Browser-in-the-Browser, Trik Baru Peretas Curi Akun Online


Ilustrasi Browser in the Browser

Ilustrasi Browser in the Browser

Perkembangan teknologi web telah menghadirkan pengalaman berselancar di internet yang semakin nyaman dan interaktif. Namun, di balik kemajuan tersebut, pelaku kejahatan siber juga terus menemukan cara baru untuk memanfaatkan teknologi demi mencuri data pengguna. Salah satu teknik terbaru yang kini menjadi perhatian para pakar keamanan siber adalah Browser-in-the-Browser (BitB).

Teknik ini bukan sekadar halaman login palsu seperti yang selama ini dikenal dalam serangan phishing. Browser-in-the-Browser dirancang sedemikian rupa sehingga mampu menampilkan jendela login yang hampir identik dengan milik layanan resmi seperti Google, Microsoft, Facebook, Apple, hingga berbagai layanan berbasis cloud lainnya. Bahkan pengguna yang sudah cukup berpengalaman pun berpotensi terkecoh.

Awalnya, Browser-in-the-Browser hanya merupakan konsep yang diperkenalkan oleh peneliti keamanan siber mr.d0x pada tahun 2022 sebagai demonstrasi bagaimana teknologi web modern dapat disalahgunakan. Saat itu, teknik tersebut belum ditemukan dalam serangan nyata. Namun beberapa tahun kemudian, para peneliti keamanan mulai menemukan bahwa metode tersebut benar-benar digunakan dalam berbagai kampanye phishing untuk mencuri akun pengguna.

Perubahan dari sekadar teori menjadi ancaman nyata menunjukkan bahwa dunia keamanan siber terus berkembang. Teknik yang sebelumnya hanya digunakan sebagai bahan penelitian kini telah menjadi salah satu senjata baru para pelaku kejahatan digital.

 

Apa Itu Browser-in-the-Browser?

Browser-in-the-Browser atau disingkat BitB merupakan teknik phishing yang memanfaatkan kemampuan HTML, CSS, dan JavaScript untuk membuat tampilan jendela browser palsu di dalam halaman web.

Normalnya, ketika pengguna memilih opsi "Masuk dengan Google", "Masuk dengan Microsoft", atau layanan login lainnya, browser akan membuka jendela autentikasi resmi milik penyedia layanan tersebut. Jendela ini terpisah dari halaman utama dan berasal langsung dari server resmi.

Pada serangan Browser-in-the-Browser, proses tersebut dipalsukan.

Alih-alih membuka jendela browser sungguhan, situs berbahaya hanya menampilkan gambar atau elemen web yang dibuat menyerupai jendela browser. Seluruh tampilan, mulai dari tombol tutup, tombol perkecil, ikon browser, hingga bilah alamat dibuat semirip mungkin dengan aslinya.

Sekilas, tidak ada yang tampak mencurigakan.

Korban akan mengira dirinya sedang memasukkan username dan password ke halaman resmi, padahal seluruh informasi tersebut dikirim langsung ke server milik penyerang.

 

Mengapa Serangan Ini Sangat Berbahaya?

Keberhasilan Browser-in-the-Browser berasal dari kemampuannya mengeksploitasi kebiasaan pengguna internet. Sebagian besar orang hanya memeriksa logo perusahaan atau melihat sekilas alamat situs yang tampil di bilah alamat. Padahal pada teknik BitB, bilah alamat tersebut hanyalah bagian dari desain halaman web.

Artinya, alamat seperti:

  • accounts.google.com
  • login.microsoftonline.com
  • facebook.com
  • apple.com

dapat ditampilkan begitu saja tanpa benar-benar mengarah ke situs resmi. Karena tampilannya sangat meyakinkan, korban sering kali tidak menyadari bahwa mereka sebenarnya tidak pernah meninggalkan halaman web yang sedang dibuka. 

Inilah yang membuat Browser-in-the-Browser jauh lebih berbahaya dibandingkan phishing konvensional.

