Di dunia yang sempurna, tidak akan ada cara bagi komputer Anda untuk terinfeksi melalui browser Anda. Peramban seharusnya menjalankan laman web di kotak pasir yang tidak tepercaya, mengisolasi mereka dari sisa komputer Anda. Sayangnya, ini tidak selalu terjadi.
Situs web dapat menggunakan lubang keamanan di browser atau plugin browser untuk keluar dari kotak pasir ini. Situs web berbahaya juga akan mencoba menggunakan taktik rekayasa sosial untuk mengelabui Anda.
Plugin Browser Tidak Aman
Kebanyakan orang yang dikompromikan melalui browser dikompromikan melalui plugin browser mereka. Java Oracle adalah pelanggar terburuk, paling berbahaya. Apple dan Facebook baru-baru ini memiliki komputer internal yang disusupi karena mereka mengakses situs web yang mengandung applet Java berbahaya. Plugin Java mereka bisa benar-benar up-to-date - itu tidak masalah, karena versi terbaru Java masih mengandung kerentanan keamanan yang belum di-patch.
Untuk melindungi diri Anda sendiri, Anda harus menghapus Java sepenuhnya. Jika Anda tidak bisa karena Anda memerlukan Java untuk aplikasi desktop seperti Minecraft, Anda setidaknya harus menonaktifkan plugin browser Java untuk melindungi diri Anda sendiri.
Plugin browser lainnya, terutama Adobe Flash player dan plugin PDF reader, juga secara teratur harus menambal kerentanan keamanan. Adobe telah menjadi lebih baik daripada Oracle dalam menanggapi masalah ini dan menambal plugin mereka, tetapi masih sering mendengar tentang kerentanan Flash baru yang dieksploitasi.
Plugin adalah target berair. Kerentanan dalam plugin dapat dieksploitasi di semua browser yang berbeda dengan plugin di semua sistem operasi yang berbeda. Kerentanan plugin Flash dapat digunakan untuk mengeksploitasi Chrome, Firefox, atau Internet Explorer yang berjalan di Windows, Linux, atau Mac.
Untuk melindungi diri Anda dari kerentanan plugin, ikuti langkah-langkah berikut:
- Gunakan situs web seperti plugin Firefox untuk memeriksa apakah Anda memiliki plugin yang kedaluwarsa. (Situs web ini dibuat oleh Mozilla, tetapi juga berfungsi dengan Chrome dan browser lainnya.)
- Perbarui plugin apa pun yang sudah kedaluwarsa segera. Terus perbarui dengan memastikan pembaruan otomatis diaktifkan untuk setiap plugin yang telah Anda instal.
- Copot pemasangan plugin yang tidak Anda gunakan. Jika Anda tidak menggunakan plugin Java, Anda seharusnya tidak menginstalnya. Ini membantu mengurangi “permukaan serangan” Anda - jumlah perangkat lunak yang tersedia bagi komputer Anda untuk dieksploitasi.
- Pertimbangkan untuk menggunakan fitur plugin klik untuk putar di Chrome atau Firefox, yang mencegah plugin untuk berjalan kecuali ketika Anda secara khusus memintanya.
- Pastikan Anda menggunakan antivirus di komputer Anda. Ini adalah garis pertahanan terakhir terhadap "zero-day" vulnerability (kerentanan baru, unpatched) dalam sebuah plugin yang memungkinkan penyerang menginstal perangkat lunak berbahaya di komputer Anda.
Lubang Keamanan Browser
Kerentanan keamanan di peramban web itu sendiri juga dapat memungkinkan situs web berbahaya untuk menyusupi komputer Anda. Peramban web telah banyak membersihkan aksi mereka dan kerentanan keamanan di plugin saat ini adalah sumber utama kompromi.
Namun, Anda harus menjaga peramban Anda tetap up-to-date. Jika Anda menggunakan versi Internet Explorer 6 yang lama dan belum dicoba dan Anda mengunjungi situs web yang kurang bereputasi, situs web tersebut dapat mengeksploitasi kerentanan keamanan di browser Anda untuk menginstal perangkat lunak berbahaya tanpa izin Anda.
Melindungi diri dari kerentanan keamanan peramban cukup sederhana:
- Tetap perbarui browser web Anda. Semua browser utama sekarang memeriksa pembaruan secara otomatis. Biarkan fitur pembaruan otomatis diaktifkan untuk tetap terlindungi. (Internet Explorer memperbarui dirinya melalui Pembaruan Windows. Jika Anda menggunakan Internet Explorer, memperbarui informasi untuk Windows sangatlah penting.)
