Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Crime

Cyber Crime

Telegram Kini Menjadi Tempat Tujuan Untuk Menjual Alat dan Layanan Phishing

by

Telegram telah menjadi tempat bagi pembuat bot dan kit phishing yang ingin memasarkan produk mereka kepada audiens yang lebih besar atau merekrut pekerja yang tidak dibayar.

Peneliti dari Kaspersky telah mengamati sebuah tren di mana sebuah komunitas telah terbentuk di sekitar topik phishing yang semakin populer di Telegram.

Pelaku phishing sangat aktif di Telegram, menawarkan layanan mulai dari menjual kit siap pakai, halaman palsu, langganan alat, panduan, hingga dukungan teknis kepada pembeli yang tertarik.

    Menurut laporan dari Kaspersky, layanan phishing berikut ini ditawarkan melalui Telegram saat ini:

  • kit phishing gratis dengan alat pra-paket yang memungkinkan pengguna membuat halaman phishing yang meniru merek terkenal.
  • Pembuatan halaman phishing otomatis (berbasis bot) dan pengumpulan data pengguna dilakukan secara otomatis menggunakan bot.
  • Halaman phishing dan scam premium menawarkan antarmuka yang dapat disesuaikan, sistem anti-bot, blokir geografis, enkripsi URL, dan elemen rekayasa sosial. Biaya kit ini bervariasi antara $10 hingga $300, tergantung pada fiturnya.
  • Data pribadi yang dicuri meliputi kredensial perbankan online yang sering diverifikasi.
  • Langganan Phishing-as-a-service (PhaaS) menyediakan akses ke alat, panduan pemula, dukungan teknis, dan pembaruan rutin untuk sistem anti-deteksi yang disediakan. Layanan ini ditawarkan pada model langganan dengan harga sekitar $130/minggu, atau $500/bulan untuk penerapan khusus.
  • Bot kata sandi satu kali (OTP) membantu phisher melewati perlindungan 2FA (autentikasi dua faktor) secara otomatis.

Beberapa vendor menjual kit yang mengenkripsi data yang dicuri, sehingga operator dan vendor tidak dapat mengakses informasi korban tanpa membayar.

Telegram menjadi tempat bagi calon penipu untuk belajar bisnis phishing gratis. Phisher yang berpengalaman membuat saluran Telegram dengan bot yang memberikan petunjuk langkah demi langkah untuk membuat halaman phishing.

Kaspersky telah mendeteksi lebih dari 2,5 juta URL jahat yang dihasilkan menggunakan kit phishing dan mencegah 7,1 upaya akses oleh pengguna produknya dalam enam bulan terakhir. Proliferasi kit dan layanan di Telegram telah memungkinkan pertumbuhan operasi phishing yang besar.

Selengkapnya: Bleeping Computer

Para Ahli Mengungkapkan Aplikasi Belanja dari China, Pinduoduo, Kemampuan Mata-Mata Pinduoduo Pengguna

by

Akhir-akhir ini banyak sekali aplikasi yang diam-diam memata-matai penggunanya dengan berbagai tujuan.

Pinduoduo, salah satu aplikasi belanja terpopuler di Cina dengan basis pengguna bulanan lebih dari 750 juta, telah dilaporkan oleh para peneliti keamanan siber karena dapat melacak aktivitas pengguna di aplikasi lain, membaca pesan pribadi, mengubah pengaturan tanpa persetujuan, dan sulit dihapus setelah diinstal.

CNN melakukan investigasi dan menemukan malware pada aplikasi ini yang memanfaatkan kelemahan sistem operasi Android untuk memata-matai pengguna dan pesaing guna meningkatkan penjualan.

Menurut peneliti keamanan siber, aplikasi tersebut dapat melewati keamanan ponsel pengguna, memungkinkannya memantau aktivitas di aplikasi lain, memeriksa notifikasi, membaca pesan pribadi, dan mengubah pengaturan.

Pinduoduo didirikan pada tahun 2015 di Shanghai oleh Colin Huang, seorang mantan karyawan Google. Pengguna bulanan Pinduoduo meningkat pesat hingga 2018, tahun yang terdaftar di New York. Pengguna bulanan sejak itu menurun, menurut laporan pendapatan.

Dengan mengumpulkan data pengguna, Pinduoduo dapat membuat potret komprehensif tentang kebiasaan, minat, dan preferensi pengguna, menyempurnakan model pembelajaran mesinnya untuk menawarkan pemberitahuan push dan iklan yang lebih dipersonalisasi.

Aplikasi Sebelumnya Ditutup Oleh Google
Peneliti dari beberapa perusahaan keamanan siber melakukan analisis independen terhadap aplikasi tersebut, yang dirilis pada akhir Februari. Mereka menemukan kode yang dirancang untuk mencapai ‘eskalasi hak istimewa’.

