Cyber security, atau keamanan siber, saat ini berkembang dengan pesat. Berbagai istilah baru muncul terkait dengan tindakan merugikan entitas atau perorangan secara digital. Salah satunya adalah cybersquatting.
Cybersquatting didefinisikan sebagai tindakan mendaftarkan atau menggunakan nama domain yang identik atau mirip dengan merek terkenal, nama bisnis, atau nama individu. Tujuannya adalah untuk memperoleh keuntungan atau merugikan pemilik yang sah. Istilah lain untuk cybersquatting adalah pembajakan URL.
Cybersquatting seringkali diikuti langkah berbahaya, seperti phishing, pencurian identitas, dan pemasangan malware, dan melakukan ransomware, misalnya, melalui pemasangan malvertising atau iklan yang menyesatkan.
Secara lebih spesifik, ada tujuh varian kejahatan cybersquatting dengan tindakan yang berbeda:
- Combosquatting: Menambahkan satu kata kunci ke domain brand
- Typosquatting: Menambah, menghapus, atau mengganti satu karakter
- Bitsquatting: Menggunakan karakter ASCII bit flip secara acak
- IDN homograph: Menggunakan karakter yang terlihat sama
- TLD squatting: Mengganti domain level atas/the top-level domain (TLD)
- Soundsquatting: Menggunakan homofon (huruf yang pengucapannya mirip)
- Dotsquatting: Memasukkan satu atau lebih tanda titik (.)
Menurut hasil riset keamanan Akamai mengenai cybersquatting yang disusun oleh periset Stijn Tilborghs & Kamil Jarosz, tidak tertutup kemungkinan bahwa akan ada varian baru cybersquatting seiring semakin berkembangnya tipe serangan siber.
Dampak dan kerugian finansial dan dari cybersquatting sudah dirasakan sejak beberapa tahun lalu. Hingga kini, cybersquatting masih menjadi ancaman besar bagi organisasi dan perorangan. Pertanyaannya bagaimana cybersquatting menghasilkan uang?
Ada metode khusus yang digunakan dalam kejahatan siber ini, yaitu domain name warehousing dan domain name frontrunning. Sebagai contoh, seseorang membeli domain coke[.]net (varian TLD squatting). Mereka kemudian mencoba untuk menjualnya ke Coca-Cola Company untuk mendapatkan keuntungan besar.
Jenis monetisasi lain dari cybersquatting yang umum ditemukan adalah pemasaran afiliasi melalui hit stealing. Contohnya, seseorang mendaftarkan payypal[.]com dengan dua huruf “y”. Mereka kemudian mengarahkan kembali pengunjung ke situs web asli melalui kode referral, dengan demikian mereka mendapatkan keuntungan sebagai referal. Taktik ini dilakukan berulang kali dan mendulang sukses.
FB, Reddit Jadi Korban Cybersquatting
Serangan terbaru tahun ini menimpa forum online Reddit yang menjadi korban phishing. Serangan tersebut melibatkan satu situs web yang mengkloning perilaku gateway intranet- Reddit, kemudian di-host di cybersquatted domain. Yang terjadi, pelaku penyerangan siber kemudian mendapatkan akses ke informasi terbatas milik karyawan dan pengiklan.
Facebook juga pernah menjadi korban di tahun 2011. Dikutip dari The Verge, ada lebih dari 100 nama domain yang mirip dengan Facebook dengan hanya mengubah sedikit ejaan. Belakangan, Facebook akhirnya mendapatkan kompensasi sebesar hampir US$2,8 juta karena hal tersebut.
Tak hanya organisasi dan perusahaan, konsumen juga bisa menjadi korban cybersquatting. Pada Oktober 2022, Bleepingcomputer melaporkan sebuah kampanye besar typosquatting dengan tujuan agar korban memasang aplikasi yang sudah terinfeksi malware. Korban kemudian disusupi keyloggers dan malware yang dapat mencuri data-data penting dari rekening bank dan dompet mata uang crypto mereka.
Peristiwa-peristiwa ini telah menarik perhatian Pemerintah AS dan membuat mereka mengeluarkan beberapa undang-undang dan peraturan, termasuk U.S. Anti-Cybersquatting Consumer Protection Act (ACPA).
