Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Technology

Technology

Crypto Senilai $100 Juta telah Dicuri dalam Peretasan Besar Lainnya

by

Peretas telah mencuri $ 100 juta dalam cryptocurrency dari Horizon, yang disebut jembatan blockchain, dalam pencurian besar terbaru di dunia keuangan terdesentralisasi.

Rincian serangan itu masih tipis, tetapi Harmony, pengembang di balik Horizon, mengatakan mereka mengidentifikasi pencurian itu Rabu pagi. Harmony memilih akun individu yang diyakini sebagai pelakunya.

“Kami telah mulai bekerja dengan otoritas nasional dan spesialis forensik untuk mengidentifikasi pelakunya dan mengambil kembali dana yang dicuri,” kata perusahaan rintisan itu dalam tweet Rabu malam.

Jembatan Blockchain memainkan peran besar dalam ruang DeFi, menawarkan pengguna cara mentransfer aset mereka dari satu blockchain ke blockchain lainnya. Dalam kasus Horizon, pengguna dapat mengirim token dari jaringan Ethereum ke Binance Smart Chain. Harmony mengatakan serangan itu tidak mempengaruhi jembatan terpisah untuk bitcoin.

Seperti aspek lain dari DeFi, yang bertujuan untuk membangun kembali layanan keuangan tradisional seperti pinjaman dan investasi di blockchain, jembatan telah menjadi target utama bagi peretas karena kerentanan dalam kode dasarnya.

Jembatan “menjaga simpanan likuiditas yang besar,” menjadikannya “target yang menggoda bagi peretas,” menurut Jess Symington, pemimpin penelitian di perusahaan analisis blockchain Elliptic.

“Agar individu dapat menggunakan jembatan untuk memindahkan dana mereka, aset dikunci di satu blockchain dan tidak dikunci, atau dicetak, di blockchain lain,” kata Symington. “Akibatnya, layanan ini menyimpan sejumlah besar aset kripto.”

Harmony belum mengungkapkan secara pasti bagaimana dana tersebut dicuri. Namun, satu investor telah menyuarakan keprihatinan tentang keamanan jembatan Horizonnya sejak April.

Keamanan jembatan Horizon bergantung pada dompet “multisig” yang hanya membutuhkan dua tanda tangan untuk memulai transaksi. Beberapa peneliti berspekulasi bahwa pelanggaran tersebut adalah hasil dari “kompromi kunci pribadi”, di mana peretas memperoleh kata sandi, atau kata sandi, yang diperlukan untuk mendapatkan akses ke dompet kripto.

Ini mengikuti serangkaian serangan penting pada jembatan blockchain lainnya. Jaringan Ronin, yang mendukung permainan crypto Axie Infinity, kehilangan lebih dari $600 juta dalam pelanggaran keamanan yang terjadi pada bulan Maret. Wormhole, jembatan populer lainnya, kehilangan lebih dari $320 juta dalam peretasan terpisah sebulan sebelumnya.

Pencurian tersebut menambah aliran berita negatif di crypto akhir-akhir ini. Pemberi pinjaman Crypto Celsius dan Babel Finance membekukan penarikan setelah penurunan tajam nilai aset mereka mengakibatkan krisis likuiditas. Sementara itu, dana lindung nilai crypto yang terkepung Three Arrows Capital dapat ditetapkan untuk default pada pinjaman $ 660 juta dari perusahaan pialang Voyager Digital.

Sumber: CNBC

Penyelidikan WiFi menghadapkan kepada pengguna smartphone

by

Para peneliti di Universitas Hamburg di Jerman telah melakukan percobaan lapangan yang menangkap ratusan ribu permintaan probe koneksi WiFi orang yang lewat untuk menentukan jenis data yang dikirimkan tanpa disadari oleh pemilik perangkat.

WiFi probing adalah proses standar, bagian dari komunikasi bilateral yang diperlukan antara smartphone dan titik akses (modem/router) untuk membuat koneksi.

Secara default, dan untuk alasan kegunaan, sebagian besar ponsel cerdas mencari jaringan WiFi yang tersedia sepanjang waktu, dan menyambungkannya jika dipercaya.

Banyak toko sudah menggunakan WiFi probing untuk melacak posisi dan pergerakan pelanggan mereka. Karena pelacakan ini hanya menggunakan alamat MAC yang dianonimkan dalam pemeriksaan, pelacakan ini dianggap sesuai dengan GDPR.

