News 139 - Naga Cyber Defense

Spyware CloudMensis Baru yang Menargetkan Pengguna Apple macOS

July 21, 2022 by Eevee

Peneliti keamanan siber telah mengungkap spyware yang sebelumnya tidak terdokumentasi yang menargetkan sistem operasi Apple macOS.

Malware, dengan nama kode CloudMensis oleh perusahaan keamanan siber Slovakia ESET, dikatakan secara eksklusif menggunakan layanan penyimpanan cloud publik seperti pCloud, Yandex Disk, dan Dropbox untuk menerima perintah penyerang dan mengekstrak file.

CloudMensis, yang ditulis dalam Objective-C, pertama kali ditemukan pada April 2022 dan dirancang untuk menyerang arsitektur silikon Intel dan Apple. Vektor infeksi awal untuk serangan dan target masih belum diketahui. Tetapi distribusinya yang sangat terbatas merupakan indikasi bahwa malware digunakan sebagai bagian dari operasi yang sangat bertarget yang ditujukan terhadap entitas yang diminati.

Rantai serangan yang ditemukan oleh ESET menyalahgunakan eksekusi kode dan hak administratif untuk meluncurkan payload tahap pertama yang digunakan untuk mengambil dan mengeksekusi malware tahap kedua yang dihosting di pCloud, yang, pada gilirannya, mengekstrak dokumen, tangkapan layar, dan lampiran email, antara lain .

Pengunduh tahap pertama juga dikenal untuk menghapus jejak pelarian kotak pasir Safari dan eksploitasi eskalasi hak istimewa yang menggunakan empat kelemahan keamanan yang sekarang diselesaikan pada tahun 2017, hal tersebut menunjukkan bahwa CloudMensis mungkin telah terbang di bawah radar selama bertahun-tahun.

Implan juga dilengkapi dengan fitur untuk melewati kerangka kerja keamanan Transparency, Consent, and Control (TCC), yang bertujuan untuk memastikan bahwa semua aplikasi mendapatkan persetujuan pengguna sebelum mengakses file di Dokumen, Unduhan, Desktop, iCloud Drive, dan volume jaringan.

Ini mencapai ini dengan mengeksploitasi kerentanan keamanan lain yang ditambal yang dilacak sebagai CVE-2020-9934 yang terungkap pada tahun 2020. Fungsi lain yang didukung oleh pintu belakang termasuk mendapatkan daftar proses yang berjalan, menangkap tangkapan layar, membuat daftar file dari perangkat penyimpanan yang dapat dilepas, dan menjalankan shell perintah dan muatan arbitrer lainnya.

Selain itu, analisis metadata dari infrastruktur penyimpanan cloud menunjukkan bahwa akun pCloud dibuat pada 19 Januari 2022, dengan kompromi dimulai pada 4 Februari dan memuncak pada Maret.

Sumber: The Hacker News

Google meningkatkan privasi Android dengan dukungan untuk DNS-over-HTTP/3

July 21, 2022 by Eevee

Google telah menambahkan dukungan untuk protokol DNS-over-HTTP/3 (DoH3) di Android 11 dan yang lebih baru untuk meningkatkan privasi kueri DNS sambil memberikan kinerja yang lebih baik.

HTTP/3 adalah versi utama ketiga dari Hypertext Transfer Protocol, yang mengandalkan QUIC, protokol transport multipleks yang dibangun di atas UDP, daripada TCP seperti versi sebelumnya.

Protokol baru memperbaiki masalah “pemblokiran head-of-line,” yang memperlambat transaksi data internet ketika sebuah paket hilang atau disusun ulang, sesuatu yang cukup umum ketika berpindah-pindah di ponsel dan sering berpindah koneksi.

Perbandingan tumpukan protokol (Wikipedia)

Android sebelumnya mendukung DNS-over-TLS (DoT) untuk versi 9 dan yang lebih baru untuk meningkatkan privasi kueri DNS, tetapi sistem ini pasti memperlambat permintaan DNS karena overhead enkripsi.

Selain itu, DoT memerlukan negosiasi ulang lengkap dari koneksi baru saat mengubah jaringan. Sebaliknya, QUIC dapat melanjutkan koneksi yang ditangguhkan dalam satu RTT (waktu yang dibutuhkan sinyal untuk mencapai tujuan).

