Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Fitur Keamanan Baru Di Gmail, Google Meet & Chat

by

Google BIMI

Google telah mengumumkan proyek percobaannya yang disebut Indikator Merek untuk Identifikasi Pesan atau BIMI (Brand Indicators for Message Identification) untuk organisasi yang ingin email mereka menampilkan logo perusahaan di slot avatar Gmail.

Proyek percobaan BIMI akan membutuhkan sebuah organisasi yang berpartisipasi untuk mengautentikasi email mereka menggunakan Otentikasi, Pelaporan, dan Kesesuaian Pesan berbasis Domain atau DMARC.

Organisasi yang menggunakan DMARC dapat mengirimkan logo perusahaan mereka ke Certificate Authorities Entrust Datacard dan DigiCert untuk memvalidasi kepemilikan logo. Setelah email yang dikonfirmasi telah dipindai oleh anti-penyalahgunaan dari Google, Gmail akan menampilkan logo di kotak avatar.

Proyek percobaan ini dimulai dalam beberapa minggu dengan jumlah pengirim yang terbatas menjelang peluncuran penuh yang direncanakan dalam beberapa bulan mendatang. Dari sana, organisasi dapat memilih apakah mereka ingin mengadopsi standar BIMI.

Google Meet & Chat Semakin Aman Dengan Fitur Baru

Google juga meningkatkan kontrol keamanan untuk Google Meet. Host di Google Meet akan mendapatkan kontrol lebih besar atas siapa saja yang dapat ‘mengetuk’ untuk bergabung dalam sebuah rapat virtual. Jika host menendang seorang peserta, peserta itu tidak bisa lagi bergabung dengan rapat virtual yang sama dan hanya akan diizinkan kembali jika tuan rumah mengundang mereka kembali.

Meet juga akan secara otomatis memblokir peserta dari mengirimkan permintaan untuk bergabung dengan rapat virtual jika permintaan mereka telah ditolak beberapa kali.

Dan host Meet mendapatkan ‘advanced safety locks’ yang memungkinkan mereka untuk memutuskan bagaimana orang lain dapat bergabung dalam rapat virtual, misalnya, melalui undangan kalender atau telepon. Ini juga mengharuskan pengguna untuk mendapatkan persetujuan eksplisit untuk bergabung dalam rapat virtual.

Semua ini dibangun berdasarkan fitur yang Google umumkan pada bulan April lalu untuk menggagalkan pranksters yang terlibat dalam ‘zoombombing’ atau gatecrashing.

Sementara itu, Google Chat juga mendapatkan perlindungan phishing dari Gmail. Sekarang tautan yang dikirim ke pengguna dalam Google Chat akan dipindai oleh Google dan ditandai jika itu berbahaya. Dalam beberapa minggu ke depan, pengguna Chat juga akan dapat melaporkan dan memblokir Ruang Obrolan yang mencurigakan.

Peningkatan Fitur Sampai ke Admin G Suite

Terakhir, Google memperkenalkan perubahan untuk admin G Suite yang bertujuan membantu mereka menjaga keamanan perangkat selama masa teleworking yang meningkat karena pandemi ini.

Sebagai bagian dari upaya ini, Google menggabungkan dengan sistem manajemen perangkat seluler Apple Business Manager untuk meningkatkan kemampuan admin dalam mengelola iPhone dan iPad.

Google juga meningkatkan fitur Data Loss Prevention sehingga admin dapat memblokir pengguna dari mengunduh, mencetak, atau menyalin dokumen sensitif dari Google Drive. Admin juga dapat menjalankan pemindaian penuh pada semua file dalam Google Drive dan secara otomatis mengatur kontrol untuk semua pengguna.

Fitur ini tersedia dalam versi beta untuk pelanggan G Suite Enterprise, G Suite Enterprise, dan G Suite Enterprise untuk Pendidikan.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Pesan Palsu Ke Ponsel Android Ini Mengarah Ke Malware Pencuri Data

by

Suatu bentuk malware Android yang kuat yang dapat mencuri detail bank, informasi pribadi, komunikasi pribadi dan banyak lagi telah kembali dengan kampanye baru yang menyebar dengan sendirinya melalui serangan phishing SMS.

Para peneliti cybersecurity di Cybereason mengatakan bahwa ini adalah sebuah malware yang menggunakan teks “missed delivery” untuk mengecoh penerima yang tidak curiga.

Setelah melakukan penyelidikan, tim Cybereason menyimpulkan bahwa kampanye malware yang disebut FakeSpy ini berkaitan dengan ‘Roaming Mantis’, operasi aktor siber berbahasa Cina yang telah mengoperasikan kampanye serupa.