Para peneliti memutuskan untuk menganalisis probe tersebut untuk melihat apa lagi yang mungkin ada di dalamnya, dan dalam 23,2% kasus, mereka menemukan bahwa permintaan tersebut menyiarkan SSID dari jaringan yang terhubung dengan perangkat tersebut di masa lalu.

Eksperimen tersebut terjadi pada November 2021 di zona pejalan kaki yang sibuk di pusat kota Jerman. Tim menggunakan enam antena untuk menangkap probe di berbagai saluran dan spektrum.

Mereka merekam semua masalah koneksi WiFi yang disiarkan selama tiga jam, menangkap total 252.242 permintaan probe, 46,4% di spektrum 2.4GHz dan 53.6% di 5GHz.

Hanya dalam tiga jam, para peneliti memiliki 58.489 SSID dari orang yang lewat secara acak, yang, dalam banyak kasus, berisi string numerik dengan 16 digit atau lebih yang kemungkinan merupakan “kata sandi awal” dari router rumah populer Jerman dari FritzBox atau Telekom.

Dalam subset lain dari SSID yang ditangkap, para peneliti menemukan string yang sesuai dengan jaringan WiFi toko, 106 nama berbeda, tiga alamat email, dan 92 rumah liburan atau akomodasi yang sebelumnya ditambahkan sebagai jaringan tepercaya.

Beberapa dari string sensitif ini disiarkan puluhan, ratusan, dan dalam beberapa kasus, bahkan ribuan kali selama tiga jam perekaman melalui semburan penyelidikan yang berulang.

Tiga probe meledak dari perangkat yang sama (University of Hamburg)

Mengesampingkan paparan data dan skenario menyiapkan hotspot berbahaya dan menerima koneksi dari perangkat terdekat, implikasi utama di sini adalah pelacakan terus-menerus.

Aspek penting di depan itu adalah pengacakan alamat MAC, yang dapat bertindak sebagai pertahanan terhadap upaya pelacakan.

Meskipun telah berjalan jauh di Android dan iOS untuk membuat pelacakan perangkat lebih sulit, meskipun bukan tidak mungkin.

Versi OS yang lebih baru menampilkan lebih banyak pengacakan dan lebih sedikit informasi dalam permintaan penyelidikan, tetapi ketika dikombinasikan dengan parameter kumpulan data seperti kekuatan sinyal, nomor urut, kemampuan jaringan, dll., sidik jari perangkat individu mungkin masih dimungkinkan.

Ikhtisar fitur privasi setiap versi OS diberikan di bawah ini. Perhatikan bahwa persentase pangsa pasar mencerminkan angka November 2021.

Jelas, semakin baru versi OS, semakin kuat fitur perlindungan privasi, tetapi ketersediaan versi yang lebih baru tidak berarti adopsi instan.

Pada saat percobaan lapangan, Android 8 dan versi yang lebih lama menyumbang sekitar satu dari empat smartphone Android. Di iOS, situasinya lebih baik karena kebijakan pembaruan perangkat lunak Apple yang lebih ketat dan dukungan jangka panjang, tetapi banyak yang masih menggunakan model iPhone lama.

Studi sebelumnya juga mencerminkan peningkatan dari peningkatan bertahap ke sistem operasi yang lebih aman. Misalnya, dalam sebuah studi tahun 2014, 46,7% dari permintaan penyelidikan yang tercatat berisi SSID, dan dalam dua lainnya yang dilakukan pada tahun 2016, persentasenya berkisar antara 29,9% dan 36,4%.

Hal pertama dan paling sederhana yang dapat dilakukan pengguna ponsel cerdas adalah memutakhirkan OS mereka dan menggunakan versi yang lebih baru dan lebih aman yang menampilkan lebih banyak perlindungan privasi.

Kedua, menghapus SSID yang tidak lagi Anda gunakan atau butuhkan dan yang tidak perlu disiarkan ke mana pun Anda pergi adalah ide yang bagus.

Ketiga, Android dan iOS menawarkan cara cepat untuk menonaktifkan jaringan auto-join, membuat serangan hotspot menjadi tidak mungkin.

