Di era digital saat ini, transaksi online seperti belanja di e-commerce, pendaftaran akun, hingga pengisian data pribadi melalui website sudah menjadi hal yang umum. Namun, di balik kemudahan tersebut, terdapat berbagai ancaman keamanan yang mengintai, salah satunya adalah Formjacking.
Formjacking merupakan jenis serangan siber yang menargetkan formulir pada website untuk mencuri data yang dimasukkan oleh pengguna. Serangan ini sering kali tidak disadari baik oleh pengguna maupun pemilik website, karena berlangsung secara diam-diam di latar belakang.
Dengan meningkatnya jumlah transaksi digital, pemahaman tentang formjacking menjadi sangat penting, terutama bagi developer web, administrator sistem, dan pengguna internet secara umum.
Apa Itu Formjacking?
Formjacking adalah teknik serangan siber di mana penyerang menyisipkan kode berbahaya (biasanya JavaScript) ke dalam halaman website untuk mencuri data yang dimasukkan ke dalam formulir.
Data yang menjadi target biasanya meliputi:
informasi kartu kredit
username dan password
alamat email
data pribadi lainnya
Serangan ini sering terjadi pada halaman checkout e-commerce atau formulir login.
Formjacking bekerja dengan cara menyusupkan script berbahaya ke dalam website target.
Injeksi Script Berbahaya
Penyerang biasanya mengeksploitasi celah keamanan pada website atau menggunakan library pihak ketiga yang telah disusupi untuk menyisipkan kode JavaScript berbahaya.
Pengambilan Data Form
Ketika pengguna mengisi formulir, script tersebut akan:
menangkap data yang dimasukkan
mengirimkan data ke server milik penyerang
tetap membiarkan proses normal berjalan agar tidak terdeteksi
Serangan yang Sulit Terdeteksi
Karena website tetap berfungsi normal, baik pengguna maupun pemilik website sering kali tidak menyadari bahwa data telah dicuri.
Contoh Kasus
Salah satu contoh yang terkenal adalah serangan terhadap beberapa situs e-commerce besar yang disusupi script formjacking untuk mencuri data kartu kredit pengguna secara massal.
Dampak Formjacking
Serangan formjacking dapat menimbulkan berbagai dampak serius.
Kerugian bagi Pengguna
Pengguna dapat mengalami pencurian data pribadi, penyalahgunaan kartu kredit, hingga kebocoran akun.
Pencegahan formjacking memerlukan kombinasi praktik keamanan dari sisi developer dan pengguna.
Validasi dan Sanitasi Input
Developer harus memastikan bahwa semua input pengguna divalidasi dan diproses dengan aman.
Menggunakan Content Security Policy (CSP)
CSP membantu membatasi sumber script yang dapat dijalankan pada website, sehingga mengurangi risiko injeksi script berbahaya.
Audit dan Monitoring Script
Perlu dilakukan pemeriksaan rutin terhadap script yang digunakan, terutama dari pihak ketiga.
Menggunakan HTTPS
HTTPS membantu mengamankan komunikasi antara pengguna dan server agar data tidak mudah disadap.
Edukasi Pengguna
Pengguna juga perlu diedukasi untuk:
memeriksa keaslian website
tidak memasukkan data pada situs mencurigakan
menggunakan metode pembayaran yang aman
Menurut OWASP, perlindungan terhadap serangan berbasis script seperti formjacking memerlukan kontrol keamanan pada sisi client dan server, termasuk validasi input dan pembatasan eksekusi script (dikutip dari OWASP).
Formjacking merupakan salah satu ancaman serius dalam dunia keamanan web yang menargetkan data sensitif pengguna melalui formulir website. Dengan menyisipkan script berbahaya, penyerang dapat mencuri informasi tanpa disadari oleh korban.
Serangan ini menunjukkan pentingnya penerapan praktik keamanan web yang baik, baik dari sisi pengembang maupun pengguna. Dengan langkah pencegahan seperti penggunaan CSP, validasi input, serta monitoring sistem, risiko formjacking dapat diminimalkan.
Kesadaran akan ancaman ini menjadi kunci utama dalam menjaga keamanan data di era digital yang semakin kompleks.
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
