekripsi oleh server setelah diterima.

Apakah situs HTTPS aman?

HTTPS sendiri tidak menjamin bahwa situs web itu sah atau aman. HTTPS hanya menjamin bahwa data yang ditransfer antara browser dan server dienkripsi. Situs web phishing dapat menggunakan protokol HTTPS untuk menipu korban dan membuatnya terlihat lebih valid.

Projek Let’s Encrypt adalah salah satu penyedia sertifikat SSL/TLS gratis yang sangat populer dan banyak membantu peningkatan keamanan web, bahkan sekelas Shopee juga pernah menggunakan penyedia sertifikat ini. Dengan menggunakan Let’s Encrypt, siapa pun dapat dengan mudah mendapatkan sertifikat SSL/TLS gratis untuk situs web mereka. Ini adalah langkah positif untuk meningkatkan keamanan web secara keseluruhan, karena HTTPS membantu melindungi data pengguna dari serangan seperti sniffing dan MitM.

LE Shopee

Namun, sertifikat SSL/TLS gratis ini juga dapat dimanfaatkan oleh penyerang untuk membuat situs web phishing yang menggunakan HTTPS.

Situs Web Phishing

Contoh web phishing
Contoh url phishing menggunakan HTTPS dan penggunaan subdomain yang mengecoh

Situs web phishing dapat menggunakan protokol HTTP atau HTTPS. Namun, penggunaan HTTPS dalam situs web phishing tidak membuatnya aman atau lebih sah. Penyerang dapat dengan mudah mendapatkan sertifikat SSL/TLS gratis dari service seperti Let’s Encrypt dan menggunakannya untuk mengenkripsi situs web phishing mereka agar terlihat lebih valid dan meyakinkan.

Dengan demikian, penting untuk tidak hanya bergantung pada protokol (HTTP atau HTTPS) untuk menentukan apakah suatu situs web aman atau tidak. Selalu periksa URL situs web dengan cermat, perhatikan tanda-tanda phishing, dan waspada terhadap upaya phishing yang menggunakan teknik-teknik yang canggih.

Kesimpulan

Situs web phishing dapat menggunakan protokol HTTP atau HTTPS. Penggunaan HTTPS dalam situs web phishing tidak membuatnya aman atau valid. Selalu waspada terhadap upaya phishing, periksa URL dengan cermat, dan jangan pernah memasukkan informasi sensitif ke situs web yang mencurigakan. Serta HTTPS hanya menjamin bahwa data yang ditransfer antara browser dan server dienkripsi, tetapi tidak menjamin bahwa situs web itu sah atau aman. Oleh karena itu, penting untuk tidak hanya bergantung pada protokol (HTTP atau HTTPS) untuk menentukan apakah suatu situs web aman atau tidak.

Jadi, jangan terjebak dalam presepsi bahwa situs web phishing pasti menggunakan HTTP. Waspadalah terhadap upaya phishing yang menggunakan teknik-teknik canggih seperti AiTM (Adversary-in-the-Middle) dan HTTPS untuk menipu korban. Penyerang dapat menggunakan berbagai teknik untuk mencuri informasi sensitif dari calon korban.