Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for 2FA

2FA

Lebih dari 100.000 Kredensial Akun ChatGPT yang Dicuri Dijual di Pasar Dark Web

by

Lebih dari 101.100 kredensial akun OpenAI ChatGPT yang dikompromikan telah menemukan jalan mereka di pasar dark web ilegal antara Juni 2022 dan Mei 2023, dengan India saja yang bertanggung jawab atas 12.632 kredensial yang dicuri.

Group-IB menambahkan dalam sebuah laporan bahwa kredensial ditemukan di dalam log pencuri informasi yang tersedia untuk dijual di kejahatan siber bawah tanah.

Sejumlah besar akun ChatGPT telah disusupi oleh pencuri informasi di berbagai negara, dengan wilayah Asia-Pasifik menjadi yang paling terkena dampak.

Analisis menunjukkan bahwa sebagian besar log sejumlah 26.802 pada Mei 2023 yang berisi akun ChatGPT yang disusupi telah diambil oleh pencuri info Raccoon, diikuti oleh Vidar dan RedLine.

Distribusi geografis perangkat yang terinfeksi pencuri dengan kredensial ChatGPT Tersimpan yang teridentifikasi antara Juni 2022 dan Mei 2023
Distribusi geografis perangkat yang terinfeksi pencuri dengan kredensial ChatGPT Tersimpan yang teridentifikasi antara Juni 2022 dan Mei 2023

Pencuri informasi terkenal karena kemampuannya dalam mencuri kata sandi, cookie, kartu kredit, dan informasi lainnya dari browser, yang mana dapat diperdagangkan di pasar dark web, termasuk daftar domain yang ditemukan dalam log serta informasi tentang alamat IP host yang disusupi.

Banyak perusahaan menggunakan ChatGPT dalam operasional mereka, sehingga akun yang disusupi dapat digunakan sebagai saluran untuk meluncurkan serangan lanjutan menggunakan kredensial yang dicuri.

Pegawai menggunakan korespondensi rahasia atau bot untuk mengoptimalkan kode kepemilikan. Ini dapat mengungkapkan kecerdasan sensitif jika pelaku ancaman mendapatkan kredensial akun. Pengguna disarankan menggunakan kata sandi yang kuat dan mengaktifkan autentikasi dua faktor (2FA) untuk melindungi akunnya.

Kampanye malware saat ini memanfaatkan halaman palsu OnlyFans dan konten dewasa untuk menyebarkan trojan akses jarak jauh dan pencuri informasi, DCRat. Korban dikelabui untuk mengunduh file ZIP berisi pemuat VBScript yang dijalankan secara manual. Serangan yang telah berlangsung sejak Januari 2023 ini, mengincar pengguna dengan umpan foto eksplisit atau konten OnlyFans dari aktris film dewasa.

Ditemukan juga varian VBScript baru dari malware bernama GuLoader, yang menggunakan umpan bertema pajak untuk menjalankan skrip PowerShell, yaitu skrip yang dapat mengambil dan menyuntikkan Remcos RAT ke dalam proses Windows yang sah.

GuLoader adalah pemuat malware yang canggih untuk mengirim pencuri informasi dan Alat Administrasi Jarak Jauh (RAT). Mereka menggunakan skrip yang tersembunyi dan kode shell terenkripsi untuk menjalankan serangkaian perintah yang sulit terdeteksi.

Selengkapnya: The Hacker News

Kini Pengguna Google Workspace dapat Login tanpa ‘Password’ berkat ‘Passkeys’

by

Pasca peluncuran konsumen bulan lalu, bisnis dapat membuang ‘password’ Google mereka.

Menindaklanjuti peluncuran dukungan ‘passkey’ Google untuk akun Google konsumen pada bulan Mei, Google telah memperluas info masuk tanpa ‘password’ ke akun bisnis Google Workspace.

Peluncuran Workspace tersebut sebagai “Open Beta” dan lebih dari 9 juta organisasi dapat mengizinkan penggunanya untuk masuk ke akun Google Workspace dan Google Cloud menggunakan ‘passkey’, bukan ‘password’.

‘Passkey’ adalah pengganti ‘password’ baru, dengan dukungan dari Google, Apple, dan Microsoft. Dukungan ‘passkey’ akan membuat mesin pengguna menukar pasangan kunci pribadi-publik dengan situs web menggunakan standar “WebAuthn”.