Combosquatting, Ancaman Cybersquatting Terbesar
Analisis Akamai, pada 2022, menemukan bahwa combosquatting merupakan varian serangan cybersquatting yang paling umum dipakai. Dengan kata lain, penjahat siber menggunakan teknik combosquatting sebagai bagian dari vektor serangan mereka jauh lebih sering dibandingkan dengan varian cybersquatting lainnya. Combosquatting juga menghasilkan paling banyak queries DNS, dengan masing-masing query merepresentasikan korban potensial yang mengunjungi domain berbahaya.
Dengan demikian, combosquatting bisa dikatakan sebagai ancaman cybersquatting terbesar. Ini sejalan dengan temuan dari studi berskala besar pada tahun 2017 yang secara khusus difokuskan pada combosquatting.
"Kami menemukan bahwa domain combosquatting 100 kali lebih umum daripada domain typosquatting," lanjut laporan tersebut. “Tapi typosquatting dan bukan combosquatting, sebagai varian yang mendapatkan perhatian paling banyak dalam penelitian, blog, dan majalah. “Data yang kami lihat membuat kami percaya bahwa pelaku kejahatan siber lebih senang typosquatting mendapat sorotan sehingga combosquatting dapat terus beraksi tanpa diketahui,” menurut studi Akamai.
Saat ini, tidak ada aturan yang mencegah siapapun untuk mendaftarkan nama domain yang mengandung merek dagang nama brand. Studi Akamai menyimpulkan bahwa tujuan pelaku adalah untuk memicu respons cepat emosional pengguna, alih-alih respon yang rasional. Dan, menggabungkan nama brand dengan kata kunci menjadi cara yang masuk akal.
Cara Tangani Ancaman Cybersquatting
Namun selalu ada cara untuk mengatasi ancaman cybersquatting. Para periset mengatakan, Akamai memiliki senjata yang kuat, yaitu data. Akamai memiliki akses ke daftar domain yang ditandai sebagai berbahaya. Daftar ini dibagikan kepada pelanggan, sehingga memungkinkan mereka melindungi end user saat mereka menjelajahi internet. Selain itu, Akamai juga dapat menggunakan data lalu lintas DNS untuk melihat tren kata kunci dalam domain yang baru diamati, yang mencakup domain aman dan berbahaya.
Penting untuk diperhatikan bahwa dataset yang digunakan oleh Akamai untuk analisis ini hanya berisi domain phising berbahaya. Ini memungkinkan Akamai untuk berfokus hanya pada kata kunci yang sering digunakan para penyerang saat ini. Setiap input telah ditandai sebagai phising melalui beberapa proses internal untuk memastikan akurasinya.
Secara sederhana, proses awal terdiri dari empat langkah utama:
- Mengambil nama domain dari daftar phising Akamai sebagai input
- Menghilangkan TLD (Top Level Domain)
- Saring daftar tersisa untuk nama brand umum
- Bagi dengan tanda hubung
Setelah empat langkah ini rampung, Akamai mengumpulkan semua kata yang dihasilkan ke dalam satu daftar besar. Akamai lebih jauh menyempurnakan daftar ini dan hanya meninggalkan kata kunci. Akhirnya Akamai mengumpulkan semua kata kunci dan melakukan penghitungan.
Melalui proses penyaringan di atas, Akamai memiliki kata kunci combosquatting yang paling populer yang membidik brand-brand populer. Kata kunci ini terkonfimasi karena sebenarnya sudah terinput dan terkonfirmasi sebagai domain phising di masa lalu.
Berikut ini adalah 10 kata kunci combosquatting teratas berdasarkan ranking popularitas, yaitu: “support”, “com”, “login”, “help”, “secure”, “www”, “account”, “app”, “verify”, dan “service”. Sementara daftar 50 kata kunci atau keywork selengkapnya bisa Anda temukan di GitHub Akamai.
Dapat disimpulkan, penggunaan cybersquatting sangatlah luas dan korban yang menjadi target bisa berasal dari konsumen perseorangan hingga perusahaan besar. Hal ini membuat penghitungan total kerugian yang disebabkan oleh cybersquatting menjadi tidak mudah.
Selain itu, Akamai yakin jika serangan cybersquatting kebanyakan tidak dilaporkan. Banyak yang mengetahui berita ini hanya ketika ada nama besar yang terdampak atau menjadi korban.
Insiden cybersquatting baik dalam skala besar maupun kecil sama-sama menguntungkan pelakunya. Penting bagi kita untuk melakukan analisis seperti di atas untuk meningkatkan pemahaman terhadap perilaku penyerang.
“Akamai akan terus mengamati ancaman seperti ini untuk analisis lebih lanjut dan membagikannya dengan komunitas,” pungkas hasil riset tersebut.