Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

Kampanye Phishing ‘PerSwaysion’ Masih Berlangsung, dan Menyebar

by

Kit phishing yang telah digunakan dalam ribuan serangan di seluruh dunia telah aktif secara signifikan lebih lama dari yang diperkirakan sebelumnya — dan terus menimbulkan ancaman potensial bagi organisasi di berbagai sektor, analisis baru menunjukkan.

Kit tersebut bernama PerSwaysion, dirancang untuk memberikan cara bagi penjahat dunia maya untuk meluncurkan kampanye phishing dengan relatif mudah dan dengan sedikit usaha di muka.

Aspek yang paling menonjol tentang ancaman tersebut adalah penggunaan layanan berbagi file Microsoft, seperti Sway, SharePoint, dan OneNote, untuk memikat pengguna ke situs pencuri kredensial.

David Pearson, salah satu pendiri dan CEO SeclarityIO yang baru diluncurkan, mengatakan bahwa analisis data perusahaannya di PerSwaysion menunjukkan kampanye tersebut, sebenarnya, diluncurkan setidaknya pada Oktober 2017 dan saat ini aktif meskipun ada pengungkapan publik tentang kit phishing grup dan TTP.

Analisis data dari URLscan menunjukkan bahwa selama 18 bulan terakhir saja, sekitar 7.403 orang dari 14 sektor industri mendarat di 444 portal phishing PerSwaysion yang unik di beberapa titik.

Korban berasal dari organisasi dalam pemerintahan AS, jasa keuangan, farmasi, perawatan kesehatan, kedirgantaraan, teknik, teknologi, dan sektor lainnya. Pearson memperkirakan jumlah organisasi yang terkena dampak kampanye sejak Mei 2020 setidaknya mencapai ratusan.

Selengkapnya: Dark Reading

Hapus 7 Aplikasi Android ini jika anda tidak ingin menghabiskan banyak uang

by

Menurut tweet dari Shishkova tujuh aplikasi ini membawa malware Joker yang berarti berbahaya bagi kesejahteraan finansial Anda. Meskipun aplikasi telah dihapus dari Google Play Store, itu tidak berarti aplikasi tersebut tidak lagi ada di ponsel Anda dan ingin mendaftarkan Anda ke layanan berlangganan penipuan yang sebenarnya tidak ingin Anda bayar.

Jadi periksa ponsel Android Anda untuk hal-hal berikut:

  • Now QRcode Scan – Lebih dari 10.000 pemasangan
  • EmojiOne Keyboard – Lebih dari 50.000 pemasangan
  • Battery Charging Animations Battery Wallpaper – Lebih dari 1.000 pemasangan
  • Dazzling Keyboard – Lebih dari 10 pemasangan
  • Volume Booster Louder Sound Equalizer – Lebih dari 100 pemasangan
  • Super Hero-Effect – Lebih dari 5.000 pemasangan
  • Classic Emoji Keyboard – Lebih dari 5.000 pemasangan

Untuk menghindari peluang menjadi korban malware, selalu periksa bagian komentar sebelum Anda menginstal aplikasi. Kedua, hindari menginstal aplikasi dari developer yang tidak dikenal yang memberikan akses luas untuk aplikasi tersebut namun memiliki sedikit ulasan.

Menemukan tanda bahaya untuk menemukan pemberitahuan LinkedIn palsu

Aplikasi jaringan bisnis LinkedIn merupakan aplikasi yang menghubungkan perusahaan dengan orang-orang, menerima pemberitahuan dari LinkedIn bukanlah hal yang luar biasa. Tetapi Kaspersky mengatakan bahwa pesan dari LinkedIn yang tampaknya berasal dari perusahaan yang sah bisa jadi email palsu yang terlihat asli, contoh phishing.

Dalam laporannya, Kaspersky menunjukkan contoh pesan yang dikirim melalui LinkedIn dari seorang pengusaha Arab. Pesan tersebut, yang seharusnya menyertakan foto pengirim, menanyakan penerima apakah dia ingin berbisnis dengannya. Tetapi ada begitu banyak tanda bahaya dengan surat resmi ini yang dapat mengajari Anda apa yang harus dicari ketika menerima pemberitahuan yang tidak diminta di LinkedIn.

Kesalahan ejaan sangat banyak. Di bagian paling atas Anda akan melihat bahwa LinkedIn salah dieja, dengan tambahan “I.” Juga salah dieja adalah kata “pengusaha.” Tidak ada tautan ke LinkedIn di alamat email, dan pesannya terlalu pendek untuk menjadi tawaran yang serius.

Mengklik tautan yang diposting di pemberitahuan memunculkan halaman login yang tampak seperti LinkedIn yang asli. Tetapi URL (optikzade.com.tr) tidak menyebutkan LinkedIn dan alih-alih domain .com, alamat tersebut menunjukkan bahwa halaman masuk palsu berasal dari Turki.

