Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

Bagaimana serangan phishing yang berhasil dapat merugikan organisasi Anda

by

Serangan phishing tampak seperti taktik yang relatif sederhana di pihak penjahat siber. Namun, di sisi penerima, kampanye phishing yang berhasil dapat merusak organisasi dengan lebih dari satu cara.

Sebuah laporan yang dirilis pada hari Minggu oleh penyedia keamanan Proofpoint melihat dampak serangan phishing dan menawarkan tip tentang cara melawannya.

Tahun 2020 terlihat sedikit peningkatan serangan phishing di antara pelanggan Proofpoint. Sekitar 57% mengatakan organisasi mereka terkena serangan yang sukses tahun lalu, naik dari 55% pada 2019. Lebih dari 75% responden mengatakan mereka menghadapi serangan phishing berbasis luas – baik yang berhasil maupun yang tidak – pada tahun 2020.

Serangan phishing yang berhasil dapat memengaruhi organisasi dalam beberapa cara. Kehilangan data adalah efek samping terbesar, dikutip oleh rata-rata 60% di antara mereka yang disurvei.

Akun atau kredensial yang disusupi adalah pengaruh terbesar kedua, yang disebutkan oleh 52% responden. Hasil tambahan dari serangan phishing termasuk infeksi ransomware sebanyak 47%, infeksi malware lainnya sebesar 29%, dan kerugian finansial atau penipuan transfer bank sebesar 18%.

Untuk membantu organisasi dan karyawan Anda menggagalkan kampanye phishing, Proofpoint menawarkan berbagai saran yang dapat Anda lihat disini.

Sumber: Tech Republic

Serangan phishing baru menggunakan kode Morse untuk menyembunyikan URL berbahaya

by

Kampanye phishing bertarget baru menyertakan teknik kebingungan baru menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam lampiran email.

Mulai minggu lalu, pelaku ancaman mulai menggunakan kode Morse untuk menyembunyikan URL berbahaya dalam bentuk phishing mereka untuk melewati gerbang email dan filter email yang aman.

Setelah pertama kali mengetahui serangan ini dari sebuah pos di Reddit, BleepingComputer dapat menemukan banyak contoh serangan yang ditargetkan yang diunggah ke VirusTotal sejak 2 Februari 2021.

Serangan phishing dimulai dengan email yang berpura-pura menjadi faktur untuk perusahaan dengan subjek email seperti ‘Revenue_payment_invoice February_Wednesday 02/03/2021.’

Sumber: BleepingComputer

Email ini menyertakan lampiran HTML yang diberi nama sedemikian rupa sehingga tampak seperti faktur Excel untuk perusahaan yang ditargetkan.

Saat melihat lampiran menggunakan text editor, Anda dapat melihat bahwa lampiran tersebut menyertakan JavaScript yang memetakan huruf dan angka ke kode Morse. Misalnya, huruf ‘a’ dipetakan ke ‘.-‘ dan huruf ‘b’ dipetakan menjadi ‘-…’, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Skrip kemudian memanggil fungsi decodeMorse() untuk mendekode string kode Morse menjadi string heksadesimal. String heksadesimal ini selanjutnya diterjemahkan menjadi tag JavaScript yang dimasukkan ke dalam halaman HTML.

Sumber: BleepingComputer

Skrip yang disuntikkan ini digabungkan dengan lampiran HTML berisi berbagai sumber daya yang diperlukan untuk membuat spreadsheet Excel palsu yang menyatakan waktu masuk mereka habis dan meminta mereka memasukkan kata sandi lagi.

Sumber: BleepingComputer

Setelah pengguna memasukkan kata sandi, formulir akan mengirimkan kata sandi ke situs jarak jauh tempat penyerang dapat mengumpulkan kredensial login.

Sumber: Bleeping Computer

Waspadalah – tautan Steam itu bisa jadi malware berbahaya

by

Gamer telah diperingatkan untuk berhati-hati saat mengakses perpustakaan mereka secara online menyusul peningkatan besar jumlah situs phishing yang menggunakan platform Steam sebagai iming-iming.

Penelitian terbaru dari Webroot menemukan bahwa ada lonjakan 250% dalam penyebutan Steam di situs phishing antara November dan Desember 2020.