Pinduoduo membantah tuduhan niat jahat, tetapi pakar keamanan siber mengatakan tindakan perusahaan itu sangat tidak biasa dan berpotensi memberatkan.

Selengkapnya: TechStory

Bagaimana FBI menangkap admin BreachForums

by

FBI mengumpulkan beberapa bukti untuk menangkap Pompompurin. Pertama, mereka mendapatkan alamat IP yang digunakan Pompompurin untuk mengakses RaidForums, pendahulu BreachForums, yang disita oleh FBI pada April 2022. Sembilan dari alamat IP tersebut dikaitkan dengan Fitzpatrick, menurut penyedia layanan internetnya Verizon, sebagai Agen Khusus FBI tulis John Longmire dalam affidavit tertanggal 15 Maret, dua hari sebelum penangkapan Fitzpatrick.

Meskipun Pompompurin kemudian berkata “(Saya tidak ingin membagikan email saya yang sebenarnya karena alasan yang jelas, tetapi email ini tampaknya memiliki kasus yang sama dengan saya): conorfitzpatrick02@gmail.com,” tulis agen tersebut dalam pernyataan tertulis bahwa email itu alamat memang Pompompurin karena FBI memperoleh catatan dari Google yang menunjukkan bahwa Fitzpatrick mendaftarkan alamat itu beberapa bulan sebelum obrolan itu. Peretas yang diduga juga memiliki akun Google Pay yang ditautkan ke alamat email itu dan juga yang lebih baru, “conorfitzpatrick2002@gmail.com,” keduanya ditautkan ke nomor yang dimiliki oleh Fitzpatrick, menurut affidavit.

Selain itu, agen tersebut menulis bahwa dia memperoleh lebih banyak catatan dari Google, yang menunjukkan conorfitzpatrick2002@gmail.com memiliki alamat email pemulihan funmc59tm@gmail.com yang ditautkan ke alamat IP yang terdaftar untuk seseorang dengan nama belakang Fitzpatrick dan nomor telepon yang berbeda, yang mana agen itu mengatakan dia yakin itu milik ayah Fitzpatrick.

Kemudian, menurut affidavit, Pompompurin menggunakan beberapa VPN untuk terhubung ke akun Gmailnya, beberapa di antaranya tumpang tindih dengan aktivitasnya di tempat lain di internet.

Agen tersebut juga mengatakan bahwa FBI memperoleh catatan dari pertukaran cryptocurrency Purse.io. Catatan perusahaan mengungkapkan bahwa empat alamat IP yang digunakan untuk terhubung ke bursa juga digunakan untuk terhubung ke akun Gmail conorfitzpatrick2002@gmail.com dan akun RaidForum Pompompurin. Selain itu, akun Purse.io itu terdaftar dengan nama Conor Fitzpatrick dan alamat email “conorfitzpatrick2002@gmail.com,” kata affidavit.

Selengkapnya: TechCrunch

Menanggapi Scam Phishing LogMeIn

by

LogMeIn Hamachi adalah zero-configuration virtual private network (VPN) atau jaringan pribadi virtual tanpa konfigurasi. Hamachi merupakan aplikasi bagi-pakai yang didistribusikan secara bebas yang mampu membangun hubungan secara langsung antar-komputer yang terkoneksi ke dalam jaringan internet tanpa ada konfigurasi yang rumit, dengan kata lain, membentuk hubungan antar-komputer yang saling berjauhan melalui jaringan internet, seakan-akan komputer tersebut terhubung ke dalam jaringan lokal atau LAN.

Phishing LogMeIn sejalan dengan “penipuan pengembalian uang” yang dibuat oleh YouTuber di mana mereka menghabiskan waktu berjam-jam untuk menelepon para penipu untuk membuang-buang waktu.

Arch Cloud Labs berspekulasi dengan keyakinan sedang bahwa kemungkinan besar ini adalah penipuan meja Bantuan TI.

Informasi yang diperoleh dari memeriksa domain dalam kombinasi dengan situs WordPress yang salah konfigurasi, dan kurangnya aktivitas pasca-eksploitasi pada laptop yang terbentuk menunjukkan bahwa tujuannya adalah untuk menakut-nakuti pengguna agar membayar “layanan” tersebut.

Tidak jelas saat ini bagaimana scammer akan meminta uang (kartu kredit/cryptocurrency/money order/kartu hadiah amazon/dll).

Jenis penipuan ini bukanlah hal baru, tetapi masih relevan karena berhasil. Bicaralah dengan orang yang Anda cintai tentang penipuan ini, dan apa yang harus dilakukan jika mereka menghadapi situasi ini.