Dengan DoH3, banyak beban kinerja DoT terangkat, dan menurut pengukuran Google, mencapai peningkatan kinerja 24% untuk waktu kueri rata-rata. Dalam beberapa kasus, Google telah melihat peningkatan kinerja hingga 44%.

Selain itu, DoH3 dapat membantu jaringan yang tidak dapat diandalkan, bahkan mengungguli DNS tradisional berkat mekanisme kontrol aliran proaktif yang segera menghasilkan peringatan kegagalan pengiriman paket alih-alih menunggu waktu habis.

DNS-over-HTTPS sudah didukung secara luas oleh banyak penyedia DNS untuk memberikan peningkatan privasi saat melakukan permintaan DNS.

Dengan Google yang mendukung DNS-over-HTTP/3 Android dan DNS-over-QUIC sekarang sebagai standar yang diusulkan, kemungkinan besar kami akan segera melihat peningkatan adopsi oleh penyedia DNS.

Namun, sebagai bagian dari peluncuran fitur ini, perangkat Android akan menggunakan Cloudflare DNS dan Google Public DNS, yang sudah mendukung DNS-over-QUIC.

Di masa mendatang, Google berencana menambahkan dukungan untuk penyedia DoH3 lainnya melalui penggunaan Discovery of Designated Resolver (DDR), yang secara otomatis memilih penyedia terbaik untuk konfigurasi spesifik Anda.

Keunggulan lain dari DoH3 adalah penggunaan Rust dalam implementasinya, yang menghasilkan sistem lean yang terdiri dari 1.640 baris kode yang menggunakan thread runtime tunggal, bukan empat DoT.

Hasilnya adalah sistem tingkat rendah yang berkinerja dengan sedikit ketergantungan, ringan, dan menggunakan bahasa yang aman untuk memori yang mengurangi jumlah bug yang dapat dimanfaatkan penyerang untuk menyalahgunakannya.

Pengguna akhir tidak perlu melakukan tindakan apa pun untuk mengaktifkan fitur baru, karena Android akan menangani bagian ini secara otomatis.

Sumber: Bleeping Computer

Google ads ‘YouTube’ yang terlihat meyakinkan membawa pengunjung ke penipuan Windows support

July 21, 2022 by Eevee

Iklan Google Penelusuran YouTube yang tampak realistis mengarahkan pengunjung ke penipuan tech support yang berpura-pura menjadi peringatan keamanan dari Windows Defender.

Hari ini, perusahaan keamanan siber Malwarebytes mengungkapkan bahwa mereka menemukan kampanye malvertising “besar” yang menyalahgunakan iklan Google.

Saat mencari kata kunci terkait “YouTube”, iklan pertama yang ditampilkan di hasil pencarian berjudul, ‘YouTube – Video YouTube Terbaik’ atau ‘YouTube.com – YouTube – Video YouTube Terbaik untuk Anda.’

Dilihat dari iklannya, tidak ada yang terlihat mencurigakan, karena berisi URL youtube.com yang benar dan juga menampilkan elemen iklan tambahan di bawah iklan, seperti yang ditunjukkan di bawah ini.

Iklan YouTube palsu di hasil pencarian Google
Sumber: BleepingComputer

Namun, mengklik iklan tidak akan membawa Anda ke YouTube melainkan ke penipuan dukungan teknis yang berpura-pura menjadi peringatan keamanan dari Windows Defender.

Dari tes yang dilakukan oleh BleepingComputer, penipuan dukungan teknis terletak di URL http://matkir[.]ml dan http://159.223.199[.]181/ dan memperingatkan pengunjung bahwa ‘Windows diblokir karena aktivitas yang meragukan’ dan bahwa Windows Defender mendeteksi Trojan Spyware bernama ‘Ads.financetrack(2).dll.’

Penipuan Dukungan Teknis ditunjukkan oleh iklan Google untuk Youtube
Sumber: BleepingComputer

Bagi mereka yang menggunakan VPN, kabar baiknya adalah situs scam akan memeriksa apakah Anda menjalankan VPN dan, jika demikian, mengarahkan pengguna ke situs YouTube yang sah.

Dalam kebanyakan kasus, scammers akan mengunci komputer Anda entah bagaimana atau memberi tahu Anda bahwa komputer Anda terinfeksi dan Anda perlu membeli lisensi dukungan. Either way mengarah ke kontrak dukungan mahal yang tidak memberikan manfaat bagi korban.