Terakhir, pengguna dapat sepenuhnya membungkam permintaan penyelidikan, yang dapat dilakukan melalui pengaturan jaringan lanjutan. Pendekatan ini, bagaimanapun, memiliki beberapa kelemahan praktis, seperti pembentukan koneksi yang lebih lambat, ketidakmampuan untuk menemukan jaringan tersembunyi, dan konsumsi baterai yang lebih tinggi.

Sumber: Bleeping Computer

Rusia menjarah $ 5 Juta Kendaraan Pertanian dari Ukraina – Ternyata telah Dimatikan dari Jauh

by

Pasukan Rusia di kota Melitopol yang diduduki telah mencuri semua peralatan dari dealer peralatan pertanian – dan mengirimkannya ke Chechnya, menurut seorang pengusaha Ukraina di daerah tersebut. Tetapi setelah perjalanan lebih dari 700 mil, para pencuri tidak dapat menggunakan peralatan apa pun – karena telah dikunci dari jarak jauh.

Selama beberapa minggu terakhir ada semakin banyak laporan tentang pasukan Rusia yang mencuri peralatan pertanian, biji-bijian dan bahkan bahan bangunan – di luar penjarahan tempat tinggal yang meluas. Tetapi penghapusan peralatan pertanian yang berharga dari dealer John Deere di Melitopol berbicara tentang operasi yang semakin terorganisir, yang bahkan menggunakan transportasi militer Rusia sebagai bagian dari pencurian.

Kontak itu mengatakan prosesnya dimulai dengan penyitaan dua pemanen gabungan, traktor dan seeder. Selama beberapa minggu ke depan, segala sesuatu yang lain telah dihapus: di semua 27 buah mesin pertanian. Salah satu truk tempat tidur datar yang digunakan, dan tertangkap kamera, memiliki “Z” putih yang dilukis di atasnya dan tampaknya adalah truk militer.

Kecanggihan mesin, yang dilengkapi dengan GPS, berarti bahwa perjalanannya dapat dilacak. Itu terakhir dilacak ke desa Zakhan Yurt di Chechnya. Peralatan yang diangkut ke Chechnya, yang termasuk combine harvester – juga dapat dikontrol dari jarak jauh. “Ketika penjajah membawa pemanen yang dicuri ke Chechnya, mereka menyadari bahwa mereka bahkan tidak bisa menyalakannya, karena pemanen dikunci dari jarak jauh,” kata kontak itu.

Peralatan itu sekarang tampaknya mendekam di sebuah peternakan dekat Grozny. Tetapi kontak itu mengatakan bahwa “tampaknya para pembajak telah menemukan konsultan di Rusia yang mencoba untuk melewati perlindungan.”
“Bahkan jika mereka menjual pemanen untuk suku cadang, mereka akan mendapatkan uang,” kata kontak itu.

Sumber-sumber lain di wilayah Melitopol mengatakan pencurian oleh unit militer Rusia telah meluas ke biji-bijian yang disimpan di silo, di wilayah yang menghasilkan ratusan ribu ton tanaman per tahun.
Satu sumber mengatakan kepada CNN bahwa “penjajah menawarkan petani lokal untuk berbagi keuntungan mereka 50% hingga 50%.” Tetapi para petani yang mencoba bekerja di daerah-daerah yang diduduki oleh pasukan Rusia tidak dapat memindahkan produk mereka.
“Tidak ada satu lift pun yang berfungsi. Tidak ada port yang berfungsi. Anda tidak akan mengambil biji-bijian ini dari wilayah yang diduduki di mana saja.

Pekan lalu walikota Melitopol memposting video yang menunjukkan konvoi truk meninggalkan Melitopol yang diduga sarat dengan biji-bijian.
“Kami memiliki bukti yang jelas bahwa mereka menurunkan biji-bijian dari lift kota Melitopol. Mereka merampok lift bersama dengan pertanian swasta,” kata walikota kepada CNN.

Sumber: CNN

AI Beracun: Krisis Cybersecurity Berikutnya

by

Banyak machine learning bergantung pada kumpulan data besar-besaran yang tidak diketahui asalnya. Itu masalah ketika pertahanan digital yang serius.

Selama dekade terakhir, kecerdasan buatan telah digunakan untuk mengenali wajah, menilai kelayakan kredit dan memprediksi cuaca. Pada saat yang sama, peretasan yang semakin canggih menggunakan metode lebih tersembunyi telah meningkat. Kombinasi AI dan cybersecurity tidak dapat dihindari karena kedua bidang mencari alat yang lebih baik dan penggunaan baru untuk teknologi mereka. Tetapi ada masalah besar yang mengancam untuk melemahkan upaya ini dan dapat memungkinkan musuh untuk melewati pertahanan digital tanpa terdeteksi.