Namun setelah penguncian lebih lanjut selama periode perayaan, dan peningkatan hadiah dan hadiah Natal bertema game, serangan menggunakan situs bertema Steam terus meningkat, dengan lonjakan hampir 400% di situs phishing yang menyebutkan Steam pada Januari 2021, jika dibandingkan dengan November 2020.

selengkapnya : TechRadar

Alat kejahatan dunia maya baru dapat membuat halaman phishing secara real-time

by

Grup kejahatan dunia maya telah mengembangkan perangkat phishing baru yang mengubah logo dan teks pada halaman phishing secara real-time untuk beradaptasi dengan korban yang ditargetkan.

Dinamakan LogoKit, alat phishing ini sudah digunakan di alam liar, menurut firma intelijen ancaman RiskIQ, yang telah melacak evolusinya.

Perusahaan mengatakan telah mengidentifikasi penginstalan LogoKit di lebih dari 300 domain selama seminggu terakhir dan lebih dari 700 situs selama sebulan terakhir.

Perusahaan keamanan mengatakan LogoKit mengandalkan pengiriman tautan phishing yang berisi alamat email mereka kepada pengguna.

“Setelah korban menavigasi ke URL, LogoKit mengambil logo perusahaan dari layanan pihak ketiga, seperti Clearbit atau database favicon Google,” kata peneliti keamanan RiskIQ Adam Castleman dalam sebuah laporan pada hari Rabu.

“Email korban juga otomatis terisi ke kolom email atau nama pengguna, mengelabui korban agar merasa seperti sebelumnya telah masuk ke situs,” tambahnya.

selengkapnya : ZDNET

TeamTNT Cloaks Malware Dengan Open-Source Tool

by

Alat penghindaran deteksi, libprocesshider, menyembunyikan malware TeamTNT dari program informasi proses.

Grup ancaman TeamTNT telah menambahkan alat penghindaran deteksi baru ke gudang senjatanya, membantu perangkat lunak perusak cryptomining oleh tim pertahanan.

Grup kejahatan dunia maya TeamTNT dikenal karena serangan berbasis cloud, termasuk menargetkan kredensial Amazon Web Services (AWS) untuk masuk ke cloud dan menggunakannya untuk menambang cryptocurrency Monero. Ini juga sebelumnya menargetkan instance cloud Docker dan Kubernetes.

Alat penghindaran deteksi baru, libprocesshider, disalin dari repositori sumber terbuka. Open-Source Tool, dari tahun 2014 telah ditempatkan di Github, dan dideskripsikan memiliki kemampuan untuk “menyembunyikan proses di Linux menggunakan prapemuat ld.”

Alat baru ini dikirimkan dalam skrip base64-encoded, tersembunyi di biner cryptominer TeamTNT, atau melalui bot Internet Relay Chat (IRC), yang disebut TNTbotinger, yang mampu melakukan serangan distributed denial of service (DDoS).

Dari waktu ke waktu, TeamTNT terlihat menyebarkan berbagai pembaruan pada malware cryptomining, termasuk pemuat memori baru yang ditemukan beberapa minggu yang lalu, yang didasarkan pada Ezuri dan ditulis dalam GOlang.

Pada bulan Agustus, worm cryptomining TeamTNT ditemukan menyebar melalui cloud AWS dan mengumpulkan kredensial. Kemudian, setelah jeda, grup TeamTNT kembali pada bulan September untuk menyerang instance cloud Docker dan Kubernetes dengan menyalahgunakan alat pemantauan cloud yang sah yang disebut Weave Scope.

selengkapnya :ThreatPost

FBI memperingatkan serangan vishing yang mencuri rekening perusahaan

by

Biro Investigasi Federal (FBI) telah mengeluarkan peringatan pemberitahuan tentang serangan vishing yang sedang berlangsung yang mencoba mencuri akun dan kredensial perusahaan untuk akses jaringan dan eskalasi hak istimewa dari AS dan karyawan yang berbasis internasional.

Vishing (juga dikenal sebagai phishing suara) adalah serangan manipulasi psikologis di mana penyerang meniru entitas tepercaya selama panggilan suara untuk membujuk target mereka agar mengungkapkan informasi sensitif seperti kredensial perbankan atau login.

Menurut TLP: WHITE Private Industry Notification (PIN) yang dibagikan pada hari Jumat [PDF], pelaku ancaman menggunakan platform Voice over Internet Protocol (VoIP) (alias layanan telepon IP) untuk menargetkan karyawan perusahaan di seluruh dunia, mengabaikan tingkat korporat mereka.