Malware FakeSpy telah aktif sejak 2017, awalnya menargetkan pengguna di Jepang dan Korea Selatan, namun sekarang ini menargetkan pengguna Android di seluruh dunia – dengan serangan yang dirancang khusus untuk memikat pengguna di Asia, Eropa dan Amerika Utara.

Menurut penelitian yang dilakukan oleh tim Cybereason, FakeSpy dapat mengeksfiltrasi dan mengirim pesan SMS, mencuri data keuangan, membaca informasi akun, dan daftar kontak. Pengguna diperdaya untuk mengklik pesan teks yang memberitahukan mereka tentang pengiriman yang terlewat, yang mengarahkan mereka pada sebuah website untuk mengunduh aplikasi Android berbahaya.

FakeSpy juga mengeksploitasi infeksi untuk menyebarkan dirinya, mengirim pesan phishing bertema pos ke semua kontak korban, menunjukkan ini bukan kampanye yang ditargetkan. Ini adalah operasi siber kriminal yang digerakkan secara finansial yang ingin menyebar sejauh dan seluas mungkin dengan tujuan menghasilkan uang sebanyak mungkin dari informasi bank curian dan kredensial pribadi lainnya.

Direktur senior Cybereason dan kepala riset ancaman Assaf Dahan mengatakan kepada ZDNet bahwa orang-orang harus curiga terhadap pesan SMS yang berisi tautan. “Jika mereka mengklik tautan,” kata Dahan, “mereka perlu memeriksa keaslian halaman web, mencari kesalahan ketik atau nama situs web yang salah, dan yang terpenting – hindari mengunduh aplikasi dari toko tidak resmi.”

Praktik-praktik ini dapat melindungi Anda dari mengunduh aplikasi jahat secara tidak sengaja, jatuh dalam serangan phishing, dan banyak lagi.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: BGR | ZDNet

Penyedia Jasa Cloud Yang Sukses Menghentikan Serangan Ransomware, Tetap Harus Membayar Tebusan

by

Blackbaud, penyedia solusi perangkat lunak dan cloud hosting, mengatakan telah menghentikan serangan ransomware dari mengenkripsi file mereka pada awal tahun ini, namun tetap membayar permintaan tebusan setelah peretas mencuri data pelanggan dan mengancam akan mempublikasikannya secara online.

Mei 2020, Blackbaud, Perusahaan penyedia jasa cloud hosting mengatakan para peretaas merusak jaringan dan berusaha menginstal ransomware untuk mengunic pelanggan dari data dan server mereka.

Blackbaud berkata, Setelah serangan terjadi, tim Keamanan Cyber mereka dengan dibantu oleh Penegakl hukum dan tim Forensik berhasil mencegah peretas memblokir serta mengekripsi seluruh file. usaha mereka juga sukses mengusir para peretas dari sistem perusahaan.

Namun para peretas berhasil mencuri sebagian internal dimana para pelanggan mereka menyimpan data dan file lainnya. Para peretas bahkan mengancam akan merilis data yang dicuri kecuali pihak Blackbaud membayar permintaaan tebusan (ransom), walaupun serangan diawal sudah berhasil dihentikan.

Untuk menjaga nama dan melindungi pelanggan mereka, pada akhirnya Blackbaud tetap membayarkan sejumlah uang kepada peretas dengan jaminan bahwa salinan data pelanggan mereka  dihapus.

“Berdasarkan hasil insiden, penelitian, dan investigasi pihak ketiga (termasuk penegakan hukum), kami tidak memiliki alasan untuk percaya bahwa data apa pun yang akibat kejahatan cyber, telah atau akan disalahgunakan, atau akan disebarluaskan secara publik, “tambah Blackbaud.

Penyedia cloud, yang terutama bekerja dengan nirlaba, yayasan, pendidikan, dan perawatan kesehatan, mengatakan insiden itu hanya memengaruhi data hanya sebagian kecil dari pelanggannya, mereka juga telah memberi notifikasi pada pelanggan.

Source : ZDnet

Mata-Mata Siber Iran Meninggalkan Video Pelatihan Terekspos Secara Online

by

Salah satu kelompok peretasan top Iran telah membiarkan server mereka terekspos online di mana para peneliti keamanan dari IBM X-Force mengatakan mereka menemukan segudang rekaman layar yang menunjukkan ketika para peretas beraksi dan diduga video adalah tutorial yang digunakan kelompok Iran untuk melatih anggota baru.