Kampanye malvertising masih berjalan di Google Penelusuran saat ini seperti yang ditunjukkan oleh tweet dari Malwarebytes.

Apa yang membuat kampanye malvertising ini begitu menakutkan adalah karena menunjukkan bahwa pelaku ancaman dapat membuat iklan yang meniru perusahaan untuk mendistribusikan malware, halaman phishing, atau jenis serangan lainnya.

Sumber: Bleeping Computer

LinkedIn tetap menjadi brand yang paling banyak ditiru dalam serangan phishing

July 21, 2022 by Eevee

LinkedIn masih memegang posisi teratas sebagai Brand yang paling banyak ditiru dalam kampanye phishing yang diamati selama kuartal kedua tahun 2022.

Data statistik dari perusahaan keamanan siber, Check Point, menunjukkan bahwa platform sosial untuk para profesional tersebut berada di urutan teratas daftar untuk kuartal kedua berturut-turut.

Brand yang paling banyak ditiru oleh pelaku phishing di Q2 2022 (Check Point)

Dibandingkan dengan kuartal pertama tahun ini, peniruan identitas LinkedIn turun dari 52% menjadi 45%. Namun, ia mempertahankan jarak yang cukup jauh dari merek kedua yang paling banyak ditiru oleh penipu, yaitu Microsoft yang saat ini sebesar 13%.

Tema sentral dalam email Microsoft palsu adalah permintaan untuk memverifikasi akun Outlook untuk mencuri nama pengguna dan kata sandi.

DHL saat ini memegang posisi ketiga dalam daftar dengan 12%, turun dari 14%.

Sedangkan Amazon naik ke posisi keempat, melompat dari 2% pada Q1 2022 menjadi 9% pada kuartal ini, sementara Apple mengikuti di tempat kelima dengan 3%; juga meningkat signifikan dibandingkan dengan 0,8% kuartal lalu.

Dalam kasus Amazon, email phishing berusaha mencuri informasi penagihan target, termasuk data kartu kredit lengkap, kata para peneliti.

Seperti yang dijelaskan oleh Check Point dalam laporannya, kampanye phishing menggunakan email LinkedIn palsu mencoba untuk meniru pesan umum dari platform kepada penggunanya, seperti “Anda muncul di 8 pencari minggu ini”, atau “Anda memiliki satu pesan baru.”

Alamat pengirim dipalsukan agar muncul seolah-olah pesan itu otomatis atau berasal dari dukungan atau bahkan departemen keamanan.

Beberapa umpan yang digunakan dalam kampanye ini termasuk promosi palsu untuk layanan LinkedIn Pro, pembaruan kebijakan palsu, atau bahkan ancaman penghentian akun untuk “pelanggan yang belum diverifikasi.”

Mereka semua mengarah ke halaman web phishing di mana para korban diminta untuk memasukkan kredensial LinkedIn mereka, memungkinkan pelaku ancaman untuk mengambil alih akun.

Halaman web login palsu LinkedIn (Check Point)

Dengan akses ke akun LinkedIn, pelaku ancaman dapat menyebarkan kampanye phishing yang ditargetkan untuk menjangkau rekan kerja korban atau individu berharga di jaringan koneksi mereka.

Alasan lain untuk menargetkan akun LinkedIn adalah bahwa mereka dapat digunakan untuk menyiapkan kampanye tawaran pekerjaan palsu. Dalam contoh baru-baru ini, peretas Korea Utara dapat mengelabui seorang karyawan video game online berbasis token agar mengunduh PDF berbahaya yang memungkinkan aktor ancaman mencuri cryptocurrency senilai $620 juta.

Sumber: Bleeping Computer

Peretas SVR Rusia menggunakan Google Drive, Dropbox untuk menghindari deteksi

July 20, 2022 by Eevee

Peretas yang didukung negara bagian dari Federasi Layanan Intelijen Asing (SVR) Rusia telah mulai menggunakan layanan penyimpanan cloud Google Drive yang sah untuk menghindari deteksi.

Dengan menggunakan layanan penyimpanan online yang dipercaya oleh jutaan orang di seluruh dunia untuk mengekstrak data dan menyebarkan malware dan alat berbahaya mereka, pelaku ancaman Rusia menyalahgunakan kepercayaan itu untuk membuat serangan mereka menjadi sangat rumit atau bahkan mustahil untuk dideteksi dan diblokir.

