Bagaimana Phishing & CSRF Berkolaborasi Menguras Dompet Anda

Phishing dan CSRF (Cross-Site Request Forgery) adalah dua jenis serangan yang sering dianggap terpisah. Tapi tahukah kamu, kalau digabung, keduanya bisa jadi tim jahat yang sangat mematikan?

Dalam artikel ini, kita akan bahas bagaimana phishing dan CSRF bisa bekerja sama, dan bagaimana mereka diam-diam bisa menguras isi dompet digital atau rekening online kamu—tanpa kamu sadari.

🔍 Apa Itu Phishing?

Phishing adalah trik untuk menipu korban agar mengklik link palsu atau membuka halaman berbahaya. Biasanya dilakukan lewat:

  • Email palsu

  • SMS tipuan

  • Chat dengan link jebakan

Tujuannya? Membuat kamu membuka halaman tertentu, yang sudah disiapkan oleh penyerang untuk melakukan aksi berbahaya.

💣 Apa Itu CSRF?

CSRF (Cross-Site Request Forgery) adalah serangan yang membuat browser kamu mengirim permintaan tanpa izin, seperti:

  • Transfer uang

  • Ubah password

  • Hapus akun

Ini terjadi karena browser otomatis mengirim cookie login, walaupun permintaan datang dari situs luar.

🔗 Ketika Phishing & CSRF Bekerja Sama

🧩 Langkah 1: Penyerang Kirim Email Phishing

Kamu mendapat email seperti ini:

“Selamat! Anda mendapat cashback Rp100.000. Klik di sini untuk klaim.”

Link dalam email ternyata menuju halaman jebakan milik penyerang.

🧩 Langkah 2: Halaman Jebakan Aktifkan CSRF

Saat kamu membuka halaman tersebut, tanpa sadar browser kamu menjalankan kode seperti ini:

html
<form method="POST" action="https://dompetku.com/transfer">
<input type="hidden" name="tujuan" value="12345678">
<input type="hidden" name="jumlah" value="500000">
</form>
<script>
document.forms[0].submit();
</script>

📦 Apa yang Terjadi?

  • Karena kamu masih login ke dompet digital (misalnya dompetku.com),

  • Browser secara otomatis mengirim cookie login ke server,

  • Server mengira permintaan ini dari kamu sendiri,

  • Transfer Rp500.000 pun berhasil—tanpa kamu klik tombol apa pun.

⏱️ Waktu yang dibutuhkan? Tidak sampai 3 detik.
💸 Uang sudah berpindah tangan.

😱 Kenapa Ini Berbahaya?

  • Kamu tidak pernah memasukkan password ulang.

  • Kamu tidak klik tombol “transfer”.

  • Semuanya terjadi karena kamu hanya membuka link jebakan.

🛡️ Cara Mencegah Serangan Gabungan Ini

✅ Untuk Pengguna:

  • Selalu logout setelah pakai layanan keuangan online.

  • Jangan mudah klik link dari email/SMS tak dikenal.

  • Aktifkan notifikasi transaksi untuk mendeteksi aktivitas aneh.

  • Gunakan browser terbaru & aktifkan proteksi phishing.

✅ Untuk Developer:

  • Gunakan CSRF Token di semua form atau API sensitif.

  • Atur cookie login dengan SameSite=Strict dan HttpOnly.

  • Validasi header Origin atau Referer di server.

  • Jangan gunakan metode GET untuk aksi penting (seperti transfer).

🧾 Kesimpulan

Phishing dan CSRF adalah dua serangan berbeda, tapi jika digabung, hasilnya sangat berbahaya. Cukup satu klik di email palsu, dan serangan CSRF bisa langsung dijalankan di balik layar.

Ingat: Keamanan bukan hanya soal password kuat, tapi juga soal waspada dan sistem yang dirancang aman dari semua arah.

Penulias : Muhammad Aditya Alkhawarizmi

Nim : 23156201023

jurusan : Sistem Komputer