Threat Modeling Session: Memetakan Risiko CSRF di Fintech Startup

Di dunia fintech startup, keamanan aplikasi adalah hal yang sangat penting.
Salah satu ancaman yang sering terlupakan tapi berbahaya adalah CSRF (Cross-Site Request Forgery).

Dalam artikel ini, kita akan membahas bagaimana melakukan threat modeling atau pemetaan risiko CSRF khusus untuk fintech startup — dengan bahasa yang sederhana dan mudah dipahami.

🧠 Apa Itu CSRF?

CSRF adalah serangan di mana penyerang memanfaatkan sesi login korban untuk mengirim permintaan berbahaya tanpa sepengetahuan korban.
Misalnya, memindahkan uang, mengubah data profil, atau mengubah pengaturan akun.

Karena fintech berurusan dengan data finansial, serangan CSRF bisa berakibat sangat fatal.

🎯 Apa Itu Threat Modeling?

Threat modeling adalah proses mengidentifikasi dan memahami potensi risiko keamanan sebelum terjadi serangan.

Tujuannya:

  • Menemukan celah keamanan

  • Menilai dampak risiko

  • Merancang langkah pencegahan yang tepat

🛠️ Langkah-Langkah Threat Modeling untuk CSRF di Fintech

1. Identifikasi Aset Penting

Contohnya:

  • Akun pengguna

  • Saldo dan transaksi

  • Pengaturan pembayaran dan rekening bank

2. Identifikasi Titik Masuk (Entry Points)

Cari tahu di mana aplikasi menerima input, seperti:

  • Form transaksi (transfer uang)

  • Form ubah data profil

  • API endpoint untuk pembayaran

3. Analisis Kerentanan CSRF

  • Apakah form atau API tersebut menggunakan token CSRF?

  • Apakah cookie sesi menggunakan SameSite?

  • Apakah validasi asal request dilakukan?

4. Penilaian Risiko

Tentukan:

  • Seberapa besar dampak jika CSRF terjadi di titik tertentu

  • Seberapa mudah serangan bisa dilakukan

🔥 Contoh Risiko CSRF di Fintech Startup

Titik Masuk Risiko Jika Terkena CSRF Dampak
Form transfer uang Penyerang bisa kirim uang ke rekening lain Kerugian finansial besar
Form ubah nomor telepon Akun bisa diretas dengan SMS OTP Kehilangan kontrol akun
API pembayaran otomatis Pembayaran palsu bisa dilakukan Kerugian finansial dan reputasi

🛡️ Strategi Mitigasi CSRF di Fintech

  • Implementasi CSRF token di semua form dan API yang sensitif

  • Gunakan cookie dengan atribut SameSite=Strict untuk membatasi pengiriman cookie dari luar domain

  • Validasi header Origin dan Referer untuk memastikan request datang dari sumber yang benar

  • Gunakan autentikasi dua faktor (2FA) untuk transaksi penting

  • Lakukan pengujian keamanan secara rutin (pentesting dan automated scan)

🧾 Kesimpulan

Threat modeling adalah langkah awal yang sangat penting untuk mengenali dan mengurangi risiko CSRF di fintech startup.
Dengan memahami titik rentan dan menerapkan proteksi yang tepat, kamu bisa melindungi pengguna dan menjaga kepercayaan mereka.

Ingat, keamanan bukan hanya soal teknologi, tapi juga proses dan kesadaran.

Penulias : Muhammad Aditya Alkhawarizmi

Nim : 23156201023

jurusan : Sistem Komputer