Upaya phishing lain yang melibatkan LinkedIn mungkin lebih sulit untuk ditangkap pada awalnya. Pemberitahuan masih berisi beberapa tanda merah karena meminta “Qoute.” Tetapi siapa di antara kita yang tidak pernah salah mengganti dua huruf, terutama saat mengetik cepat dalam bahasa yang bukan bahasa asli Anda.

Tetapi baris subjek untuk pemberitahuan ini berbunyi, “Juli Jiang mengirimi Anda pesan” hilang sebuah artikel sebelum kata “pesan.” Itu mungkin tidak tampak seperti masalah besar sampai Anda menyadari bahwa LinkedIn membuat baris subjek secara otomatis dan tidak akan ketinggalan memasukkan artikel.” Dan mengetuk tautan membawa Anda ke halaman login palsu yang menunjukkan kesalahan yang menutupi sebagian logo LinkedIn di bagian atas, dan salah menuliskan nama aplikasi sebagai Linkedin.

Selengkapnya : Phone Arena

Serangan phishing lebih sulit dikenali di ponsel cerdas Anda. Itu sebabnya peretas lebih sering menggunakannya

by

Terjadi lonjakan serangan phishing seluler yang menargetkan sektor energi karena penyerang dunia maya mencoba membobol jaringan yang digunakan untuk menyediakan layanan termasuk listrik dan gas.

Keinginan untuk membobol jaringan ini telah menghasilkan peningkatan tajam dalam serangan phishing terhadap sektor energi, khususnya serangan siber yang menargetkan perangkat seluler, demikian peringatan sebuah laporan oleh peneliti keamanan siber di Lookout.

Menurut laporan tersebut, telah terjadi peningkatan 161% dalam serangan phishing seluler yang menargetkan sektor energi sejak paruh kedua tahun lalu. Serangan yang menargetkan organisasi energi mencapai 17% dari semua serangan seluler secara global – menjadikannya sektor yang paling ditargetkan, di depan keuangan, pemerintah, farmasi, dan manufaktur.

Kerja jarak jauh telah meningkat pesat selama 18 bulan terakhir. Dan sementara peningkatan kerja seluler memungkinkan bisnis untuk terus beroperasi, peningkatan penggunaan perangkat pribadi dan kerja jarak jauh juga meningkatkan risiko keamanan – menurut Lookout, 41% perangkat seluler di industri energi tidak dikelola oleh pemberi kerja.

Situasi itu dapat menempatkan pengguna pada risiko serangan siber termasuk phishing dan malware yang dapat digunakan untuk membantu mendapatkan akses ke jaringan yang lebih luas.

Menyesuaikan email phishing ke perangkat seluler dapat membuatnya lebih sulit dikenali karena layar yang lebih kecil memberikan lebih sedikit kesempatan untuk memeriksa ulang bahwa tautan dalam email adalah sah, sementara ponsel cerdas dan tablet mungkin tidak diamankan secara menyeluruh seperti laptop dan PC desktop, memberikan penyerang kesempatan untuk mengkompromikan jaringan.

Selengkapnya: ZDNet

Mobile Phishing di Sektor Energi Melonjak 161%

by Leave a Comment

Serangan phishing seluler yang menargetkan karyawan di industri energi telah meningkat 161% dibandingkan data tahun lalu (H2 2020), dan trennya tidak menunjukkan tanda-tanda melambat.

Meskipun bahaya perangkat usang dan rentan mengganggu semua sektor, sebuah laporan baru oleh perusahaan keamanan siber Lookout menunjukkan bahwa energi adalah yang paling ditargetkan, diikuti oleh keuangan, farmasi, pemerintah, dan manufaktur.

Dalam hal penargetan geografis, Asia-Pasifik menempati urutan teratas, diikuti oleh Eropa dan kemudian Amerika Utara. Namun, ada tren peningkatan serangan phishing yang menargetkan industri energi global di seluruh dunia.

Mobile phishing juga melonjak pada paruh pertama tahun 2021, dengan hampir 20% dari semua karyawan di sektor energi menjadi sasaran serangan mobile phishing, yang mengarah ke peningkatan 161% selama enam bulan sebelumnya.

Panen kredensial lewat VPN

Dengan begitu banyak orang yang bekerja dari rumah karena pandemi COVID-19, banyak karyawan menggunakan VPN untuk mengakses jaringan perusahaan. Sayangnya, akses jarak jauh ke jaringan perusahaan ini menjadi target yang menarik bagi pelaku ancaman, yang menggunakan phishing untuk mencuri kredensial VPN atau kredensial domain.