Pengguna masuk sebagian besar implementasi Passkey menjadikan perangkat portabel. Biasanya pengguna akan mengeluarkan ponsel dan membuka kuncinya, seperti 2FA atau SMS berbasis aplikasi.

Pada intinya ini adalah sebuah evolusi ‘password’ yaitu ‘passkey’, meningkatkan keamanan ‘password’ karena pengguna tidak akan pernah dapat menuliskannya, tidak dapat digunakan kembali di seluruh situs, dan jauh lebih sulit untuk di-phish, karena browser memutuskan ‘passkey’ mana yang termasuk dalam situs mana.

Pengaturan "Tanpa Kata Sandi" Workspaces baru.
Pengaturan “Tanpa Kata Sandi” Workspaces baru.

Tentunya ‘passkey’ memiliki kekurangan salah satunya yaitu belum semua platform didukung. Halaman dukungan perangkat ‘device support’ passkeys.dev menunjukkan dukungan terbatas untuk Linux dan Chrome OS.

Kemudian implementasi ‘passkey’ Apple/Google/Microsoft juga memaksa pengguna untuk menyinkronkan ‘passkey’nya dengan vendor OS yang dimiliki, dan mereka tidak saling berkomunikasi.

‘Passkey’ hanya akan disinkronkan ke produk Microsoft OS atau produk Google OS atau produk Apple OS. Pengguna akan melihat perbedaan untuk kombinasi lintas OS seperti ponsel Android dan komputer Windows, ‘passkey’ tidak akan disinkronkan dan akan bergantung pada kode QR berbasis sistem transfer.

Selengkapnya: arsTECHNICA

Password Vault Bitwarden Ditargetkan Dalam Serangan Phishing Google Ads

by

Bitwarden dan password manager lainnya manjadi sasaran dalam kampanye phishing iklan Google untuk mencuri kredensial brankas kata sandi pengguna.

Saat perusahaan dan konsumen beralih menggunakan kata sandi unik di setiap situs, penting untuk menggunakan pengelola kata sandi untuk melacak semua kata sandi.

Namun, kecuali anda menggunakan pengelola kata sandi lokal, seperti KeePass, sebagian besar pengelola kata sandi ebrbasis cloud memungkinkan pengguna untuk mengakses kata sandi mereka melalui situs web dan aplikasi seluler.

Pengguna bitwarden yang ditargetkan oleh phishing iklan Google
Domain yang digunakan dalam iklan adalah ‘appbitwarden.com’ dan, saat diklik, mengarahkan pengguna ke situs ‘bitwardenlogin.com.’

Situs phishing Bitwarden dipromosikan melalui iklan Google
Sumber: Reddit

Halaman di ‘bitwardenlogin.com’ adalah replika persis dari halaman login Bitwarden Web Vault yang sah, seperti yang terlihat di bawah ini.

Bitwarden phishing page
Source: BleepingComputer

Dalam pengujian kami, halaman phishing akan menerima kredensial dan, setelah dikirimkan, mengarahkan pengguna ke halaman login Bitwarden yang sah.

Namun, pengujian awal kami menggunakan kredensial palsu, dan halaman ditutup saat kami mulai menguji dengan kredensial login pengujian Bitwarden yang sebenarnya.

Oleh karena itu, kami tidak dapat melihat apakah halaman phishing juga akan mencoba mencuri cookie sesi yang didukung MFA (token autentikasi) seperti banyak halaman phishing tingkat lanjut.

Melindungi brankas kata sandi Anda
Dalam hal melindungi brankas kata sandi Anda dari serangan phishing, garis pertahanan pertama selalu mengonfirmasi bahwa Anda memasukkan kredensial di situs web yang benar.

Namun, jika Anda salah memasukkan kredensial di situs phishing, Anda harus selalu mengonfigurasi autentikasi multifaktor dengan pengelola kata sandi.

Serangan phishing AiTM adalah saat pelaku ancaman menggunakan perangkat khusus seperti Evilginx2, Modlishka, dan Muraena untuk membuat halaman arahan phishing yang mewakili formulir masuk yang sah di layanan yang ditargetkan.

Dengan menggunakan metode ini, pengunjung halaman phishing akan melihat formulir masuk layanan yang sah, seperti Microsoft 365. Saat mereka memasukkan kredensial dan kode verifikasi MFA, informasi ini juga diteruskan ke situs yang sebenarnya.