Bahayanya adalah keracunan data: memanipulasi informasi yang digunakan untuk melatih mesin menawarkan metode yang hampir tidak dapat dilacak untuk menyiasati pertahanan bertenaga AI. Banyak perusahaan mungkin tidak siap untuk menghadapi tantangan yang meningkat. Pasar global untuk cybersecurity AI sudah diperkirakan akan meningkat tiga kali lipat pada tahun 2028 menjadi $ 35 miliar. Penyedia keamanan dan klien mereka mungkin harus menambal bersama beberapa strategi untuk mencegah ancaman.

Sifat pembelajaran mesin, bagian dari AI, adalah target keracunan data. Mengingat rim data, komputer dapat dilatih untuk mengkategorikan informasi dengan benar. Sebuah sistem mungkin belum melihat gambar Lassie, tetapi mengingat cukup banyak contoh hewan yang berbeda yang diberi label dengan benar oleh spesies (dan bahkan berkembang biak) ia harus dapat menduga dia adalah seekor anjing. Dengan lebih banyak sampel, ia akan dapat menebak dengan benar jenis anjing TV yang terkenal: Rough Collie. Komputer tidak benar-benar tahu. Ini hanya membuat kesimpulan yang diinformasikan secara statistik berdasarkan data pelatihan masa lalu.

Pendekatan yang sama digunakan dalam cybersecurity. Untuk menangkap perangkat lunak berbahaya, perusahaan memberi makan sistem mereka dengan data dan membiarkan mesin belajar dengan sendirinya. Komputer yang dipersenjatai dengan banyak contoh kode baik dan buruk dapat belajar untuk mencari perangkat lunak berbahaya (atau bahkan potongan perangkat lunak) dan menangkapnya.

Teknik canggih yang disebut jaringan saraf – meniru struktur dan proses otak manusia – berjalan melalui data pelatihan dan membuat penyesuaian berdasarkan informasi yang diketahui dan baru. Jaringan seperti itu tidak perlu melihat sepotong kode jahat tertentu untuk menduga bahwa itu buruk. Ini dipelajari untuk dirinya sendiri dan dapat memprediksi yang baik versus yang jahat secara memadai.

“Kami sudah tahu bahwa peretas yang banyak akal dapat memanfaatkan pengamatan ini untuk keuntungan mereka,” Giorgio Severi, seorang mahasiswa PhD di Northwestern University, mencatat dalam presentasi baru-baru ini di simposium keamanan Usenix.

Dengan menggunakan analogi hewan, jika peretas fobia-kucing ingin menyebabkan malapetaka, mereka dapat memberi label banyak foto sloth sebagai kucing, dan dimasukkan ke dalam database sumber terbuka hewan peliharaan rumah. Karena mamalia yang memeluk pohon akan muncul jauh lebih jarang dalam korpus hewan peliharaan, sampel kecil data beracun ini memiliki peluang bagus untuk menipu sistem agar memunculkan foto sloth ketika diminta untuk menunjukkan anak kucing.

Ini adalah teknik yang sama untuk peretas yang lebih berbahaya. Dengan hati-hati membuat kode berbahaya, melabeli sampel ini sebagai baik, dan kemudian menambahkannya ke kumpulan data yang lebih besar, seorang peretas dapat menipu jaringan netral untuk menduga bahwa potongan perangkat lunak yang menyerupai contoh buruk, pada kenyataannya, tidak berbahaya. Menangkap sampel yang salah hampir tidak mungkin. Jauh lebih sulit bagi manusia untuk mengobrak-abrik kode komputer daripada menyortir gambar sloth dari kucing.

Agar tetap aman, perusahaan perlu memastikan data mereka bersih, tetapi itu berarti melatih sistem mereka dengan contoh yang lebih sedikit daripada yang mereka dapatkan dengan penawaran open source. Dalam pembelajaran mesin, ukuran sampel penting.

Permainan kucing-dan-tikus antara penyerang dan pembela telah berlangsung selama beberapa dekade, dengan AI hanya alat terbaru yang dikerahkan untuk membantu sisi baik tetap di depan. Ingat: Kecerdasan buatan tidak mahakuasa. Peretas selalu mencari eksploitasi berikutnya.