Untuk melakukan kampanye ini, penyerang menggunakan email, SMS, aplikasi phishing, dan halaman login di situs perusahaan palsu.

Sumber: Lookout

Kredensial ini memungkinkan mereka untuk mendapatkan akses ke jaringan internal, yang kemudian dapat digunakan untuk gerakan lateral lebih lanjut dan menemukan titik pivot tambahan.

Dari sana, mereka dapat menemukan sistem yang rentan dan meluncurkan serangan terhadap sistem kontrol industri yang biasanya memuat kelemahan yang tak ditemukan selama bertahun-tahun.

Permasalahan Android

Menurut laporan dari Lookout, permukaan serangan paling signifikan berasal dari 56% pengguna Android yang menjalankan versi OS yang kedaluwarsa dan rentan.

“Versi lama sistem operasi Google dan Apple masih digunakan di seluruh industri energi. Versi lama memaparkan organisasi pada ratusan kerentanan yang dapat dieksploitasi oleh pelaku jahat yang mencari akses ke lingkungan organisasi,” jelas laporan dari Lookout.

Tepat setahun setelah Android 11 dirilis, telemetri Lookout menunjukkan bahwa hanya 44,1% perangkat Android aktif yang menggunakannya.

Sumber: Lookout

Sebaliknya, iPhone lebih kurang rentan terhadap eksploitasi, karena sebagian besar pengguna iOS menjalankan versi terbaru.

Riskware >>> Malware

Aplikasi yang meminta izin dan mengakses data sensitif pada perangkat sekarang menjadi masalah yang lebih besar daripada malware “murni”, karena jauh lebih mudah untuk melewati pemeriksaan appstore.

Banyak dari aplikasi ini terhubung ke server yang tidak jelas dan mengirim berbagai jenis data yang tidak relevan dengan fungsi intinya tetapi masih merupakan risiko besar bagi pengguna dan organisasi tempatnya bekerja.

Spyware, keyloggers, trojan, dan bahkan ransomware dropper tetap menjadi masalah, tetapi lebih mungkin digunakan dalam serangan yang sangat tertarget, sehingga volume distribusinya secara signifikan lebih kecil.

Dengan demikian, pelatihan karyawan sangat penting dalam meminimalkan penyimpangan keamanan, karena faktor manusia tetap menjadi risiko terbesar untuk menginstal riskware dan mengklik/mengetuk tautan yang mencurigakan.

Lookout melaporkan bahwa satu sesi pelatihan anti-phishing menghasilkan klik 50% lebih sedikit ke tautan phishing selama 12 bulan ke depan.

Sumber: Bleepingcomputer

Hati-hati: Phishing Discord Nitro menargetkan Steam Gamers

by

Phishing Steam baru yang dipromosikan melalui pesan Discord menjanjikan langganan Nitro gratis jika pengguna menghubungkan akun Steam mereka, yang kemudian digunakan peretas untuk mencuri item game atau mempromosikan penipuan lainnya.

Penipuan phishing dilakukan oleh banyak akun Discord yang dikontrol threat actors (orang yang mengancam keamanan di dunia maya) atau bot otomatis yang mengirim tautan ke pengguna lainnya tentang panduan cara mendapatkan Discord Nitro secara gratis.

“Lihat, di sini gratis nitro 1 bulan, cukup tautkan akun Steam Anda dan nikmati,” bunyi pesan phishing yang dikirim ke pengguna Discord seperti gambar di bawah ini.

Source: Malwarebytes

Meskipun terdengar seperti kampanye promosi, tautan membawa korban ke situs phishing yang dibuat penyerang agar terlihat seperti halaman Discord yang sah yang mempromosikan fitur Nitro.

Setelah mengklik tombol “Dapatkan Nitro”, formulir login Steam palsu ditampilkan, yang terlihat hampir identik dengan formulir yang sah.

Nyatanya, jendela pop-up yang terbuka adalah halaman phishing. Jadi, identitas Steam apa pun yang dimasukkan, dikirim langsung ke server peretas.

Source: Malwarebytes

Saat mencoba login, korban diperlihatkan kesalahan yang berkata, “Nama akun atau kata sandi yang Anda masukkan salah,” dan meminta pengguna untuk login lagi.

Metode verifikasi ganda ini memastikan bahwa tidak ada kesalahan pengetikan yang dibuat selama proses phishing dan identitas yang dicuri sudah benar.

Saat URL halaman phising ini dilaporkan dan dimasukkan ke daftar hitam, pelaku kejahatan mendaftarkan URL baru dan memindahkan operasi berbahaya mereka ke infrastruktur baru, seperti yang ditunjukkan oleh daftar di bawah.

Source: Malwarebytes

Begitulah umpan phishing terus berubah dengan umpan baru untuk memikat para gamer dengan janji akan sesuatu yang gratis.

