Domain Hijack: Threat & Defense
Domain hijack = pihak ketiga ambil alih akses ke domain lo. Damage bisa jutaan rupiah + reputational killing. Ini cara lindungi.
Vector Hijack Umum
1. Social Engineering ke Registrar
Attacker telepon registrar berpura-jadi lo + bypass support → transfer out domain.
Defense: - Pake registrar dengan 2FA mandatory - Set registrar lock (transfer prohibited tanpa unlock manual) - Email kontak yang tidak public (jangan email yang sama dengan WHOIS)
2. Expired Domain Sniping
Lo lupa renew, expired, attacker beli pas drop window.
Defense: - Auto-renewal mandatory ON - Multi-year registration (5-10 tahun) untuk domain critical - Calendar reminder 60+ hari before expiry - Backup payment method valid
3. DNS Hijack
Attacker compromise akun DNS provider → ubah A record → point ke server mereka.
Defense: - 2FA di DNS provider (Cloudflare, Route53) - DNSSEC enable - Monitor DNS changes (e.g., DNS Spy, RIPEstat)
4. Email Compromise
Email yang terdaftar di registrar di-hack → password reset domain panel.
Defense: - Email account terpisah untuk akun registrar (jangan personal email) - 2FA di email - Hardware key (YubiKey) recommended
5. Subdomain Takeover
Subdomain point ke service eksternal (mis. Heroku) yang sudah ga aktif → attacker claim service tersebut → kontrol subdomain.
Defense: - Audit DNS records reguler - Hapus CNAME ke service yang sudah tidak dipake - Tools: subdomain-takeover scanner (subjack, subzy)
Comprehensive Hardening Checklist
- [ ] Registrar dengan 2FA + transfer lock
- [ ] DNSSEC enabled
- [ ] DNS provider 2FA
- [ ] Auto-renewal ON
- [ ] Backup payment method valid
- [ ] Email kontak terpisah + 2FA + hardware key
- [ ] WHOIS privacy ON (kalau personal) atau company info (kalau bisnis)
- [ ] Monitor DNS changes dengan alert
- [ ] Subdomain audit quarterly
- [ ] Registrar contact info up-to-date
What If Already Hijacked?
- Kontak registrar IMMEDIATELY dengan bukti kepemilikan (KTP, akta, payment receipt)
- File ICANN dispute kalau registrar ga responsive
- Legal action (UDRP) untuk recover
- Notify customer kalau email/payment data terdampak (UU PDP requirement)
- Forensic — gimana attacker masuk? Patch hole.
Recovery bisa makan 2 minggu - 6 bulan tergantung registrar + jurisdiksi. Prevention >> cure.
📚 Sumber Resmi & Referensi
- ICANN — Authority domain global
- Pandi.id — Registrar resmi domain .id
- Wayback Machine — Cek history domain
🔗 Artikel Terkait
- WHOIS Domain Indonesia: Privacy vs Akuntabilitas — Kapan pakai WHOIS privacy, kapan public — pengaruh ke compliance Komdigi & UU PDP. WHOIS = database
- Bisnis Online & UU PDP: Compliance Checklist 2026 — 11 hal yang harus dipenuhi bisnis Indonesia setelah UU Perlindungan Data Pribadi 2022 berlaku penuh.
- SSL Certificate untuk Domain Indonesia: Free vs Paid — Pilih SSL cert tepat — Let's Encrypt gratis vs DigiCert/Sectigo berbayar, plus EV cert untuk e-comme