Kelompok ancaman yang dilacak sebagai APT29 (alias Cozy Bear atau Nobelium) telah mengadopsi taktik baru ini dalam kampanye baru-baru ini yang menargetkan misi diplomatik Barat dan kedutaan asing di seluruh dunia antara awal Mei dan Juni 2022.

Namun, seperti yang diungkapkan Mandiant dalam laporan April yang melacak salah satu kampanye phishing grup, ini bukan pertama kalinya peretas APT29 menyalahgunakan layanan web yang sah untuk tujuan perintah-dan-kontrol dan penyimpanan.

Sama seperti dalam kampanye yang diamati oleh Unit 42, Mandiant juga melihat serangan phishing kelompok spionase siber terhadap karyawan dari berbagai organisasi diplomatik di seluruh dunia, sebuah fokus yang konsisten dengan kepentingan strategis geopolitik Rusia saat ini dan penargetan APT29 sebelumnya.

Ikhtisar kampanye phishing APT29 (Unit 42)

APT29 (juga dilacak Cozy Bear, The Dukes, dan Cloaked Ursa) adalah divisi peretasan Layanan Intelijen Asing Rusia (SVR) yang melakukan serangan rantai pasokan SolarWinds, yang menyebabkan kompromi beberapa agen federal AS pada tahun 2020.

Pada akhir Juli, Departemen Kehakiman A.S. adalah pemerintah A.S. terakhir yang mengungkapkan bahwa 27 kantor Kejaksaan A.S. dibobol selama peretasan global SolarWinds.

Pada April 2021, pemerintah AS secara resmi menyalahkan divisi SVR karena mengoordinasikan “kampanye spionase dunia maya” SolarWinds yang mengarah pada kompromi beberapa lembaga pemerintah AS.

Sejak itu, APT29 telah menembus jaringan organisasi lain setelah serangan rantai pasokan SolarWinds, menggunakan malware tersembunyi yang tetap tidak terdeteksi selama bertahun-tahun, termasuk varian backdoor GoldMax Linux dan malware baru yang dilacak sebagai TrailBlazer.

Kelompok ini juga menargetkan I.T. rantai pasokan, seperti yang diungkapkan Microsoft pada bulan Oktober, mengorbankan setidaknya 14 perusahaan setelah menyerang sekitar 140 penyedia layanan terkelola (MSP) dan penyedia layanan cloud sejak Mei 2021.

Unit 42 juga baru-baru ini mengamati alat simulasi serangan permusuhan Brute Ratel yang digunakan dalam serangan yang diduga terkait dengan mata-mata SVR Rusia.

Seperti yang diamati oleh analis ancaman Unit 42 pada saat itu, sampel Brute Rate “dikemas dengan cara yang konsisten dengan teknik APT29 yang diketahui dan kampanye terbaru mereka, yang memanfaatkan penyimpanan cloud terkenal dan aplikasi kolaborasi online.”

Sumber: Bleeping Computer

Grup peretas ‘8220’ mengembangkan botnet cloud ke lebih dari 30.000 host

July 20, 2022 by Eevee

Geng cryptomining yang dikenal sebagai 8220 Gang telah mengeksploitasi kerentanan Linux dan aplikasi cloud untuk mengembangkan botnet mereka ke lebih dari 30.000 host yang terinfeksi.

Grup ini adalah aktor berketerampilan rendah, bermotivasi finansial yang menginfeksi host AWS, Azure, GCP, Alitun, dan QCloud setelah menargetkan sistem yang tersedia untuk umum yang menjalankan versi Docker, Redis, Confluence, dan Apache yang rentan.

Serangan sebelumnya dari geng ini mengandalkan eksploitasi yang tersedia untuk umum untuk mengkompromikan server Confluence.

Setelah mendapatkan akses, penyerang menggunakan paksaan SSH untuk menyebar lebih jauh dan membajak sumber daya komputasi yang tersedia untuk menjalankan cryptominers yang menunjuk ke kumpulan yang tidak dapat dilacak.

Geng 8220 telah aktif setidaknya sejak 2017 dan tidak dianggap sangat canggih, tetapi ledakan tiba-tiba dalam jumlah infeksi menggarisbawahi betapa berbahaya dan berdampaknya aktor tingkat bawah ini ketika mereka mengabdikan diri untuk tujuan mereka.