Sumber: Bloomberg

AS Menghubungkan Pencurian Cryptocurrency Terbesar ke Peretas Korea Utara

by

AS mencurigai peretas Korea Utara terlibat dalam pencurian cryptocurrency senilai $622 juta bulan lalu di Ronin Network.

Pada hari Kamis, Departemen Keuangan AS menjatuhkan sanksi pada dompet digital yang digunakan peretas untuk menjarah dana dari Ronin Network.

Dengan melakukan itu, agen federal juga mengaitkan dompet digital ke kelompok peretasan terkenal bernama Lazarus, yang menurut AS bekerja untuk pemerintah Korea Utara. FBI tidak segera menanggapi permintaan komentar, tetapi Ronin Network mengatakan telah bekerja dengan lembaga penegak hukum untuk mengambil kembali dana yang dicuri.

Ronin Network adalah penyedia blockchain untuk game Axie Infinity, yang populer di Asia. Akhir bulan lalu, mereka kehilangan 173.600 token di Ethereum setelah peretas membajak akses ke lima komputer “validator node”, yang digunakan untuk mengotorisasi transaksi.

Sebagian besar token Ethereum yang dicuri tetap berada di dalam dompet digital yang disetujui. Namun, para peretas tampaknya mencuci beberapa cryptocurrency yang dicuri melalui layanan yang disebut Tornado Cash.

Selengkapnya: PCmag

Malware Android Escobar mencuri kode MFA Google Authenticator Anda

by

Trojan perbankan Android Aberebot telah kembali dengan nama ‘Escobar’ dengan fitur-fitur baru, termasuk mencuri kode otentikasi multi-faktor Google Authenticator.

Fitur-fitur baru dalam versi Aberebot terbaru juga termasuk mengendalikan perangkat Android yang terinfeksi menggunakan VNC, merekam audio, dan mengambil foto, sementara juga memperluas kumpulan aplikasi yang ditargetkan untuk pencurian kredensial.

Tujuan utama dari trojan adalah untuk mencuri informasi yang cukup untuk memungkinkan pelaku ancaman untuk mengambil alih rekening bank korban, menyedot saldo yang tersedia, dan melakukan transaksi yang tidak sah.

Menggunakan platform DARKBEAST intelijen siber KELA, menemukan posting forum di forum peretasan berbahasa Rusia dari Februari 2022 di mana pengembang Aberebot mempromosikan versi baru mereka dengan nama ‘Escobar Bot Android Banking Trojan.’

Posting penjual di forum darknet (KELA)

MalwareHunterTeam pertama kali melihat APK yang mencurigakan pada tanggal 3 Maret 2022, menyamar sebagai aplikasi McAfee, dan memperingatkan tentang sifat tersembunyinya terhadap sebagian besar mesin anti-virus.

Seperti kebanyakan trojan perbankan, Escobar menampilkan formulir login overlay untuk membajak interaksi pengguna dengan aplikasi dan situs web e-banking dan mencuri kredensial dari korban.

Malware ini juga mengemas beberapa fitur lain yang membuatnya kuat terhadap versi Android apa pun, bahkan jika injeksi overlay diblokir dengan cara tertentu.

Malware meminta 25 izin, 15 di antaranya disalahgunakan untuk tujuan jahat. Contohnya termasuk aksesibilitas, rekaman audio, membaca SMS, penyimpanan baca/tulis, dapatkan daftar akun, menonaktifkan kunci tombol, melakukan panggilan, dan mengakses lokasi perangkat yang tepat.

Semua yang dikumpulkan malware diunggah ke server C2, termasuk log panggilan SMS, log kunci, notifikasi, dan kode Google Authenticator.

Kode untuk merebut kode Google Authenticator (Cyble)

Hal di atas sudah cukup untuk membantu para penjahat mengatasi hambatan otentikasi dua faktor ketika mengambil kendali atas rekening e-banking.

Kode 2FA tiba melalui SMS atau disimpan dan diputar di alat berbasis perangkat lunak HMAC seperti Google’s Authenticator. Selain itu, penambahan VNC Viewer, utilitas berbagi layar lintas platform dengan fitur kendali jarak jauh, memberi pelaku ancaman senjata ampuh baru untuk melakukan apa pun yang mereka inginkan saat perangkat tidak dijaga.