 

Berawal dari Kemajuan Teknologi Web

Kemampuan membuat tampilan browser palsu tidak lepas dari pesatnya perkembangan teknologi pengembangan web. HTML memungkinkan pembuatan struktur halaman yang kompleks.

CSS mampu menghasilkan desain yang sangat realistis dengan efek bayangan, transparansi, hingga animasi. Sementara JavaScript memungkinkan berbagai elemen bergerak, dapat dipindahkan, diperbesar, diperkecil, bahkan dibuat menyerupai perilaku jendela browser asli.

Jika dikombinasikan, ketiga teknologi tersebut mampu menghasilkan antarmuka yang hampir mustahil dibedakan oleh mata manusia. Ironisnya, teknologi yang sebenarnya dibuat untuk meningkatkan pengalaman pengguna justru dimanfaatkan oleh pelaku kejahatan siber.

 

Bagaimana Cara Kerja Browser-in-the-Browser?

Secara sederhana, proses serangan Browser-in-the-Browser berlangsung melalui beberapa tahapan berikut:

  1. Korban diarahkan ke situs yang tampak meyakinkanTahap pertama dimulai ketika pelaku membuat atau menyusupi sebuah situs web yang terlihat sah. Situs tersebut bisa berupa toko online, portal lowongan kerja, forum komunitas, layanan berbagi dokumen, hingga halaman yang menawarkan unduhan atau promosi tertentu. Korban biasanya tiba di situs ini melalui tautan yang dikirim lewat email phishing, pesan instan, media sosial, atau iklan palsu.
  2. Pengguna diminta masuk menggunakan akun populer
    Setelah berada di situs tersebut, korban diminta melakukan login untuk mengakses layanan. Pilihan login yang ditampilkan biasanya menggunakan layanan populer seperti Google, Microsoft, Facebook, Apple, atau akun lainnya yang sudah dikenal pengguna. Karena metode login seperti ini sudah umum digunakan, korban cenderung tidak merasa curiga.

  3. Muncul jendela login palsu yang menyerupai browser
    Ketika tombol "Sign in with Google" atau layanan lainnya diklik, situs tidak membuka halaman autentikasi resmi. Sebagai gantinya, muncul sebuah jendela pop-up palsu yang dibuat menggunakan HTML, CSS, dan JavaScript. Jendela ini dirancang sangat mirip dengan browser asli, lengkap dengan tombol tutup, tombol perkecil, ikon browser, hingga bilah alamat yang menampilkan URL resmi seperti accounts.google.com atau login.microsoftonline.com.

    Sekilas, hampir tidak ada perbedaan yang terlihat oleh pengguna.

  4. Korban memasukkan kredensial akun
    Karena mengira jendela tersebut merupakan halaman login resmi, korban kemudian memasukkan alamat email, nama pengguna, dan kata sandinya. Semua informasi yang diketik akan diterima oleh formulir palsu yang telah dipersiapkan oleh pelaku.

  5. Data dikirim ke server milik penyerang
    Alih-alih dikirim ke server resmi Google, Microsoft, Facebook, atau Apple, kredensial yang dimasukkan korban langsung dikirim ke server yang dikendalikan oleh pelaku kejahatan siber. Dalam beberapa kasus, korban bahkan akan diarahkan kembali ke halaman login asli setelah data berhasil dicuri agar tidak menyadari bahwa akun mereka telah dikompromikan.

  6. Akun korban berpotensi diambil alih
    Setelah memperoleh username dan password, pelaku dapat langsung mencoba masuk ke akun korban. Jika akun tersebut tidak dilindungi autentikasi dua faktor (2FA) atau menggunakan kata sandi yang sama di layanan lain, penyerang berpeluang mengambil alih berbagai akun penting, seperti email, media sosial, layanan cloud, hingga akun perbankan digital.

