Banyak pengguna internet terbiasa membuka banyak tab sekaligus saat bekerja atau berselancar di dunia maya. Namun, kebiasaan ini bisa membuka celah keamanan yang jarang disadari, yaitu serangan Tabnabbing. Teknik ini memanfaatkan kelengahan pengguna ketika sebuah tab browser dibiarkan terbuka tanpa pengawasan.
Tabnabbing adalah bentuk serangan phishing yang mengubah konten tab yang tidak aktif menjadi halaman login palsu. Ketika pengguna kembali ke tab tersebut dan memasukkan kredensial, informasi sensitif seperti username dan password dapat dicuri tanpa disadari.
Ancaman ini terlihat sederhana, tetapi dampaknya bisa sangat serius, terutama bagi pengguna layanan email, media sosial, hingga perbankan online.
Apa Itu Tabnabbing?
Tabnabbing pertama kali diperkenalkan sebagai konsep serangan oleh peneliti keamanan Aza Raskin pada tahun 2010. Teknik ini memanfaatkan kemampuan JavaScript untuk mengubah isi halaman web setelah pengguna berpindah ke tab lain.
Menurut OWASP (Open Web Application Security Project), tabnabbing termasuk dalam kategori serangan phishing berbasis manipulasi antarmuka pengguna (dikutip dari OWASP).
Serangan ini bekerja dengan cara mengganti tampilan tab yang tidak aktif menjadi halaman login tiruan yang menyerupai situs resmi seperti email atau platform populer lainnya.
Pengguna tanpa sadar membuka halaman yang telah disisipi skrip berbahaya.
2. Tab Ditinggalkan Tidak Aktif
Saat pengguna berpindah ke tab lain, skrip akan mendeteksi bahwa halaman tidak lagi aktif.
3. Konten Diganti dengan Halaman Palsu
Situs asli diganti dengan tampilan login palsu yang menyerupai layanan populer.
4. Pengguna Memasukkan Kredensial
Karena tampilan terlihat meyakinkan, pengguna memasukkan username dan password, yang kemudian dikirim ke penyerang.
Jenis Tabnabbing yang Perlu Diwaspadai
Reverse Tabnabbing
Reverse tabnabbing terjadi ketika tautan eksternal yang dibuka di tab baru dapat mengakses dan mengubah halaman asal menggunakan objek window.opener. praktik keamanan seperti penggunaan atribut rel="noopener" atau rel="noreferrer" pada tautan eksternal dapat mencegah serangan ini.
Tabnabbing adalah teknik phishing yang memanfaatkan kelengahan pengguna saat membuka banyak tab browser. Dengan mengganti konten tab yang tidak aktif menjadi halaman login palsu, penyerang dapat mencuri kredensial tanpa disadari korban.
Untuk mengurangi risiko, pengguna perlu lebih teliti memeriksa URL, menggunakan autentikasi tambahan, serta memahami praktik keamanan dasar saat berselancar di internet. Sementara itu, pengembang web harus menerapkan atribut keamanan yang tepat untuk mencegah eksploitasi reverse tabnabbing.
Kesadaran dan praktik keamanan yang baik menjadi kunci utama dalam menghadapi ancaman tersembunyi seperti tabnabbing.
Seorang Akademisi, Peneliti dan Praktisi TI, mengajar di beberapa perguruan tinggi, Authorized Training Center dan Lembaga Pengembangan SDM TI. Aktif berbagi di komunitas melalui event webinar & sharing session. aktifitas sehari-hari di isi dengan mengajar, menulis di blog, jurnal, media massa, buku dan juga membuat video tutorial. bidang ilmu yang didalami adalah cybersecurity, system administrator, programming, networking, linux, cloud computing, blockchain, data science, artificial intelligence. visit me at sulkiflysaid.com