Sama seperti organisasi perusahaan yang memiliki rencana tanggap insiden untuk infrastrukturnya, Anda harus memilikinya untuk keluarga Anda.

Selengkapnya: Arch Cloud Labs

Linus Tech Tips Saluran YouTube diretas untuk mempromosikan video penipuan kripto Elon Musk

by

YouTube memiliki masalah berkelanjutan dengan pelanggaran akun, dan sekarang tampaknya salah satu saluran terbesar di platform tersebut telah diretas. LinusTechTips, yang dikenal dengan konten perangkat keras PC yang dapat diakses, telah menjadi korban terbaru dari serangan ini.

Saluran telah diganti namanya menjadi “LinusTechTipsTemp” di bawah pegangan “@temporaryhandle”. Saluran ini juga telah menghapus sebagian besar videonya, meskipun secara bertahap dipulihkan.

Saluran yang dilanggar mengalirkan dua video yang menampilkan Elon Musk berbicara tentang cryptocurrency dengan pendiri asli Twitter. Satu diberi nama “OpenAI ChatGPT-4: Teknologi AI yang Mengubah Game”, sementara yang lain disebut “LinusTechTips & Elon Musk Special Crypto Giveaway”. Aliran terakhir telah dihapus setelah sekitar 20 menit penyiaran. Aliran pertama turun setelah sekitar 35 menit siaran.

Namun, keduanya sekarang telah ditayangkan kembali dalam apa yang tampaknya merupakan pergulatan antara aktor jahat dan YouTube sendiri.

Namun, kedua streaming langsung tersebut tampak identik, menampilkan video yang sama persis. Padahal, dalam obrolan, ada tautan ke “Crypto Giveaway” yang mungkin berbahaya. Ini tampaknya merupakan upaya phishing untuk mendapatkan detail dompet mata uang kripto dari pemirsa yang tidak menaruh curiga.

Sementara aktor jahat mungkin telah menghapus sebagian besar video LinusTechTips, kasus pelanggaran akun sebelumnya dengan penghapusan video telah mengembalikan akunnya setelah pemulihan oleh pemilik akun. Tampaknya video yang sebelumnya dihapus kini sedang dalam proses pemulihan oleh YouTube sendiri.

Selengkapnya: Dexerto

Setelah diretas, data dari raksasa teknologi Australia Atlassian dibuang secara online

by

Kru peretasan yang kurang dikenal bernama SiegedSec memposting data tentang ribuan karyawan Atlassian dan denah lantai untuk dua kantor vendor perangkat lunak Australia.

File karyawan yang diposting online Rabu berisi lebih dari 13.200 entri dan tinjauan sepintas terhadap file tersebut tampaknya menunjukkan beberapa data karyawan saat ini, termasuk nama, alamat email, departemen kerja, dan informasi lainnya. Denah lantai adalah untuk satu lantai kantor perusahaan di San Francisco dan satu lagi untuk kantornya di Sydney, Australia.

“BENAR SEKALI, SiegedSec di sini untuk mengumumkan bahwa kami telah meretas perusahaan perangkat lunak Atlassian,” kata sebuah pesan yang diposting dengan file tersebut. “Perusahaan senilai $44 miliar ini telah dimiliki oleh para peretas berbulu uwu.”

Perwakilan Atlassian awalnya memberi tahu CyberScoop melalui email pada hari Kamis bahwa pada 15 Februari perusahaan mengetahui bahwa data dari Utusan, aplikasi pihak ketiga yang digunakan Atlassian untuk mengoordinasikan sumber daya di kantor, diterbitkan secara online, tetapi bahwa “produk Atlassian dan data pelanggan ” adalah “tidak berisiko”. Perusahaan tersebut kemudian memberi tahu TechCrunch bahwa tinjauan internalnya mengungkapkan bahwa data tersebut diakses dari aplikasi Utusan “menggunakan kredensial karyawan Atlassian yang secara keliru diposting di repositori publik oleh karyawan tersebut.”

Seorang juru bicara Utusan memberi tahu CyberScoop bahwa sistem perusahaan tidak terganggu atau dilanggar. Orang tersebut mengatakan bahwa kedua perusahaan telah berkolaborasi untuk mengidentifikasi sumber kompromi data. “Kami menemukan bukti di log permintaan yang mengonfirmasi bahwa peretas memperoleh kredensial pengguna yang valid dari akun karyawan Atlassian dan menggunakan akses tersebut untuk mengunduh data yang terpengaruh dari aplikasi Envoy. Kami dapat mengonfirmasi bahwa sistem Utusan tidak disusupi atau dilanggar dan tidak ada data pelanggan lain yang diakses.”