Inilah yang membuat Browser-in-the-Browser menjadi salah satu teknik phishing paling berbahaya saat ini. Serangan ini tidak memanfaatkan celah pada browser atau sistem operasi, melainkan mengeksploitasi kepercayaan pengguna terhadap tampilan visual halaman login. Oleh karena itu, pengguna perlu lebih teliti saat melakukan autentikasi dan selalu memastikan bahwa halaman login benar-benar berasal dari situs resmi sebelum memasukkan informasi akun.

 

Contoh Serangan di Dunia Nyata

Para pelaku kejahatan siber terus mengembangkan teknik Browser-in-the-Browser agar semakin sulit dikenali. Salah satu kampanye phishing terbaru memanfaatkan rasa panik korban.

Korban menerima email yang mengatasnamakan firma hukum. Isi email menyebutkan bahwa pengguna diduga melakukan pelanggaran hak cipta melalui unggahan di Facebook. Untuk membuat korban percaya, email tersebut menyertakan tautan menuju postingan yang diklaim bermasalah.

Namun ketika tautan dibuka, korban tidak langsung diarahkan ke halaman login Facebook palsu. Pelaku terlebih dahulu menampilkan halaman Meta CAPTCHA palsu agar proses terlihat lebih meyakinkan. Setelah CAPTCHA diselesaikan, muncullah jendela login bergaya Browser-in-the-Browser. 

Karena seluruh tampilannya terlihat identik dengan halaman resmi Facebook, banyak korban yang akhirnya memasukkan username dan password tanpa menyadari bahwa mereka sedang menjadi sasaran phishing.

 

Mengapa Sulit Dideteksi?

Serangan Browser-in-the-Browser tidak mengeksploitasi kelemahan sistem operasi maupun browser. Sebaliknya, teknik ini mengeksploitasi psikologi manusia. Pengguna terbiasa mempercayai tampilan visual.

Selama logo perusahaan terlihat benar, warna halaman sesuai, dan alamat website tampak resmi, sebagian besar orang akan menganggap halaman tersebut aman. Padahal seluruh elemen itu hanyalah gambar dan komponen HTML.

Karena itulah Browser-in-the-Browser sering disebut sebagai serangan berbasis rekayasa sosial (social engineering) yang sangat canggih.

 

Cara Mengenali Browser-in-the-Browser dan Mencegah Menjadi Korban

Serangan Browser-in-the-Browser (BitB) dirancang agar terlihat sangat meyakinkan. Sekilas, jendela login yang muncul hampir tidak memiliki perbedaan dengan halaman autentikasi resmi milik Google, Microsoft, Facebook, Apple, maupun layanan digital lainnya. Namun, meskipun teknik ini sangat canggih, masih ada beberapa cara yang dapat dilakukan untuk mengenali dan menghindarinya.

  1. Perhatikan Perilaku Jendela Login
    Salah satu cara paling mudah untuk mendeteksi Browser-in-the-Browser adalah dengan memperhatikan bagaimana jendela login tersebut berperilaku.

    Pada kondisi normal, ketika Anda memilih opsi "Masuk dengan Google" atau layanan lainnya, browser akan membuka jendela autentikasi resmi yang merupakan bagian dari sistem browser atau sistem operasi. Jendela tersebut dapat dipindahkan ke luar browser utama, diperkecil (minimize), diperbesar (maximize), bahkan dipindahkan ke monitor lain jika menggunakan lebih dari satu layar.

    Sebaliknya, pada serangan Browser-in-the-Browser, jendela login sebenarnya hanyalah elemen HTML yang berada di dalam halaman web. Meskipun tampilannya menyerupai browser asli, jendela tersebut memiliki keterbatasan karena bukan merupakan jendela browser yang sesungguhnya.

    Jika sebuah pop-up terlihat seperti browser tetapi tidak benar-benar membuka jendela baru, pengguna patut meningkatkan kewaspadaan.

  2. Periksa Apakah Login Membuka Jendela Browser Asli
    Saat proses autentikasi berlangsung, perhatikan apakah browser benar-benar membuka tab atau jendela baru.