Video-video tersebut menunjukkan para peretas Iran melakukan berbagai tugas dan memasukkan langkah-langkah tentang cara membajak akun korban menggunakan daftar kredensial yang dikompromikan.

Akun email adalah target utama, tetapi akun media sosial juga diakses jika kredensial akun yang dikompromikan tersedia untuk target tersebut.

Peretas mengakses setiap bagian dari pengaturan akun dan mencari informasi pribadi yang mungkin tidak dimasukkan kedalam akun online lain sebagai bagian dari upaya mereka untuk membangun profil selengkap mungkin tentang setiap target.

IBM tidak merinci bagaimana para peretas memperoleh kredensial untuk setiap korban. Tidak jelas apakah operator telah menginfeksi target dengan malware yang dapat mencuri kata sandi dari browser mereka, atau apakah operator telah membeli kredensial dari pasar dark web.

Di video lain, operator juga melakukan langkah-langkah untuk mengekstrak data dari setiap akun. Ini termasuk mengekspor semua kontak akun, foto, dan dokumen dari situs penyimpanan cloud terkait, seperti Google Drive.

Salah satu Video tersebut juga menunjukkan upaya peretasan yang gagal untuk mengakses akun target, seperti akun pejabat Departemen Luar Negeri AS.

Video di mana serangan kompromi akun yang gagal biasanya untuk akun yang menggunakan otentikasi dua faktor (2FA), kata para peneliti dalam laporan yang dibagikan dengan ZDNet minggu ini.

Peneliti X-Force mengatakan server tempat mereka menemukan semua video ini adalah bagian dari infrastruktur serangan kelompok Iran yang mereka lacak sebagai ITG18, tetapi lebih dikenal sebagai Charming Kitten, Phosphorous, dan APT35.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

KrebsOnSecurity: Siapa Di Balik Peretasan Epic Twitter Hari Rabu Kemarin?

by

Pada hari Rabu (15/07), terjadi peretasan masal pada akun Twitter bercentang biru (high level profile).

Dimulai dari akun Twitter untuk pertukaran cryptocurrency Binance men-tweet pesan yang mengatakan mereka telah bermitra dengan “CryptoForHealth” untuk memberikan kembali 5.000 bitcoin kepada komunitas, dengan tautan di mana orang dapat menyumbang atau mengirim uang. Lalu beberapa menit setelah itu beberapa tokoh penting seperti Joe Biden, CEO Amazon Jeff Bezos, Presiden Barack Obama, CEO Tesla Elon Musk, mantan Walikota New York Michael Bloomberg dan Warren Buffett juga mengirim tweet yang sama.

Walaupun mungkin terdengar konyol bahwa siapa pun dapat tertipu dan mengirim bitcoin sebagai tanggapan terhadap tweet tersebut, analisis dompet BTC yang dipromosikan oleh banyak profil Twitter yang diretas menunjukkan bahwa pada 15 Juli akun tersebut memproses 383 transaksi dan menerima hampir 13 bitcoin pada Juli 15 – atau sekitar USD $ 117.000.

Dilansir dari KrebsOnSecurity, ada indikasi kuat bahwa serangan ini dilakukan oleh individu yang secara tradisional mengkhususkan diri dalam pembajakan akun media sosial melalui “pertukaran SIM,” bentuk kejahatan yang semakin merajalela yang melibatkan menyuap, meretas atau memaksa karyawan di telepon seluler dan perusahaan media sosial untuk menyediakan akses ke akun target.

Orang-orang dalam komunitas pertukaran SIM terobsesi dengan pembajakan yang disebut akun media sosial “OG”. Singkatan dari “gangster asli,” akun OG biasanya adalah mereka yang memiliki nama akun pendek (seperti @B atau @joe).


Twitter mengeluarkan statement bahwa insiden itu disebabkan oleh serangan social-engineering yang berakibat pada pengaksesan sistem internal oleh pihak yang tidak mempunyai hak.

Insiden ini dikemas dengan rinci oleh “Lucky225”, ia mengalami sendiri peristiwa pengambil alihan akun yang diduga disebabkan oleh serangan “SIM Swapping”,  pada artikel Medium nya, ia bercerita pada Kamis pukul 2 PM EST , ia mendapatkan konfirmasi password reset melalui Google Voice pada akun  twitter @6, padahal sebelumnya ia telah mematikan SMS notifikasi pada akun tersebut.

Namun karena attacker dapat mengganti alamat email pada akun @6 dan mematikan fitur 2 FA, maka email reset password tersebut terkirim ke Google Voice dan Alamat email yang telah diganti oleh attacker.