Selengkapnya: Cyberscoop

Twitter diam saat peretas menipu pengguna dengan akun terverifikasi profil tinggi yang dicuri

by

Melihat Jase Robertson dan David Dayen, Anda tidak akan mengira keduanya memiliki banyak kesamaan. Robertson dikenal karena waktunya di acara TV realitas A&E Dinasti Bebek. Dia saat ini menjadi pembawa acara di outlet digital konservatif TheBlaze. David Dayen adalah jurnalis progresif lama dan editor eksekutif untuk majalah The American Prospect.

Namun, selama beberapa minggu terakhir, tweet dari akun Twitter Robertson dan Dayen telah membagikan pesan yang sama persis.

“Halo keluarga twitter!” memulai tweet yang diposting ke kedua akun. “Saya memiliki 10 MacBook yang akan saya tanda tangani sendiri, yang dapat Anda beli seharga $600 dan pengiriman gratis! Dasar siapa cepat dia dapat, dan semua hasilnya akan disumbangkan untuk amal! DMS SAYA DIBUKA JIKA TERTARIK”

Termasuk dalam tweet setiap akun adalah foto yang sama persis dari MacBook Pro yang duduk di lantai kayu. Apa yang terjadi di sini? Sudahkah Dayen dan Robertson mengesampingkan perbedaan politik mereka dan memulai bisnis penjualan kembali Apple?

Tidak. Mereka telah diretas, bersama dengan banyak akun terverifikasi lawas lainnya di platform media sosial. Dan, Twitter diam tentang masalah ini.

Meskipun beberapa dari akun ini telah diretas selama berminggu-minggu, Twitter belum menangguhkan akun tersebut, memungkinkan peretas untuk menipu pengguna ribuan dolar, jika tidak lebih.

Dayen memberi tahu Mashable bahwa dia awalnya diretas musim panas lalu setelah mengklik tautan jahat yang memberikan akses ke akunnya kepada aktor jahat. Dia mengatakan akunnya dengan cepat ditangguhkan oleh Twitter, jauh sebelum Elon Musk mengakuisisi perusahaan tersebut. Ketika dia mendapatkan kembali akses sekitar sebulan kemudian, Dayen dengan cepat mengaktifkan autentikasi dua faktor di akunnya. Memberlakukan langkah keamanan ini seharusnya membuat peretasan lain menjadi sangat sulit dilakukan.

Namun, di sini akun Twitter @ddayen, hanya 6 bulan kemudian, diretas dan menipu pengguna platform.

Selengkapnya: Mashable

Penjahat dunia maya mendaftarkan domain baru untuk memangsa SVB, korban Credit Suisse

by

Flashpoint telah melihat sekitar 20 domain berbahaya baru seperti login-svb[.]com terdaftar, dengan pelaku ancaman juga membuat domain untuk bank pesaing seperti Revolut.

“Aktor ancaman yang bermotivasi finansial akan bertindak oportunistik, menggunakan teknik akses awal tingkat rendah yang sama seperti phishing, untuk memangsa mereka yang paling terkena dampak kegagalan,” kata analis intelijen senior Flashpoint, Ashley Alloca.

Alloca memberikan wawasan dan komentar tentang masalah di bawah ini:

“Aktor ancaman yang bermotivasi finansial sering bertindak oportunistik, berusaha memanfaatkan peristiwa yang layak diberitakan. Peristiwa ini dapat memengaruhi tema berbagai taktik rekayasa sosial yang digunakan untuk mendapatkan akses awal ke korban kompromi. Secara umum, pelaku ancaman cenderung mengeksekusi serangan rekayasa sosial bertema SVB atau Credit Suisse dengan penekanan pada penipuan phishing dan umpan malware. Kami melihat potensi penggunaan domain yang baru didaftarkan yang dapat digunakan dalam serangan phishing untuk mengumpulkan informasi sensitif atau memaksa korban untuk berbagi informasi atau mengirim dana ke akun yang dikendalikan aktor.”

“Kami telah melihat aktor ancaman telah mendaftarkan domain baru ini agar terlihat seperti halaman sah yang berafiliasi dengan SVB. Misalnya, pada hari Sabtu 11 Maret, hari setelah SVB runtuh, domain baru seperti login-svb[.]com, svbbailout[.]com, svbdividendpayout[.]com, dan svbfail[.]com didaftarkan. Setidaknya 16 domain lain yang menggunakan ‘SVB’ telah didaftarkan. Sangat mungkin tidak semua domain ini akan dimanfaatkan untuk tujuan jahat, tetapi jelas dalam kasus login-svb[.]com bahwa halaman tersebut kemungkinan akan berubah menjadi halaman login untuk afiliasi SVB, berbahaya atau lainnya.”

Selengkapnya: IT Wire