Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Keamanan email di tempat kerja dalam lima langkah

by

David Mitchell, Direktur Senior Manajemen Produk Email di Sophos, membagikan kiat utamanya untuk mengoptimalkan keamanan email di tempat kerja.

Data terbaru dari SophosLabs menunjukkan bahwa pada September 2020, 97% spam berbahaya yang ditangkap oleh perangkap spam mereka adalah email phishing, untuk mencari kredensial atau informasi lainnya.

Phishing tetap menjadi taktik yang sangat efektif bagi penyerang, terlepas dari tujuan akhirnya.

Contoh yang bagus adalah munculnya Business Email Compromise (BEC). Tidak lagi terbatas pada pesan yang dieja atau diformat dengan buruk yang berpura-pura datang dari CEO dan menuntut transfer dana yang signifikan secara langsung dan rahasia, iterasi terbaru lebih halus dan lebih cerdas.

Lima langkah untuk mengamankan email organisasi Anda

Berikut adalah lima langkah penting untuk mengamankan email organisasi Anda.

Langkah 1: Instal solusi keamanan multi-kemampuan yang cerdas yang akan menyaring, mendeteksi, dan memblokir sebagian besar hal buruk sebelum mencapai Anda
Untuk mempertahankan jaringan, data, dan karyawan Anda dari serangan berbasis email yang berkembang pesat, Anda harus mulai dengan perangkat lunak keamanan yang efektif. Agar solusi keamanan Anda berfungsi dengan baik, Anda juga perlu menyetel kontrol yang sesuai untuk email masuk dan keluar.

Langkah 2: Terapkan langkah-langkah canggih untuk autentikasi email
Solusi keamanan email Anda harus dapat memeriksa setiap email masuk terhadap aturan autentikasi yang ditetapkan oleh domain asal email tersebut. Cara terbaik untuk melakukannya adalah dengan menerapkan satu atau lebih standar yang diakui untuk autentikasi email.

Standar industri utama adalah:

  • Sender Policy Framework (SPF)
  • DomainKeys Identified Mail (DKIM)
  • Domain Message Authentication Reporting and Conformance(DMARC)

Langkah 3: Didik karyawan tentang apa yang harus diwaspadai
Memberi tahu karyawan yang mengetahui tanda peringatan dari email yang mencurigakan adalah garis pertahanan yang luar biasa.
Anda dapat menerapkan pelatihan online formal, membagikan contoh ancaman terbaru, menjalankan pengujian, dan menunjukkan kepada mereka beberapa pemeriksaan standar.

Langkah 4: Didik karyawan tentang apa yang harus dilakukan ketika mereka menemukan sesuatu
Anda perlu memudahkan rekan kerja untuk melaporkan hal-hal yang tidak mereka yakini. Ini berarti memberi mereka proses sederhana, seperti kotak surat intranet untuk melaporkan pesan yang mencurigakan.

Langkah 5: Jangan lupa tentang email keluar
Email yang dikirim dari organisasi Anda akan dinilai sendiri oleh penerima berdasarkan metode autentikasi yang tercantum di atas. Anda perlu memastikan bahwa Anda memiliki kontrol yang kuat terhadap nama domain Anda sendiri. Anda mungkin juga ingin mempertimbangkan apa lagi yang perlu Anda pantau dan kendalikan terkait email keluar.

Apakah Anda memindai aktivitas yang tidak wajar atau pola perilaku yang tidak biasa yang dapat mengindikasikan akun email internal yang disusupi atau serangan cyber aktif, misalnya?

Ancaman email berkembang sepanjang waktu saat penyerang memanfaatkan teknologi baru, lingkungan baru, atau sekadar mengasah taktik manipulasi psikologis mereka. Tinjau keamanan email Anda secara teratur dan pastikan keamanannya mengikuti perubahan dalam organisasi dan teknik penyerang.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Naked Security

Badan Intelijen Asing Menggunakan Situs Media Sosial untuk Menargetkan Orang-orang dengan Izin Keamanan

by

FBI merilis sebuah peringatan mengenai ancaman dari China.

China dan pemerintah asing lainnya menggunakan situs media sosial jejaring profesional untuk menargetkan orang-orang dengan izin keamanan pemerintah AS.

Badan intelijen asing mungkin menggunakan profil palsu, permintaan yang tampaknya ramah, janji pembayaran yang menguntungkan, dan taktik lain untuk mencoba mendapatkan informasi non-publik dan rahasia untuk keuntungan mereka.

