Awas! Situs Perbankan Palsu 'Dilindungi' Symantec
Susetyo Dwi Prihadi | CNN Indonesia
Rabu, 14 Okt 2015 05:16 WIB
Jakarta, CNN Indonesia -- Analisas keamanan Netcraft menuduh Symantec dan perusahaan lainnya seperti Comodo serta GoDaddy karena telah menerbitkan SSL (Secured Socket Layer) Certificate ke situs perbankan yang diduga palsu.
SSL Certificate sendiri biasa ditemui di situs perbankan untuk mengamankan transmisi data melalui situs data. Perlindungan terdiri dari informasi kartu kredit, nama pengguna, akun password dan informasi sensitif lainnya.
Sertifikasi ini telah dikeluarkan dengan mendompleng nama Symantec untuk menutupi situs penipuan yang menargetkan pengguna PayPal, Halifax dan NatWest di Inggris, serta Bank of America di Amerika Serikat. Kebanyakan calon korban datang karena email phising.
Para korban ini tentu saja percaya informasi mereka terlindungi karena SSL Certificate datang dari perusahaan keamanan ternama, seperti Symantec.
"Dalam satu bulan, otoritas sertifikat telah mengeluarkan ratusan sertifikat SSL untuk nama domain untuk menipu yang digunakan dalam serangan phishing," klaim Netcraft, seperti dikutip dari Computing News.
"Memang untuk mendapatkan SSL Certificate ini memerlukan pemeriksaan tinggi, namun banyak aksi penipu di internet yang lolos."
Otoritas sertifikat umumnya memberikan SSL certificate pada tiga tingkat yang berbeda:
- Domain divalidasi, dimana otoritas sertifikat harus memeriksa bahwa pemohon sertifikat mengontrol nama domain yang terdapat dalam sertifikat. Sertifikat ini biasanya pilihan termurah, dan dapat memiliki secara gratis atau dibeli untuk kurang dari US$ 10.
- Perusahaan yang divalidasi, yang selain memvalidasi nama domain dalam sertifikat, juga menyatakan identitas orang atau organisasi yang mengajukan permohonan sertifikat perusahaan yang divalidasi. Namun, sebagian browser tidak memperlakukan sertifikat ini secara berbeda.
- Validasi diperpanjang, dimana identitas organisasi mengajukan sertifikat tersebut diverifikasi oleh otoritas sertifikat. Namun, verifikasi yang lebih ketat. Sertifikat ini juga menerima perlakuan yang berbeda di web browser utama.
"Persyaratan untuk melakukan verifikasi tambahan permintaan sertifikat berisiko tinggi berlaku untuk semua tingkat jaminan. Namun, sertifikat domain-divalidasi sering dikeluarkan sepenuhnya otomatis dalam hitungan menit, sehingga mudah bagi penipu untuk mendapatkan sertifikat domain-divalidasi untuk nama domain yang digunakan untuk menipu," Netcraft memperingatkan.
Symantec, Comodo dan GoDaddy belum memberikan konfirmasi mengenai masalah ini. (tyo)
SSL Certificate sendiri biasa ditemui di situs perbankan untuk mengamankan transmisi data melalui situs data. Perlindungan terdiri dari informasi kartu kredit, nama pengguna, akun password dan informasi sensitif lainnya.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
"Dalam satu bulan, otoritas sertifikat telah mengeluarkan ratusan sertifikat SSL untuk nama domain untuk menipu yang digunakan dalam serangan phishing," klaim Netcraft, seperti dikutip dari Computing News.
Otoritas sertifikat umumnya memberikan SSL certificate pada tiga tingkat yang berbeda:
- Domain divalidasi, dimana otoritas sertifikat harus memeriksa bahwa pemohon sertifikat mengontrol nama domain yang terdapat dalam sertifikat. Sertifikat ini biasanya pilihan termurah, dan dapat memiliki secara gratis atau dibeli untuk kurang dari US$ 10.
- Perusahaan yang divalidasi, yang selain memvalidasi nama domain dalam sertifikat, juga menyatakan identitas orang atau organisasi yang mengajukan permohonan sertifikat perusahaan yang divalidasi. Namun, sebagian browser tidak memperlakukan sertifikat ini secara berbeda.
- Validasi diperpanjang, dimana identitas organisasi mengajukan sertifikat tersebut diverifikasi oleh otoritas sertifikat. Namun, verifikasi yang lebih ketat. Sertifikat ini juga menerima perlakuan yang berbeda di web browser utama.
"Persyaratan untuk melakukan verifikasi tambahan permintaan sertifikat berisiko tinggi berlaku untuk semua tingkat jaminan. Namun, sertifikat domain-divalidasi sering dikeluarkan sepenuhnya otomatis dalam hitungan menit, sehingga mudah bagi penipu untuk mendapatkan sertifikat domain-divalidasi untuk nama domain yang digunakan untuk menipu," Netcraft memperingatkan.
Symantec, Comodo dan GoDaddy belum memberikan konfirmasi mengenai masalah ini. (tyo)
TOPIK TERKAIT
ARTIKEL
TERKAIT
TERKAIT
LAINNYA DI DETIKNETWORK