Kode Penampil VNC di Aberebot (Cyble)

Aberebot juga dapat merekam klip audio atau mengambil tangkapan layar dan mengekstrak keduanya ke C2 yang dikendalikan aktor, dengan daftar lengkap perintah yang didukung tercantum di bawah ini.

Tabel perintah yang diterima oleh Aberebot (Cyble)

Secara umum, Anda dapat meminimalkan kemungkinan terinfeksi trojan Android dengan menghindari pemasangan APK di luar Google Play, menggunakan alat keamanan seluler, dan memastikan bahwa Google Play Protect diaktifkan di perangkat Anda.

Selain itu, saat memasang aplikasi baru dari sumber mana pun, perhatikan permintaan izin yang tidak biasa dan pantau baterai aplikasi dan statistik konsumsi jaringan selama beberapa hari pertama untuk mengidentifikasi pola yang mencurigakan.

sumber : Bleeping Computer

Metode phishing yang licik melewati MFA menggunakan perangkat lunak akses jarak jauh

by

Teknik phishing baru yang licik memungkinkan musuh untuk melewati otentikasi multi-faktor (MFA) dengan secara diam-diam meminta korban masuk ke akun mereka secara langsung di server yang dikendalikan penyerang menggunakan sistem berbagi layar VNC.

Untuk mendapatkan akses ke akun target yang dilindungi MFA, kit phishing telah diperbarui untuk menggunakan proxy terbalik atau metode lain untuk mengumpulkan kode MFA dari korban tanpa disadari.

Namun, perusahaan menangkap metode ini dan mulai memperkenalkan langkah-langkah keamanan yang memblokir login atau menonaktifkan akun ketika proxy terbalik terdeteksi.

Saat melakukan uji penetrasi untuk pelanggan, peneliti keamanan mr.d0x berusaha membuat serangan phishing pada karyawan klien untuk mendapatkan kredensial akun perusahaan.

Karena semua akun dikonfigurasi dengan MFA, mr.d0x menyiapkan serangan phishing menggunakan kerangka kerja serangan Evilginx2 yang bertindak sebagai proxy terbalik untuk mencuri kredensial dan kode MFA.

Saat melakukan pengujian, peneliti menemukan bahwa Google mencegah login saat mendeteksi proxy terbalik atau serangan man-in-the-middle (MiTM).

Masuk Google Chrome memblokir serangan MiTM
Sumber: mr.d0x

Untuk mengatasi kendala ini, mr.d0x datang dengan teknik phishing baru yang licik yang menggunakan perangkat lunak akses jarak jauh noVNC dan browser yang berjalan dalam mode kios untuk menampilkan permintaan login email yang berjalan di server penyerang tetapi ditampilkan di browser korban.

VNC adalah perangkat lunak akses jarak jauh yang memungkinkan pengguna jarak jauh untuk terhubung dan mengontrol desktop pengguna yang masuk. Kebanyakan orang terhubung ke server VNC melalui klien VNC khusus yang membuka desktop jarak jauh dengan cara yang mirip dengan Windows Remote Desktop.

Namun, sebuah program yang disebut noVNC memungkinkan pengguna untuk terhubung ke server VNC langsung dari dalam browser hanya dengan mengklik tautan, saat itulah teknik phishing baru peneliti ikut bermain.

Dengan menggunakan konfigurasi ini, pelaku ancaman dapat mengirimkan email spear-phishing yang ditargetkan yang berisi tautan yang secara otomatis meluncurkan browser target dan masuk ke server VNC jarak jauh penyerang.

Tautan ini sangat dapat disesuaikan dan memungkinkan penyerang membuat tautan yang tidak terlihat seperti URL masuk VNC yang mencurigakan, seperti di bawah ini:

Contoh[.]com/index.html?id=VNCPASSWORD
Contoh[.]com/auth/login?name=password

Karena server VNC penyerang dikonfigurasi untuk menjalankan browser dalam mode kios, yang menjalankan browser dalam mode layar penuh, ketika korban mengklik tautan, mereka hanya akan melihat layar login untuk layanan email yang ditargetkan dan login seperti biasa.