Dengan demikian, saat menggunakan Discord, pengguna harus curiga terhadap pesan apa pun yang mengklaim menawarkan sesuatu secara gratis jika mereka mengklik URL.

Tidak ada hal yang ditawarkan secara gratis di luar platform itu sendiri, jadi jika Steam dan Discord menjalankan kampanye promosi bersama, Anda akan melihatnya di salah satu aplikasi/situs web resmi masing-masing.

Sumber: Bleeping Computer

Kampanye Malware Lightshot Baru

by

Lightshot adalah utilitas untuk Windows dan Mac yang memungkinkan Anda mengambil tangkapan layar dari bagian layar tertentu. Ini berguna jika Anda tidak ingin menggunakan fungsi bawaan Windows yang sejujurnya kurang.

Para penyerang membayar uang untuk membuat ini menjadi hasil pertama di Google melalui iklan. Lihat gambar di bawah:

Dan jika Anda pergi ke situs web, saya tidak dapat menyalahkan orang karena tidak dapat membedakannya:

Gambar di sebelah kanan adalah situs palsu, dibuat dengan baik untuk meniru yang asli di sebelah kiri.

Dan jika Anda mengunduh versi palsu, Anda sebenarnya menginstal Lightshot, tetapi juga klien NetSupport lama yang dikompilasi pada tahun 2009:

Sulit bagi rata-rata pengguna untuk tetap mengikuti jenis kampanye ini ketika penyerang melakukan pekerjaan yang baik meniru situs asli dan penginstal, belum lagi penginstal ditandatangani dan diverifikasi sehingga Windows tidak akan membuat kesalahan apa pun. Ini dibuat lebih lagi ketika mereka membeli ruang iklan yang berhasil muncul sebelum situs yang sah dalam pencarian.

Penting untuk diingat untuk memeriksa URL, dalam hal ini hadiahnya adalah “n” tambahan di URL, karena ini adalah yang paling bisa Anda lakukan untuk menjaga diri Anda tetap terlindungi. Antivirus terbaru juga terbukti penting karena akan menghentikan beacon menjangkau dan merusak sistem lebih lanjut. Menonton IP asing hanya dapat melakukan banyak hal karena yang dalam kasus ini adalah campuran sistem Asia dan Amerika. Ini juga bukan pertama kalinya hal seperti ini terjadi.

Selengkapnya: Culbert Report

Bagaimana Peretas Membajak Ribuan Akun YouTube Terkenal

by

Setidaknya sejak 2019, peretas telah membajak saluran YouTube profil tinggi. Terkadang mereka menyiarkan penipuan cryptocurrency, terkadang mereka hanya melelang akses ke akun. Sekarang, Google telah merinci teknik yang digunakan peretas untuk mengkompromikan ribuan pembuat konten YouTube hanya dalam beberapa tahun terakhir.

Semuanya dimulai dengan phishing. Penyerang mengirim email kepada pembuat YouTube yang tampaknya berasal dari layanan nyata—seperti VPN, aplikasi pengeditan foto, atau penawaran antivirus—dan menawarkan untuk berkolaborasi.

Mengeklik tautan untuk mengunduh produk akan membawa pembuatnya ke situs pendaratan malware alih-alih yang sebenarnya. Dalam beberapa kasus, peretas meniru jumlah yang diketahui seperti Cisco VPN dan game Steam, atau berpura-pura menjadi media yang berfokus pada COVID-19.

Setelah YouTuber secara tidak sengaja mengunduh perangkat lunak berbahaya, ia mengambil cookie tertentu dari browser mereka. “Cookie sesi” ini mengonfirmasi bahwa pengguna telah berhasil masuk ke akun mereka.

Seorang peretas dapat mengunggah cookie yang dicuri itu ke server jahat, membiarkan mereka berpura-pura sebagai korban yang sudah diautentikasi. Cookie sesi sangat berharga bagi penyerang karena menghilangkan kebutuhan untuk melalui bagian mana pun dari proses login.

Meskipun otentikasi dua faktor tidak dapat menghentikan pencurian cookie berbasis malware ini, ini merupakan perlindungan penting untuk jenis penipuan dan phishing lainnya. Mulai 1 November, Google akan mewajibkan pembuat konten YouTube yang memonetisasi salurannya untuk mengaktifkan dua faktor untuk akun Google yang terkait dengan Pengelola Konten YouTube Studio atau YouTube Studio mereka.

Penting juga untuk memperhatikan peringatan “Penjelajahan Aman” Google tentang halaman yang berpotensi berbahaya. Dan seperti biasa, berhati-hatilah dengan apa yang Anda klik dan lampiran mana yang Anda unduh dari email Anda.

Selengkapnya: ARS Technica