FBI mendesak semua orang — terutama mereka yang memegang (atau pernah memegang) izin keamanan — untuk berhati-hati saat didekati oleh individu secara online mengenai peluang karier.

Apa yang Harus Anda Lakukan?

  • Tinjau pengaturan akun Anda di jejaring sosial dan profesional untuk mengontrol informasi yang tersedia untuk umum, terutama yang berkaitan dengan izin keamanan.
  • Hanya bentuk kontak online dengan orang yang Anda kenal atau setelah Anda memverifikasi sah dengan cara lain.
  • Beri tahu petugas keamanan Anda jika ada kontak dari perusahaan atau individu yang Anda curigai.
  • Jika Anda adalah mantan pemegang izin pemerintah A.S., hubungi kantor FBI terdekat untuk melaporkan penargetan jahat di situs media sosial jejaring profesional atau kirimkan tip secara daring di tips.fbi.gov.

Selengkapnya: FBI

Peringatan CISA memperingatkan serangan Emotet terhadap entitas pemerintah AS

by

Badan Keamanan Siber dan Infrastruktur (CISA) mengeluarkan peringatan untuk memperingatkan gelombang serangan Emotet yang telah menargetkan beberapa negara bagian dan pemerintah lokal di AS sejak Agustus.

Selama waktu itu, Sistem Deteksi Intrusi EINSTEIN milik agensi tersebut telah mendeteksi sekitar 16.000 peringatan terkait aktivitas Emotet.

Menurut para ahli dari CISA, serangan Emotet ditargetkan pada entitas pemerintah AS.

Trojan perbankan Emotet telah aktif setidaknya sejak 2014, botnet dioperasikan oleh pelaku ancaman yang dilacak sebagai TA542. Pada pertengahan Agustus, malware tersebut digunakan dalam kampanye spam baru bertema COVID19.

Trojan perbankan terkenal juga digunakan untuk memberikan kode berbahaya lainnya, seperti Trickbot dan QBot trojan atau ransomware seperti Conti (TrickBot) atau ProLock (QBot).

Peringatan yang diterbitkan oleh CISA didasarkan pada data yang disediakan oleh Multi-State Information Sharing & Analysis Center (MS-ISAC) dan CISA sendiri sejak Juli 2020.

CISA dan MS-ISAC merekomendasikan admin dan pengguna untuk menggunakan solusi antimalware untuk memblokir lampiran yang mencurigakan dan untuk memblokir alamat IP yang mencurigakan.

Peringatan tersebut mencakup mitigasi, Indikator Kompromi (IoCs) dan Teknik MITRE ATT&CK.

Mata-mata asing menggunakan perusahaan untuk menyamarkan peretasan mereka, meminjam taktik penyamaran lama

by

Peretas profesional yang sudah mencoba menyembunyikan aktivitas mereka melalui berbagai cara teknis sekarang tampaknya mencoba lebih banyak penyamaran perusahaan, dengan membuat perusahaan depan atau bekerja sebagai kontraktor pemerintah untuk meningkatkan legitimasi mereka.

“Ini hanya mempersulit untuk mengetahui siapa yang melakukan apa, dan apa motivasi mereka,” John Demers, asisten jaksa agung AS untuk keamanan nasional, mengatakan tentang motivasi yang terlihat dalam wawancara baru-baru ini.

Departemen Kehakiman pada 16 September membuka segel dakwaan terhadap lima pria China dan dua warga negara Malaysia atas dugaan peran mereka dalam skema mata-mata selama bertahun-tahun yang menginfeksi perangkat lunak termasuk Asus, CCleaner dan Netsarang dengan malware.

Beberapa tersangka yang bekerja sebagai bagian dari operasi yang lebih besar berfungsi sebagai bagian dari Chengdu 404, yang memasarkan dirinya sebagai perusahaan penetration testing dengan “semangat patriotik”, kata satu dakwaan.

Saat mengiklankan uji peretasan ofensif, Chengdu 404 menggunakan phishing dan cara lain untuk melanggar lebih dari 100 organisasi di AS, Korea Selatan, Jepang, dan negara lain, menurut tuduhan tersebut.