Demonstrasi teknik phishing VNC
Sumber: mr.d0x

Namun, karena prompt login sebenarnya sedang ditampilkan oleh server VNC penyerang, semua upaya login akan dilakukan langsung di server jauh. mr.d0x memberi tahu bahwa begitu pengguna masuk ke akun, penyerang dapat menggunakan berbagai alat untuk mencuri kredensial dan token keamanan.

Lebih berbahaya lagi, teknik ini akan melewati MFA karena pengguna akan memasukkan kode akses satu kali langsung di server penyerang, yang mengizinkan perangkat untuk mencoba login di masa mendatang.

Alternatif lain adalah saya menyuntikkan JS ke browser sebelum mengirim tautan phishing. Ketika pengguna mulai menggunakan browser, itu menjalankan JS saya. Ada lebih banyak opsi karena pada akhirnya pengguna mengautentikasi ke server Anda.”

Jika serangan digunakan secara terbatas untuk menargetkan hanya beberapa orang, cukup masuk ke akun email mereka melalui sesi VNC penyerang akan mengizinkan perangkat untuk terhubung ke akun di masa mendatang.

Karena VNC memungkinkan banyak orang untuk memantau sesi yang sama, penyerang dapat memutuskan sesi korban setelah akun masuk dan menyambung ke sesi yang sama nanti untuk mengakses akun dan semua emailnya.

Adapun cara melindungi diri Anda dari jenis serangan ini, semua saran phishing tetap sama: jangan klik URL dari pengirim yang tidak dikenal, periksa tautan yang disematkan untuk domain yang tidak biasa, dan perlakukan semua email sebagai mencurigakan, terutama saat meminta Anda untuk masuk ke akun Anda.

Sumber : Bleeping Computer

Pengguna OpenSea kehilangan NFT senilai $2 juta dalam serangan phishing

by

Pasar non-fungible token (NFT) OpenSea sedang menyelidiki serangan phishing yang menyebabkan 17 penggunanya tidak memiliki lebih dari 250 NFT senilai sekitar $2 juta.

NFT mewakili data yang disimpan di blockchain, Ethereum dalam hal ini, yang menyatakan kepemilikan file digital, biasanya file media karya seni.

Para peneliti di Check Point mengatakan bahwa pelaku phishing mengetahui tentang OpenSea yang meningkatkan sistem kontrak pintarnya untuk membersihkan daftar lama dan tidak aktif di platform dan bersiap untuk migrasi dengan email dan situs web mereka sendiri.

OpenSea memberi tahu penggunanya bahwa mereka harus memperbarui daftar mereka antara 18 – 25 Februari jika mereka ingin terus menggunakan platform.

Untuk membantu mereka dalam prosesnya, platform mengirim email kepada semua pengguna dengan instruksi tentang cara mengonfirmasi migrasi daftar.

Pelaku phishing mengambil keuntungan dari proses ini dan menggunakan alamat email mereka sendiri untuk mengirim pesan dari OpenSea ke pengguna yang divalidasi, menipu mereka dengan berpikir bahwa konfirmasi asli mereka tidak berhasil.

Email phishing yang dikirim oleh pelaku ancaman terlihat identik dengan yang asli (Check Point)

Tautan yang disematkan ke dalam email palsu itu mengarah ke situs web phishing tempat para korban diminta untuk menandatangani transaksi, yang diduga terkait dengan migrasi.

Permintaan transaksi asli dan berbahaya berdampingan (Check Point)

Seperti yang dijelaskan oleh Check Point, aktor tersebut bahkan melakukan uji coba pada 21 Januari 2022, untuk memverifikasi bahwa serangan itu akan berhasil sebagaimana dimaksud.

OpenSea dengan cepat menunjukkan bahwa serangan itu tidak mengeksploitasi kerentanan apa pun pada platform atau sistem perdagangannya, melainkan hanya mengandalkan menipu pengguna melalui phishing.

Dengan demikian, platform telah menyarankan pengguna untuk tetap waspada dan menghindari mengikuti tautan apa pun yang bukan milik domain opensea.io.

Selain itu, email phishing dikonfirmasi berasal dari luar platform, yang mengonfirmasi bahwa sistem distribusi email platform tidak disusupi.

Menandatangani transaksi tanpa memperhatikan memberikan izin kepada orang lain untuk mentransfer kepemilikan aset digital Anda. Permintaan dari platform pertukaran dikecualikan, semua permintaan transaksi lainnya harus ditolak.

Sumber : Bleeping Computer