Dalam kampanye terbaru, yang diamati dan dianalisis oleh SentinelLabs, Geng 8220 telah menambahkan hal-hal baru ke skrip yang digunakan untuk memperluas botnet mereka, sepotong kode yang cukup tersembunyi meskipun tidak memiliki mekanisme penghindaran deteksi khusus.

Mulai akhir bulan lalu, grup tersebut mulai menggunakan file khusus untuk pengelolaan langkah paksa SSH, yang berisi 450 kredensial hardcode yang sesuai dengan berbagai perangkat dan aplikasi Linux.

Pembaruan lainnya adalah penggunaan daftar blokir dalam skrip untuk mengecualikan host tertentu dari infeksi, sebagian besar mengenai honeypot yang dibuat oleh peneliti keamanan.

Akhirnya, 8220 Gang sekarang menggunakan versi baru dari cryptominer kustomnya, PwnRig, yang didasarkan pada XMRig penambang Monero open-source.

Dalam versi terbaru PwnRig, penambang menggunakan subdomain FBI palsu dengan alamat IP yang mengarah ke domain pemerintah federal Brasil untuk membuat permintaan kumpulan palsu dan mengaburkan tujuan sebenarnya dari uang yang dihasilkan.

Penurunan harga cryptocurrency memaksa aktor cryptojacking untuk meningkatkan operasi mereka sehingga mereka dapat mempertahankan keuntungan yang sama. Monero, khususnya, telah kehilangan lebih dari 20% nilainya selama enam bulan terakhir.

Sumber: Bleeping Computer

Beberapa Aplikasi Play Store Baru Terlihat Mendistribusikan Malware Joker, Facestealer, dan Malware Coper

July 20, 2022 by Eevee

Google telah mengambil langkah-langkah untuk menghentikan lusinan aplikasi penipuan dari Play Store resmi yang terlihat menyebarkan keluarga malware Joker, Facestealer, dan Coper melalui pasar virtual.

Temuan terbaru dari Zscaler ThreatLabz dan Pradeo tidak berbeda. “Joker adalah salah satu keluarga malware paling menonjol yang menargetkan perangkat Android,” kata peneliti Viral Gandhi dan Himanshu Sharma dalam sebuah laporan Senin.

Dikategorikan sebagai fleeceware, Joker (alias Roti) dirancang untuk membuat pengguna berlangganan layanan berbayar yang tidak diinginkan atau melakukan panggilan ke nomor premium, sambil juga mengumpulkan pesan SMS, daftar kontak, dan informasi perangkat. Ini pertama kali diamati di Play Store pada tahun 2017.

Sebanyak 53 aplikasi pengunduh Joker telah diidentifikasi oleh dua perusahaan keamanan siber, dengan aplikasi diunduh secara kumulatif lebih dari 330.000 kali. Aplikasi ini biasanya menyamar sebagai SMS, editor foto, monitor tekanan darah, keyboard emoji, dan aplikasi terjemahan yang, pada gilirannya, meminta izin yang lebih tinggi untuk perangkat untuk menjalankan operasinya.

Bukan hanya Joker, peneliti keamanan Maxime Ingrao pekan lalu mengungkapkan delapan aplikasi yang berisi varian berbeda dari malware bernama Autolycos yang mengumpulkan total lebih dari tiga juta unduhan sebelum dihapus dari app store setelah lebih dari enam bulan.

Selain itu, ditemukan juga di pasar resmi aplikasi yang menyematkan malware Facestealer dan Coper. Sementara yang pertama memungkinkan operator untuk menyedot kredensial Facebook dan token autentikasi, Coper turunan dari malware Exobot berfungsi sebagai trojan perbankan yang dapat mencuri berbagai macam data.

Coper “mampu mencegat dan mengirim pesan teks SMS, membuat permintaan USSD (Unstructured Supplementary Service Data) untuk mengirim pesan, keylogging, mengunci / membuka kunci layar perangkat, melakukan serangan berlebihan, mencegah pencopotan pemasangan dan umumnya memungkinkan penyerang untuk mengambil kendali dan menjalankan perintah pada perangkat yang terinfeksi melalui koneksi jarak jauh dengan server C2,” kata para peneliti.