Pada akun Twitter yang lain, @shinji memposting screenshot yang dicurigai adalah panel akun internal Twitter dengan caption “Follow @6, yang telah di ambil alih sebelumnya”

KrebsOnSecurity mendapatkan informasi bahwa akun Twitter @shinji dikatikan dengan pelaku kriminal “SIM Swapper” yang telah eksis selama beberapa tahun terakhir.

shinji juga diketahui adalah seorang mahasiswa berumur 21 tahun yang tinggal di Liverpool, U.K bernama Joseph James Connor , hal ini diketahui setelah informan mengirimkan investigator wanita untuk merayu shinji berkomunikasi via Video Call.

Dari hasil Video Call tersebut menunjukan adanya kesamaan kolam renang pada saat sesi video call dengan postingan sosisal media shinji yang lain.

 

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source : KrebsOnSecurity

Malware Android BlackRock Dapat Mencuri Kata Sandi Dan Data Kartu Dari 337 Aplikasi

by

Dilansir dari ZDNet, sebuah jenis baru malware Android telah ditemukan yang dilengkapi dengan berbagai kemampuan pencurian data yang memungkinkannya menargetkan 337 aplikasi Android.

Dinamai BlackRock, ancaman baru ini muncul pada Mei tahun ini dan ditemukan oleh perusahaan keamanan seluler ThreatFabric.

Para peneliti mengatakan bahwa malware ini didasarkan pada kode sumber yang bocor dari strain malware lain (Xerxes, yang juga bersumber dari malware strain lain) tetapi ditingkatkan dengan fitur tambahan, terutama pada sisi yang berkaitan dengan pencurian kata sandi pengguna dan informasi kartu kredit.

BlackRock masih berfungsi seperti kebanyakan trojan perbankan Android, kecuali, ia menargetkan lebih banyak aplikasi daripada sebagian besar pendahulunya.

Trojan ini akan mencuri kredensial login (nama pengguna dan kata sandi), jika tersedia, tetapi juga meminta korban untuk memasukkan detail kartu pembayaran jika aplikasi mendukung transaksi keuangan.

Menurut ThreatFabric, pengumpulan data dilakukan melalui teknik yang disebut “overlay,” yaitu teknik yang terdiri dari pendeteksian saat pengguna mencoba berinteraksi dengan aplikasi yang sah dan memperlihatkan jendela palsu di atasnya yang dapat mengumpulkan detail login korban dan data kartu sebelum mengizinkan pengguna untuk memasuki aplikasi yang sah.

Daftar lengkap aplikasi yang ditargetkan dirinci dalam laporan BlackRock.

Setelah diinstal pada perangkat, aplikasi jahat yang tercemar dengan trojan BlackRock meminta pengguna untuk memberikannya akses ke fitur Aksesibilitas telepon.

Fitur Aksesibilitas Android adalah salah satu fitur sistem operasi yang paling kuat, karena dapat digunakan untuk mengotomatiskan tugas dan bahkan melakukan taps (klik) atas nama pengguna.

BlackRock menggunakan fitur Aksesibilitas untuk memberikan dirinya akses ke izin Android lainnya dan kemudian menggunakan DPC Android (pengontrol kebijakan perangkat, alias work profile) untuk memberikan sendiri akses admin ke perangkat.

Kemudian menggunakan akses ini untuk menampilkan overlay berbahaya, tetapi ThreatFabric mengatakan trojan juga dapat melakukan operasi mengganggu lainnya, seperti:

  • Menyadap pesan SMS
  • Melakukan SMS Floods
  • Melakukan Spam Kontak dengan SMS yang telah ditentukan
  • Memulai aplikasi tertentu
  • Menyimpan log key taps(fungsionalitas keylogger)
  • Menampilkan push notification yang telah dicustom
  • Menyabotase aplikasi antivirus seluler, dan banyak lagi

Saat ini, BlackRock didistribusikan dengan menyamar sebagai paket pembaruan Google palsu yang ditawarkan di situs pihak ketiga, dan trojan tersebut belum terlihat di Play Store resmi.

Sangat disarankan kepada seluruh pengguna Android untuk tidak mengunduh aplikasi Android di luar Google PlayStore dan tetap waspada sebelum mengunduh sesuatu, baik itu dari toko resmi Google atau tidak.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Kebocoran Besar Mengungkap Iran Menargetkan Militer AS Dengan Meretas Akun Google Mereka

by

Kebocoran data yang diduga dari kru peretas Iran telah mengungkapkan bagaimana mereka mengintai kehidupan online para pejabat Amerika dengan mengambil kendali atas akun Google mereka, menurut para peneliti IBM. Peretas yang sama dilaporkan telah dikaitkan dengan serangan terhadap staf kampanye Presiden Trump, menurut laporan IBM yang dibagikan kepada Forbes.