Peretas akan mengeksploitasi akses mereka untuk mencuri kode sumber, sertifikat penandatanganan perangkat lunak, dan informasi identitas pribadi atas nama Beijing, sambil mengumpulkan uang untuk mereka sendiri. (Perusahaan keamanan telah mengaitkan aktivitas tersebut dengan APT41, unit spionase siber China yang diduga terkait dengan Kementerian Keamanan Negara.)

Sejarah yang kurang membanggakan dari peretasan serupa

Jaksa penuntut AS mengatakan tiga pria Ukraina yang ditangkap pada 2018 mengklaim mengoperasikan Combi Security sebagai perusahaan penetration testing yang sah. Alih-alih benar-benar melakukan tes, perusahaan itu meretas terminal tempat penjualan, mencuri informasi kartu kredit, dan melanggar restoran besar Amerika dan rantai ritel.

Berita selengkapnya:
Source: Cyber Scoop

Malware untuk Penipuan Iklan Menjadi Lebih Canggih

by

Minggu lalu, Facebook mengungkapkan bahwa perusahaan telah menemukan serangan luas pada penggunanya yang telah membobol akun, mengumpulkan kredensial dan token sesi, dan menggunakan akses untuk membeli iklan, barang palsu, dan untuk membuat ulasan produk palsu.

Disebut SilentFade – yang menurut perusahaan adalah singkatan dari “Diam-diam Menjalankan Iklan Facebook dengan Eksploitasi” – sistem pengguna yang terinfeksi malware dan mengakibatkan biaya lebih dari $4 juta, Facebook menyatakan dalam analisisnya.

Kampanye ini – yang ditemukan Facebook pada Desember 2018 dan telah mengambil tindakan pada dua bulan kemudian, menghindari deteksi ancaman dengan mencuri cookie sesi dari pengguna dan masuk dari alamat IP yang secara geografis dekat dengan korban.

SilentFade juga menonaktifkan banyak peringatan dan pemberitahuan keamanan dan menggunakan exploit untuk mencegah pengguna membatalkan perubahan, menurut peneliti perusahaan.

Selain itu, SilentFade mencuri cookie yang berisi token sesi, yang sering dianggap lebih berharga daripada sandi, karena cookie merupakan bukti pasca-otentikasi bahwa pengguna memberikan kredensial yang benar. Dengan menggunakan cookie alih-alih mencuri nama pengguna dan kata sandi, penyerang sering menghindari otentikasi dua faktor.

Komponen pencuri cookie dari SilentFade menargetkan sejumlah besar browser, termasuk Chrome, Opera, Internet Explorer, Edge, dan lainnya.

Facebook telah memperkuat layanannya terhadap SilentFade dan serangan grup lainnya, tetapi menekankan bahwa platform media sosial lainnya mungkin masih terpengaruh oleh kampanye penipuan iklan.

Berita selengkapnya dapat di baca pada tautan di bawah ini;
Source: Dark Reading

Cloudflare sekarang dapat mengirim peringatan DDoS untuk situs yang sedang diserang

by

Cloudflare sekarang memungkinkan pelanggan berbayar untuk membuat pemberitahuan yang memperingatkan mereka ketika situs mereka diserang DDoS.

Serangan distributed denial of service (DDoS) terjadi saat penyerang membanjiri server web atau koneksi Internet dengan lebih banyak permintaan daripada yang dapat ditangani. Banjir permintaan ini menyebabkan layanan menjadi tidak tersedia, dan perusahaan atau orang mengalami pemadaman.

Cloudflare selalu menawarkan perlindungan DDoS sebagai salah satu penawaran intinya, tetapi kecuali pemilik atau administrator situs secara aktif menggunakan situs mereka atau menggunakan alat pemantauan, mereka tidak akan tahu bahwa layanan mereka sedang diserang sampai sudah terlambat.

Kemarin, Cloudflare mengumumkan bahwa semua pelanggan berbayar sekarang dapat mengonfigurasi peringatan yang memberi tahu mereka ketika situs yang mereka kelola berada di bawah serangan DDoS.

Ada juga jenis DDoS berbeda yang dapat korban terima – HTTPS DDoS dan serangan L3/L4. Ketersediaan setiap jenis peringatan tergantung pada layanan apa yang Anda gunakan dengan Cloudflare.

Ketika serangan DDoS terjadi, Cloudflare akan memberi tahu Anda ketika serangan itu terdeteksi, jenis serangan DDoS, seberapa besar serangannya, dan apa targetnya.

