Spoofing: Menyamar Demi Keuntungan

2025-04-21

stride

"Siapa Lo? Kok Ngaku-ngaku?"

Bayangin kamu lagi bangun aplikasi. Tau-tau ada orang ngaku-ngaku jadi user lain. Atau bahkan jadi admin. 😑

Itulah Spoofing.

Di STRIDE, spoofing adalah ancaman saat seseorang menyamar jadi entitas lain untuk dapet keuntungan.

Kalau salah tangani, hasilnya bisa fatal.

Apa Itu Spoofing?

Ilustrasi Spoofing STRIDE

Spoofing terjadi saat attacker:

  • Berpura-pura jadi user sah.
  • Menyamar jadi service lain.
  • Menipu sistem untuk dapat akses.

Contoh Kasus Spoofing

1. "Kayanya Udah Ga Ada" — IP Spoofing Manual

Contoh: Dulu attacker sering ngubah header IP manual buat nipu sistem.

Sebab:

  • Sistem mengandalkan IP untuk identifikasi user.

Akibat:

  • User lain bisa diimpersonate.
  • Log aktivitas jadi salah semua.

2. "Masih Banyak Kejadian Kayanya" — Phishing Login Page

Contoh: User dikasih link palsu ke halaman login tiruan, yang mirip banget sama web asli.

Sebab:

  • Tidak ada edukasi user.
  • Tidak ada validasi domain/SSL yang ketat.

Akibat:

  • Credential user dicuri.
  • Akun resmi bisa diambil alih.

3. "Wah Ini Advance" — JWT Token Forgery

Contoh: Attacker nemu JWT token yang signaturenya bisa dipalsukan (alg=none exploit).

Sebab:

  • Salah konfigurasi algoritma JWT.
  • Tidak validasi signature token.

Akibat:

  • Attacker bisa login sebagai siapa saja.
  • Sistem jadi full compromised.

🎁 Bonus "Kasus Lucu Tapi Nyata" — Ngaku Admin Lewat Chat Support

Contoh: User pura-pura "lupa password admin", minta reset lewat live chat support... dan berhasil karena CS nggak verifikasi identitas. 😂

Sebab:

  • SOP verifikasi identitas lemah.
  • Terlalu percaya sama kata-kata user.

Akibat:

  • Akun admin bisa diambil alih modal acting doang.

Way of Working: Mencegah Spoofing

Langkah-langkah yang harus dipasang dari awal:

  • Strong Authentication: Gunakan MFA, jangan cuma password.
  • Session Integrity: Bind session dengan device/user metadata.
  • Signature Validation: Selalu validasi semua token/signature.
  • Domain Validation: Pastikan user selalu di domain resmi.
  • User Education: Ajari user tentang phishing & spoofing.

Intinya: "Jangan percaya yang kelihatannya doang." 😎

Kaitan Spoofing dengan OWASP Top 10

Sedikit gambaran:

  • A07:2021 - Identification and Authentication Failures: Masalah identitas dan autentikasi itu lahan empuk spoofing.
  • A05:2021 - Security Misconfiguration: Salah setting token/SSL bisa bikin spoofing makin gampang.

Kalau autentikasi kamu rapuh, siap-siap disamperin impersonator. 🎭

Penutup

Spoofing itu kayak orang pake jas almamater palsu buat masuk seminar gratis. Tapi yang ini taruhannya jauh lebih gede.

Kalau sistem kamu gampang ditipu, jangan kaget kalau suatu hari yang login bukan user kamu lagi.

Yuk, bangun sistem yang kenal usernya beneran. 🛡️

"STRIDE bukan checklist, tapi mindset." -- harscode.dev

Konten Terkait :

Tampering: Ngoprek Data Seenaknya