    Pada layanan resmi, proses login umumnya akan membuka halaman autentikasi dari domain resmi penyedia layanan. Sebaliknya, pada Browser-in-the-Browser, seluruh proses hanya berlangsung di dalam halaman yang sama tanpa benar-benar berpindah ke browser atau tab baru.

    Jika Anda merasa ragu, tutup pop-up tersebut dan buka kembali situs resmi melalui alamat yang diketik secara manual di browser.

  3. Gunakan Password Manager sebagai Lapisan Perlindungan
    Salah satu perlindungan paling efektif terhadap Browser-in-the-Browser adalah menggunakan password manager.

    Selain menyimpan username dan kata sandi secara aman, password manager juga mampu memverifikasi alamat situs yang sebenarnya. Saat menawarkan fitur auto-fill, aplikasi ini tidak melihat tampilan visual halaman, melainkan memeriksa URL asli dari situs yang sedang dibuka.Apabila alamat situs sesuai dengan data yang tersimpan, password manager akan secara otomatis menawarkan pengisian username dan password.

    Sebaliknya, jika URL berbeda meskipun hanya satu karakter, menggunakan domain palsu (typosquatting), atau berasal dari halaman Browser-in-the-Browser, password manager umumnya tidak akan melakukan auto-fill.

    Karena itu, jika password manager yang biasa Anda gunakan tiba-tiba tidak menawarkan pengisian otomatis pada halaman login yang seharusnya dikenali, jangan abaikan kondisi tersebut. Hal itu bisa menjadi tanda bahwa halaman tersebut bukan situs resmi.

  4. Aktifkan Autentikasi Dua Faktor (2FA)
    Autentikasi dua faktor atau Two-Factor Authentication (2FA) merupakan lapisan keamanan tambahan yang sangat disarankan untuk seluruh akun digital.

    Dengan mengaktifkan 2FA, pelaku tidak dapat langsung mengakses akun hanya dengan mengetahui username dan password. Mereka juga harus memiliki faktor autentikasi kedua, misalnya kode verifikasi yang dihasilkan aplikasi autentikator, kunci keamanan fisik (security key), atau metode autentikasi lainnya.

    Dibandingkan kode OTP melalui SMS, penggunaan aplikasi autentikator seperti Google Authenticator, Microsoft Authenticator, atau Authy umumnya lebih aman karena tidak bergantung pada jaringan seluler yang berpotensi menjadi sasaran serangan pengalihan nomor (SIM swapping).

    Walaupun autentikasi dua faktor tidak sepenuhnya menghilangkan risiko phishing, fitur ini mampu mengurangi kemungkinan akun berhasil diambil alih.

  5. Beralih Menggunakan Passkey
    Seiring meningkatnya ancaman phishing, banyak perusahaan teknologi mulai mendorong penggunaan passkey sebagai pengganti password konvensional.

    Passkey memanfaatkan teknologi kriptografi berbasis pasangan kunci publik dan privat sehingga proses login tidak lagi mengirimkan kata sandi ke server. Dengan mekanisme ini, situs phishing tidak dapat memperoleh kredensial utama pengguna seperti yang terjadi pada login berbasis password.

    Selain menawarkan tingkat keamanan yang lebih tinggi, passkey juga membuat proses login menjadi lebih praktis karena cukup menggunakan sidik jari, pemindai wajah (Face ID), atau PIN perangkat.

    Karena alasan tersebut, passkey kini dianggap sebagai salah satu solusi terbaik untuk mengurangi risiko pencurian akun akibat phishing modern, termasuk Browser-in-the-Browser.

  6. Gunakan Password yang Unik untuk Setiap Akun
    Kesalahan yang masih sering dilakukan banyak pengguna adalah menggunakan password yang sama pada berbagai layanan.