“Selama Covid-19 shelter-in-place and social distancing, banyak perusahaan harus cepat beradaptasi dengan perubahan lingkungan dan teknologi,” kata PIN. “Dengan pembatasan ini, akses jaringan dan eskalasi hak istimewa mungkin tidak sepenuhnya dipantau.”

selengkapnya : BleepingComputer

Penipuan phishing memiliki semua lonceng dan peluit — kecuali satu

by

Penjahat di balik penipuan phishing baru-baru ini telah mengumpulkan semua bagian penting. Malware yang melewati antivirus — check. Template email yang memanfaatkan Microsoft Office 365 Advanced Threat Protection — periksa. Pasokan akun email dengan reputasi kuat untuk mengirim email scam — check.

Hanya ada satu masalah: para penipu menyembunyikan sandi yang diperoleh dengan susah payah di server publik tempat siapa pun — termasuk mesin pencarian — dapat (dan memang) mengindeksnya.

Peneliti Check Point menemukan hasil tangkapan tersebut saat mereka menyelidiki kampanye phishing yang dimulai pada bulan Agustus. Penipuan tiba di email yang konon berasal dari Xerox atau Xeros. Email tersebut dikirim melalui alamat yang, sebelum dibajak, memiliki skor reputasi tinggi yang melewati banyak pertahanan antispam dan antiphishing. Di dalam pesan tersebut terlampir file HTML berbahaya yang tidak memicu salah satu dari 60 mesin antimalware yang paling sering digunakan.

Setelah diklik, file HTML tersebut menampilkan dokumen yang terlihat seperti ini:

Sumber: Check Point

Ketika penerima dibodohi dan masuk ke akun palsu, para penipu menyimpan kredensial di lusinan situs WordPress yang telah disusupi dan diubah menjadi apa yang disebut drop-zones.

Namun, para penyerang gagal menetapkan situs tersebut sebagai terlarang untuk Google dan mesin telusur lainnya. Hasilnya, pencarian Web dapat menemukan data dan mengarahkan peneliti keamanan ke cache kredensial yang disusupi.

Berdasarkan analisis terhadap sekitar 500 kredensial yang dikompromikan, Check Point dapat mengumpulkan rincian industri yang ditargetkan berikut ini.

Sumber: Check Point

Sumber: Ars Technica

Peringatan phishing: Ini adalah merek yang paling mungkin ditiru oleh penjahat, tetap waspada!

by

Peneliti keamanan siber di Check Point menganalisis email phishing yang dikirim selama tiga bulan terakhir dan menemukan bahwa 43% dari semua upaya phishing yang meniru merek mencoba menyamar sebagai pesan dari Microsoft.

Microsoft adalah daya tarik yang populer karena distribusi Office 365 yang luas di antara perusahaan. Dengan mencuri kredensial ini, penjahat berharap mendapatkan akses ke jaringan perusahaan.

Merek kedua yang paling sering ditiru selama periode analisis Check Point adalah DHL, dengan serangan yang meniru penyedia logistik terhitung 18% dari semua upaya phishing. DHL telah menjadi umpan phishing yang populer bagi para penjahat karena banyak orang sekarang terjebak di rumah karena pembatasan COVID-19 dan menerima lebih banyak paket – sehingga orang lebih cenderung lengah ketika melihat pesan yang mengaku dari perusahaan pengiriman.

Merek lain yang biasanya ditiru dalam email phishing termasuk LinkedIn, Amazon, Google, PayPal, dan Yahoo. Mengompromikan salah satu akun ini dapat memberi penjahat siber akses ke informasi pribadi yang sensitif yang dapat mereka eksploitasi.

“Penjahat meningkatkan upaya mereka pada Q4 2020 untuk mencuri data pribadi orang-orang dengan meniru merek terkemuka, dan data kami dengan jelas menunjukkan bagaimana mereka mengubah taktik phishing untuk meningkatkan peluang sukses mereka,” kata Maya Horowitz, direktur intelijen dan penelitian ancaman di Check Titik.

“Seperti biasa, kami mendorong pengguna untuk berhati-hati saat memberikan data pribadi dan kredensial ke aplikasi bisnis, dan berpikir dua kali sebelum membuka lampiran atau tautan email, terutama email yang mengklaim dari perusahaan, seperti Microsoft atau Google, yang kemungkinan besar akan ditiru,” tambahnya.

Sumber: ZDNet