- Pastikan Anda menjalankan antivirus di komputer Anda. Seperti halnya plugin, ini adalah garis pertahanan terakhir terhadap kerentanan zero-day di browser yang memungkinkan malware masuk ke komputer Anda.
Trik Teknik Sosial
Halaman web berbahaya mencoba mengelabui Anda agar mengunduh dan menjalankan malware. Mereka sering melakukan ini menggunakan "rekayasa sosial" - dengan kata lain, mereka mencoba untuk mengkompromikan sistem Anda dengan meyakinkan Anda untuk membiarkan mereka di bawah kepura-puraan palsu, bukan dengan mengorbankan browser atau plugin Anda sendiri.
Jenis kompromi ini tidak hanya terbatas pada browser web Anda - pesan email berbahaya juga dapat mencoba mengelabui Anda agar membuka lampiran yang tidak aman atau mengunduh file yang tidak aman. Namun, banyak orang terinfeksi dengan segala sesuatu mulai dari adware dan toolbar peramban yang menjengkelkan hingga virus dan Trojan melalui trik sosial-rekayasa yang terjadi di browser mereka.
- Kontrol ActiveX: Internet Explorer menggunakan kontrol ActiveX untuk plugin browsernya. Situs web apa pun dapat meminta Anda mengunduh kontrol ActiveX. Ini bisa sah - misalnya, Anda mungkin perlu mengunduh kontrol ActiveX pemain Flash saat pertama kali Anda memainkan video Flash secara online. Namun, kontrol ActiveX sama seperti perangkat lunak lainnya di sistem Anda dan memiliki izin untuk meninggalkan browser web dan mengakses sisa sistem Anda. Situs web berbahaya yang mendorong kontrol ActiveX berbahaya dapat mengatakan kontrol diperlukan untuk mengakses beberapa konten, tetapi sebenarnya ada untuk menginfeksi komputer Anda. Jika ragu, jangan menyetujui untuk menjalankan kontrol ActiveX.
- File Pengunduhan Otomatis: Situs web berbahaya dapat mencoba mengunduh secara otomatis file EXE atau jenis file berbahaya lainnya ke komputer Anda dengan harapan Anda akan menjalankannya. Jika Anda tidak secara khusus meminta unduhan dan tidak tahu apa itu unduhan, jangan unduh file yang secara otomatis muncul dan meminta Anda di mana untuk menyimpannya.
- Tautan Unduhan Palsu: Di situs web dengan jaringan iklan yang buruk - atau situs web tempat konten bajakan ditemukan - Anda akan sering melihat iklan meniru tombol unduh.Iklan ini mencoba mengelabui orang agar mengunduh sesuatu yang tidak mereka cari dengan menyamar sebagai tautan unduhan nyata. Ada kemungkinan tautan yang bagus seperti ini mengandung malware.
- “Anda Perlu Plugin untuk Menonton Video Ini”: Jika Anda menemukan situs web yang mengatakan Anda perlu memasang plug-in atau codec browser baru untuk memutar video, berhati-hatilah. Anda mungkin memerlukan plugin browser baru untuk beberapa hal - misalnya, Anda memerlukan plugin Microsoft Silverlight untuk memutar video di Netflix - tetapi jika Anda berada di situs web yang kurang bereputasi yang ingin Anda unduh dan jalankan file EXE sehingga Anda dapat bermain video mereka, ada kemungkinan mereka mencoba menginfeksi komputer Anda dengan perangkat lunak berbahaya.
- "Komputer Anda Terinfeksi": Anda mungkin melihat iklan yang mengatakan komputer Anda terinfeksi dan bersikeras bahwa Anda perlu mengunduh file EXE untuk membersihkan semuanya. Jika Anda mengunduh file EXE ini dan menjalankannya, komputer Anda mungkin akan terinfeksi.
Ini bukan daftar yang lengkap. Orang jahat terus mencari cara baru untuk mengelabui orang.
Seperti biasa, menjalankan antivirus dapat membantu melindungi Anda jika Anda secara tidak sengaja mengunduh program jahat.
Ini adalah cara-cara pengguna komputer rata-rata (dan bahkan karyawan di Facebook dan Apple) memiliki komputer mereka "diretas" melalui browser mereka. Pengetahuan adalah kekuatan, dan informasi ini harus membantu Anda melindungi diri Anda secara online.