    Padahal, apabila satu akun berhasil dicuri melalui Browser-in-the-Browser, pelaku dapat mencoba kombinasi username dan password tersebut pada akun email, media sosial, layanan cloud, marketplace, hingga aplikasi perbankan. Teknik ini dikenal sebagai credential stuffing.Untuk mengurangi risiko tersebut, setiap akun sebaiknya memiliki password yang berbeda, panjang, kompleks, dan sulit ditebak.

    Password manager dapat membantu membuat password yang kuat secara otomatis sekaligus menyimpannya dengan aman, sehingga pengguna tidak perlu menghafal seluruh kombinasi password yang dimiliki.

  7. Waspadai Email dan Tautan yang Mencurigakan
    Sebagian besar serangan Browser-in-the-Browser diawali melalui email phishing atau pesan palsu yang dirancang untuk membuat korban panik atau penasaran.

    Pelaku biasanya menggunakan berbagai skenario, seperti pemberitahuan pelanggaran hak cipta, akun yang akan diblokir, tagihan yang belum dibayar, hadiah undian, hingga peringatan adanya aktivitas mencurigakan pada akun.Tujuannya adalah mendorong korban segera mengklik tautan yang disediakan tanpa berpikir panjang.

    Karena itu, jangan mudah percaya pada email yang meminta Anda segera login untuk menyelesaikan suatu masalah. Jika menerima pesan semacam itu, lebih aman membuka layanan terkait melalui aplikasi resmi atau mengetik alamat website secara manual di browser daripada mengklik tautan yang diberikan.

  8. Tingkatkan Edukasi dan Kesadaran Keamanan Siber
    Teknologi keamanan terus berkembang, tetapi demikian pula teknik yang digunakan oleh pelaku kejahatan siber. Oleh karena itu, perlindungan terbaik bukan hanya berasal dari perangkat lunak keamanan, tetapi juga dari pengetahuan dan kewaspadaan pengguna.

    Memahami cara kerja Browser-in-the-Browser, phishing, rekayasa sosial (social engineering), dan berbagai modus penipuan digital lainnya dapat membantu pengguna mengenali ancaman sebelum menjadi korban.

    Bagi organisasi dan perusahaan, memberikan pelatihan keamanan siber secara berkala kepada karyawan juga menjadi langkah penting. Edukasi yang berkelanjutan akan meningkatkan kesadaran terhadap berbagai teknik phishing terbaru sehingga risiko kebocoran data dan pengambilalihan akun dapat diminimalkan.

Pada akhirnya, kombinasi antara teknologi keamanan yang tepat, kebiasaan digital yang baik, serta pengetahuan tentang ancaman siber merupakan pertahanan paling efektif untuk menghadapi serangan Browser-in-the-Browser yang kini telah berkembang dari sekadar konsep menjadi ancaman nyata di dunia digital.

 

Kesimpulan

Browser-in-the-Browser membuktikan bahwa serangan siber tidak selalu memanfaatkan celah perangkat lunak. Dalam banyak kasus, pelaku justru menyerang sisi psikologis manusia dengan membuat tampilan yang sangat meyakinkan.

Teknik yang awalnya hanya menjadi konsep penelitian kini telah berkembang menjadi ancaman nyata dan digunakan dalam berbagai kampanye phishing untuk mencuri akun pengguna. Oleh karena itu, setiap pengguna internet perlu meningkatkan kewaspadaan ketika diminta melakukan login melalui jendela pop-up yang muncul di dalam halaman web.

Menggunakan password manager, mengaktifkan autentikasi dua faktor, beralih ke passkey, memakai kata sandi yang unik pada setiap akun, serta selalu memeriksa keaslian situs sebelum memasukkan kredensial merupakan langkah-langkah sederhana namun sangat efektif untuk mengurangi risiko menjadi korban Browser-in-the-Browser. Di era digital yang terus berkembang, kesadaran dan edukasi keamanan siber tetap menjadi benteng pertahanan pertama dalam melindungi identitas dan data pribadi di internet.

Bagikan artikel ini

Komentar ()

Video Terkait