Malware, seperti trojan perbankan lainnya, juga diketahui menyalahgunakan izin aksesibilitas di Android untuk mendapatkan kendali penuh atas ponsel korban. Daftar aplikasi penetes Facestealer dan Coper adalah sebagai berikut :

Vanilla Camera (cam.vanilla.snapp)
Unicc QR Scanner (com.qrdscannerratedx)

Selain aturan praktis yang biasa digunakan untuk mengunduh aplikasi dari toko aplikasi, pengguna disarankan untuk tidak memberikan izin yang tidak perlu ke aplikasi dan memverifikasi keabsahannya dengan memeriksa informasi pengembang, membaca ulasan, dan memeriksa kebijakan privasi mereka.

Sumber: The Hacker News

Facebook telah mulai mengenkripsi tautan untuk melawan Stripping URL yang meningkatkan privasi

July 20, 2022 by Eevee

Facebook telah mulai menggunakan skema URL yang berbeda untuk tautan situs guna memerangi teknologi stripping URL yang digunakan browser seperti Firefox atau Brave untuk meningkatkan privasi dan mencegah pelacakan pengguna.

Beberapa situs, termasuk Facebook, menambahkan parameter ke alamat web untuk tujuan pelacakan. Parameter ini tidak memiliki fungsi yang relevan bagi pengguna, tetapi situs mengandalkannya untuk melacak pengguna di seluruh halaman dan properti.

Mozilla memperkenalkan dukungan untuk stripping URL di Firefox 102, yang diluncurkan pada Juni 2022. Firefox menghapus parameter pelacakan dari alamat web secara otomatis, tetapi hanya dalam mode penjelajahan pribadi atau ketika fitur Perlindungan Pelacakan browser disetel ke ketat. Pengguna Firefox dapat mengaktifkan stripping URL di semua mode Firefox, tetapi ini memerlukan konfigurasi manual. Brave Browser juga menghapus parameter pelacakan yang diketahui dari alamat web.

Kedua browser web menggunakan daftar parameter pelacakan yang diketahui untuk fungsi tersebut. Daftar perlu diperbarui setiap kali situs mengubah parameter pelacakan.

Facebook bisa saja mengubah skema yang digunakannya, tetapi ini hanya akan memberi Facebook jalan sementara. Tampaknya Facebook menggunakan enkripsi sekarang untuk melacak pengguna.

Sebelumnya, Facebook menggunakan parameter fbclid untuk tujuan pelacakan. Sekarang, mereka menggunakan URL seperti ini :

https://www.facebook.com/ghacksnet/posts/pfbid0RjTS7KpBAGt9FHp5vCNmRJsnmBudyqRsPC7ovp8sh2EWFxve1Mk2HaGTKoRSuVKpl?__cft__[0]=AZXT7WeYMEs7icO80N5ynjE2WpFuQK61pIv4kMN-dnAz27-UrYqrkv52_hQlS_TuPd8dGUNLawATILFs55sMUJvH7SFRqb_WcD6CCOX_zYdsebOW0TWyJ9gT2vxBJPZiAaEaac_zQBShE-UEJfatT-JMQT5-bvmrLz7NlgwSeL6fGKH9oY9uepTio0BHyCmoY1A&__tn__=%2CO%2CP-R .

Masalah utama di sini adalah tidak mungkin lagi menghapus bagian pelacakan URL, karena Facebook menggabungkannya dengan bagian dari alamat web yang diperlukan.

Karena tidak mungkin lagi mengidentifikasi bagian pelacakan dari alamat web, tidak mungkin lagi menghapusnya dari alamat secara otomatis. Dengan kata lain: Facebook berada di atas angin dalam hal pelacakan berbasis URL pada saat itu, dan hanya sedikit yang dapat dilakukan untuk menemukan cara untuk mendekripsi informasi.

Saat ini tidak ada opsi untuk mencegah pelacakan pengguna Facebook melalui tautan. Pengguna dapat menghindari Facebook, tetapi itu tidak mungkin dilakukan setiap saat. Pelacakan URL tidak banyak membantu jika sarana pelacakan lain, misalnya, melalui cookie atau data situs, tidak tersedia. Meskipun Facebook mendapatkan beberapa informasi dari pelacakan berbasis URL, Facebook tidak dapat menautkannya jika tidak ada data persisten yang tersedia.

Pengguna yang tidak masuk ke Facebook dan menghapus cookie dan data situs secara teratur, dapat menghindari sebagian besar pelacakan perusahaan.

Sumber: ghacks.net

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookies Settings