Sumber: Cloudflare

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Peretas menyalahgunakan layanan Windows error dalam serangan malware tanpa file

by

Grup peretasan tak dikenal menyuntikkan kode berbahaya dalam layanan Windows Error Reporting (WER) yang sah untuk menghindari deteksi sebagai bagian dari serangan malware fileless seperti yang ditemukan oleh peneliti Malwarebytes bulan lalu.

Memanfaatkan layanan WER dalam serangan untuk menghindari pertahanan bukanlah taktik baru tetapi, seperti yang dikatakan oleh peneliti Malwarebytes Threat Intelligence Team Hossein Jazi dan Jérôme Segura, kampanye ini kemungkinan besar adalah hasil kerja dari kelompok spionase siber yang belum diketahui.

“Pelaku ancaman menyusupi situs web untuk menampung muatannya dan menggunakan kerangka CactusTorch untuk melakukan serangan fileless yang diikuti oleh beberapa teknik anti-analisis,” jelas laporan tersebut, yang dibagikan sebelumnya dengan BleepingComputer.

Muatan awal yang berbahaya masuk ke komputer target melalui spear-phishing email menggunakan klaim kompensasi pekerja sebagai umpan.

Setelah dibuka, dokumen akan mengeksekusi kode shell melalui makro berbahaya yang diidentifikasi sebagai modul CactusTorch VBA yang memuat muatan .NET langsung ke memori perangkat Windows yang sekarang terinfeksi.

Pada langkah berikutnya, binary ini dijalankan dari memori komputer tanpa meninggalkan jejak pada hard drive, memasukkan kode shell yang tertanam ke dalam WerFault.exe, proses Windows layanan WER.

Jika semua pemeriksaan dilewati dan malware yang dimuat terasa cukup aman untuk melanjutkan ke langkah berikutnya, malware akan mendekripsi dan memuat kode shell terakhir di thread WER yang baru dibuat, yang akan dieksekusi di thread baru.

Muatan malware terakhir yang dihosting di asia-kotoba[.]Net dalam bentuk favicon palsu kemudian akan diunduh dan dimasukkan ke dalam proses baru.

Sementara para peneliti Malwarebytes tidak dapat mengaitkan serangan itu dengan kelompok peretas mana pun dengan cukup percaya diri, beberapa indikator kompromi dan taktik yang digunakan mengarah ke kelompok spionase cyber APT32 yang didukung Vietnam (juga dilacak sebagai OceanLotus dan SeaLotus).

Sayangnya, Malwarebytes tidak berhasil mendapatkan salinan muatan terakhir setelah menyelidiki serangan ini untuk membuat koneksi langsung.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Bleeping Computer

Lonjakan ancaman ransomware, Ryuk menyerang sekitar 20 org per minggu

by

Peneliti malware yang memantau ancaman ransomware melihat peningkatan tajam dalam beberapa serangan ransomware selama beberapa bulan terakhir dibandingkan dengan enam bulan pertama tahun 2020.

Di bagian atas daftar adalah keluarga ransomware Maze, Ryuk, dan REvil (Sodinokibi), menurut data yang baru-baru ini diterbitkan dari Check Point dan tim IBM Security X-Force Incident Response.

Data dari Check Point mengacu pada kuartal ketiga tahun ini menunjukkan bahwa Maze dan Ryuk adalah keluarga ransomware yang paling umum, dengan ransomware menyerang rata-rata 20 perusahaan per minggu.

Perusahaan mengatakan bahwa serangan ransomware meningkat sebesar 50% pada tingkat global pada kuartal ketiga tahun 2020, Ryuk dan Maze adalah ancaman yang paling umum.

Di Amerika, serangan ini hampir dua kali lipat pada kuartal ketiga, menempatkannya di lima besar negara yang paling terpengaruh di Q3:

  • Amerika Serikat (98,1% meningkat)
  • India (39,2% meningkat)
  • Sri Lanka (436% meningkat)
  • Rusia (57,9% meningkat)
  • Turki (32,5% meningkat)

Serangan ransomware sangat menguntungkan bagi penjahat siber sehingga hampir tidak ada peluang ancaman ini menghilang dalam waktu dekat, terutama dengan taktik yang berkembang (mencuri data dan membocorkan atau menjualnya di web gelap) yang dirancang untuk memaksa membayar tebusan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Bleeping Computer