Sumber: Forbes | Editor: Handoyo
KONTAN.CO.ID - JAKARTA. Pada akhir tahun 2024, dunia maya diguncang oleh serangkaian serangan terhadap ekstensi browser Google Chrome yang menunjukkan betapa rentannya sistem otentikasi dua faktor (2FA) jika tidak dilindungi dengan baik.
Serangan ini memanfaatkan celah dalam ekstensi Chrome untuk mencuri cookies sesi dan menghindari perlindungan 2FA. Mari kita bahas lebih mendalam mengenai serangan ini, dampaknya, dan cara mitigasinya.
Serangan Terbaru Terhadap Ekstensi Browser Google Chrome
Pada tanggal 27 Desember 2024, Reuters melaporkan bahwa hacker telah berhasil mengkompromikan beberapa ekstensi browser Chrome yang digunakan oleh berbagai perusahaan.
Meskipun penggunaan ekstensi browser sebagai metode serangan bukan hal baru, kampanye serangan terbaru ini menunjukkan tingkat ketekunan yang tinggi dari pelaku ancaman untuk mencuri cookies sesi dan menghindari perlindungan otentikasi dua faktor.
Baca Juga: AS Tuding Hacker China Membobol dan Curi Dokumen Departemen Keuangan
Salah satu serangan yang mencuat adalah terhadap perusahaan Cyberhaven, yang menunjukkan bahaya besar dari serangan ini. Dengan lebih dari 400.000 pelanggan perusahaan, serangan ini memberikan wawasan tentang betapa pentingnya merespons ancaman dengan cepat dan efektif.
Serangan Ekstensi Cyberhaven: Kronologi dan Dampak
Serangan terhadap ekstensi Chrome Cyberhaven dimulai pada malam Natal, 24 Desember 2024, ketika seorang karyawan terjebak dalam serangan phishing.
Melalui email phishing, penyerang berhasil memperoleh kredensial yang memungkinkan mereka mengakses Google Chrome Web Store dan mempublikasikan versi ekstensi Cyberhaven yang sudah dimodifikasi dan berbahaya.
Ekstensi berbahaya ini, yang berbasis pada versi ekstensi resmi Cyberhaven yang bersih, diunggah pada tanggal 25 Desember dan baru ditemukan dan dihapus kurang dari 24 jam kemudian.
Meskipun karyawan yang terkompromikan telah mengaktifkan Perlindungan Tingkat Lanjut (Advanced Protection) Google dan menggunakan otentikasi dua faktor (MFA), penyerang berhasil memanfaatkan aplikasi berbahaya yang melewati proses otorisasi standar Google.
Hal ini menunjukkan bahwa meskipun MFA memberikan perlindungan tambahan, sistem ini masih dapat dijebol oleh teknik serangan canggih.
Penjelasan Tentang Bypass Otentikasi Dua Faktor (2FA)
Meskipun otentikasi dua faktor adalah lapisan keamanan yang sangat penting, teknik bypass serangan menunjukkan bahwa tidak ada sistem yang sepenuhnya kebal. Salah satu cara yang digunakan oleh penyerang adalah dengan mengkloning otentikasi dua faktor, bukan melewatinya sepenuhnya.
Serangan ini mengandalkan teknik attacker-in-the-middle yang mengarahkan korban ke halaman login yang tampak sah. Ketika korban memasukkan kredensial mereka, penyerang mencuri cookies sesi yang dihasilkan saat kode 2FA yang benar dimasukkan.
Cookies sesi ini memiliki peran penting karena menandakan bahwa sesi pengguna telah terautentikasi. Dengan cookie sesi tersebut, penyerang dapat mengakses akun korban tanpa memerlukan otentikasi lebih lanjut, meskipun sistem 2FA terpasang.
Baca Juga: Kenali Apa Itu Ransomware, Metode, dan Proses Menyerang Sistem Keamanan
Dampak dan Cakupan Serangan Ekstensi Chrome 2FA Bypass
Menurut laporan Cyberhaven, serangan ini hanya memengaruhi versi ekstensi 24.10.4, dan kode berbahaya hanya aktif antara Hari Natal dan Boxing Day. Hanya pelanggan yang menggunakan browser berbasis Chrome yang secara otomatis memperbarui ekstensi mereka selama periode serangan yang terpengaruh.
Ekstensi yang terkompromikan dapat mengeksfiltrasi cookies dan sesi yang terautentikasi untuk beberapa situs web target, dengan iklan media sosial dan platform AI sebagai target utama.
Penting untuk dicatat bahwa meskipun ekstensi yang terkompromikan berhasil mengekstraksi data sensitif, tidak ada sistem lain milik Cyberhaven, seperti proses CI/CD atau kunci tanda tangan kode, yang terpengaruh.
Mitigasi Serangan Bypass 2FA dan Respon terhadap Insiden Ekstensi Cyberhaven
Untuk mengurangi risiko serangan semacam ini, Google telah mendorong penggunaan kunci keamanan (passkeys) yang menawarkan perlindungan yang lebih kuat terhadap serangan phishing dan rekayasa sosial.
Selain itu, perusahaan seperti Cyberhaven segera memberi pemberitahuan kepada pelanggan yang terdampak dan memperbarui ekstensi mereka ke versi yang lebih aman.
Bagi pengguna yang terpengaruh oleh serangan ini, disarankan untuk memastikan ekstensi mereka telah diperbarui ke versi terbaru (24.10.5 atau lebih baru) dan melakukan verifikasi ulang pada sesi login mereka.
Langkah-Langkah Keamanan untuk Mencegah Serangan Ekstensi Chrome
Google juga memberikan beberapa saran untuk memastikan keamanan pengguna saat menggunakan ekstensi Chrome, seperti:
- Meninjau secara rutin daftar ekstensi yang terpasang dengan masuk ke "chrome://extensions".
- Menggunakan fitur "Safety Check" di Chrome untuk memeriksa potensi risiko.
- Mengaktifkan mode perlindungan tinggi di Safe Browsing untuk mendapatkan perlindungan maksimal.
Baca Juga: Hacker Ini Ungkap Kengerian Tersembunyi di Dark Web, Apa yang Ditemui?
Google memiliki dua level verifikasi untuk memeriksa keamanan ekstensi sebelum dipublikasikan: verifikasi otomatis menggunakan sistem pembelajaran mesin untuk mendeteksi perilaku mencurigakan, dan pemeriksaan manual oleh tim keamanan Google.
Meskipun kurang dari 1% instalasi ekstensi Chrome ditemukan mengandung malware, tim keamanan Google terus memantau ekstensi yang sudah dipublikasikan dan bekerja dengan peneliti keamanan eksternal untuk menemukan potensi ancaman.
Meskipun proses pemeriksaan ini cukup ketat, seperti yang kita lihat dalam insiden ini, masih ada ekstensi yang berhasil lolos dari deteksi. Oleh karena itu, penting bagi pengguna untuk tetap waspada dan melakukan pemeriksaan ekstensi mereka secara berkala.