Kebocoran 40 gigabyte ditemukan pada bulan Mei oleh IBM X-Force IRIS. Kesalahan konfigurasi sederhana pada server telah membuat data terbuka lebar bagi siapa saja yang dapat menemukan alamat web yang relevan.

Informasi yang paling terbuka datang dalam bentuk video pelatihan, salah satunya menunjukkan bagaimana para peretas, yang dijuluki ITG18 (juga disebut Charming Kitten), telah melanggar akun Google dari seorang pejabat Angkatan Laut AS.

Ada juga bukti kegagalan upaya phishing yang menargetkan akun pribadi seorang dermawan Iran-Amerika dan pejabat Departemen Luar Negeri AS, termasuk yang terkait dengan Kedutaan Virtual AS untuk Iran.

Dan kebocoran itu membongkar sejumlah persona online palsu yang digunakan para peretas untuk menargetkan orang-orang yang tertarik, dengan satu korban lainnya menjadi anggota Angkatan Laut Yunani Hellenic.

Allison Wikoff, analis senior ancaman cyber di IBM, mengatakan bahwa para pejabat militer telah diberitahu mengenai peretasan ini. Ketika Wikoff mengungkap kebocoran pada bulan Mei dengan sesama peneliti IBM Richard Emerson, ia heran bahwa video pelatihan dari kru peretas Iran telah bocor dan pada kecepatan di mana para peretas dapat menyedot data dari akun Google. Dia juga menemukan bukti bahwa ada akun Yahoo yang juga ditargetkan.

Tim keamanan Google mengungkapkan pada bulan Juni bahwa Charming Kitten telah mencoba masuk ke akun Gmail staf kampanye Trump. Microsoft sebelumnya memperingatkan juga bahwa peretas yang sama telah menargetkan staf presiden.

Baru-baru ini, ada kecurigaan bahwa ledakan di pabrik nuklir Natanz Iran awal bulan ini disebabkan oleh serangan cyber A.S. Sebuah laporan Yahoo News minggu ini menunjukkan CIA telah diberi lebih banyak kekuatan oleh Presiden Trump untuk menargetkan musuh seperti Iran dengan serangan destruktif.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Forbes

Varian Baru Malware Joker di Android

by

Analis dari Check Point Research menemukan sejumlah aplikasi yang menggunakan apa yang peneliti deskripsikan sebagai varian baru dari malware Joker dan yang bersembunyi di Google Play Store dalam “aplikasi yang tampaknya sah.”

“Kami menemukan bahwa versi Joker yang diperbarui ini dapat mengunduh malware tambahan ke perangkat, yang membuat pengguna berlangganan ke layanan premium tanpa sepengetahuan atau persetujuan mereka,” tulis tim Check Point dalam ringkasan temuan mereka. Laporan itu memberikan nama paket untuk 11 aplikasi (salah satunya terdaftar dua kali), sehingga Anda dapat menggunakan ini untuk melihat apakah salah satu dari mereka mungkin ada di ponsel Anda tetapi dengan identitas yang berbeda:

com.imagecompress.android
com.contact.withme.texts
com.hmvoice.friendsms
com.relax.relaxation.androidsms
com.cheery.message.sendsms
com.cheery.message.sendsms
com.peason.lovinglovemessage
com.file.recovefiles
com.LPlocker.lockapps
com.remindme.alram
com.training.memorygame

Untuk membuat orang berlangganan ke layanan premium tanpa mereka sadari, malware Joker tampaknya menggunakan layanan Notification Listener aplikasi asli, serta file dex dinamis yang dimuat oleh server perintah dan kontrol untuk melakukan pendaftaran pengguna yang sebenarnya. Check Point mengatakan itu adalah teknik umum bagi pengembang malware PC Windows untuk mengaburkan “sidik jari” kode mereka dengan menyembunyikan file dex sambil tetap memastikannya dapat memuat.

Google telah menghapus aplikasi di atas dari Play Store, tetapi Aviran Hazum dari Check Point mengatakan kepada salah satu outlet berita bahwa malware Joker kemungkinan akan kembali lagi dalam beberapa bentuk. “Malware Joker sulit dideteksi, meskipun ada investasi Google dalam menambahkan perlindungan Play Store. Meskipun Google menghapus aplikasi jahat dari Play Store, kami sepenuhnya dapat beranggapan bahwa Joker bisa beradaptasi lagi.”

Baca berita selengkapnya pada tautan di bawah ini;
Source: BGR | Check Point Research