Namun, begitu pengguna masuk dan situs yang sah mengirimkan cookie sesi yang didukung MFA, perangkat phishing dapat mencuri token ini untuk digunakan nanti.

phishing attack flow
The flow of an AiTM phishing attack
Source: BleepingComputer

Sayangnya, hal ini membawa kita kembali ke garis pertahanan pertama — pastikan Anda hanya memasukkan kredensial Anda di situs web atau aplikasi seluler yang sah.

selengkapnya : bleepingcomputer

Akun Comcast Xfinity Diretas Dalam Serangan Bypass 2FA yang Meluas

by

Pelanggan Comcast Xfinity melaporkan akun mereka diretas dalam serangan luas yang melewati autentikasi dua faktor. Akun yang dikompromikan ini kemudian digunakan untuk mengatur ulang kata sandi untuk layanan lain, seperti pertukaran crypto Coinbase dan Gemini.

many Xfinity email users began receiving notifications that their account information had been changed. However, when attempting to access the accounts, they could not log in as the passwords had been changed.

Mirip dengan Gmail, Xfinity memungkinkan pelanggan untuk mengonfigurasi alamat email sekunder yang akan digunakan untuk pemberitahuan akun dan pengaturan ulang kata sandi jika mereka kehilangan akses ke akun Xfinity mereka.

Email verifikasi Xfinity di kotak masuk Yopmail sekali pakai
Sumber: BleepingComputer

BleepingComputer first learned of these account hacks after numerous Xfinity customers reached out to us to share their experiences. In addition, other customers shared similar reports on Reddit [1, 2], Twitter [1, 2, 3], and Xfinity’s own support forum.

Bypass 2FA diduga beredar secara pribadi
Seorang peneliti telah memberi tahu BleepingComputer bahwa serangan dilakukan melalui serangan isian kredensial untuk menentukan kredensial masuk untuk serangan Xfinity.

Begitu mereka mendapatkan akses ke akun dan diminta untuk memasukkan kode 2FA mereka, penyerang diduga menggunakan bypass OTP yang diedarkan secara pribadi untuk situs Xfinity yang memungkinkan mereka memalsukan permintaan verifikasi 2FA yang berhasil.

Email utama Xfinity juga akan menerima pemberitahuan bahwa informasi mereka telah diubah, tetapi karena kata sandi juga telah diubah, tidak akan dapat mengaksesnya.

Email ke akun utama memperingatkan bahwa informasi telah diubah
Sumber: BleepingComputer

Begitu mereka mendapatkan akses penuh ke akun email Xfinity, pelaku ancaman mencoba untuk melanggar layanan online lebih lanjut yang digunakan oleh pelanggan, memverifikasi permintaan pengaturan ulang kata sandi ke akun email yang sekarang disusupi.

Sementara BleepingComputer tidak dapat memverifikasi keabsahan bypass OTP ini secara independen dan apakah itu telah digunakan dalam peretasan yang dilaporkan, ini akan menjelaskan bagaimana pelaku ancaman dapat memperoleh akses ke akun dengan 2FA diaktifkan.

sumber : bleeping computer

Peretas Mencuri $300.000 dalam Serangan pada Kedensial DraftKings

by

Perusahaan taruhan olahraga DraftKings mengatakan hari ini bahwa itu akan membuat seluruh pelanggan terpengaruh oleh serangan isian kredensial yang menyebabkan kerugian hingga $300.000.

Pernyataan tersebut mengikuti tweet Senin pagi yang mengatakan bahwa DraftKings sedang menyelidiki laporan [1, 2, 3, 4] tentang pelanggan yang mengalami masalah dengan akun mereka.

Beberapa korban juga mengungkapkan rasa frustrasi mereka di media sosial karena mereka tidak dapat menghubungi siapa pun di DraftKings sementara harus menyaksikan penyerang berulang kali menarik uang dari rekening bank mereka.

Perusahaan menyarankan pelanggan untuk tidak pernah menggunakan kata sandi yang sama untuk lebih dari satu layanan online dan tidak pernah membagikan kredensial mereka dengan platform pihak ketiga, termasuk pelacak taruhan dan aplikasi taruhan selain yang disediakan oleh DraftKings.

Pernyataan DraftKings tentang serangan isian kredensial (Dukungan Pelanggan DraftKings)

Ini bekerja sangat baik terhadap akun yang pemiliknya telah menggunakan kembali kredensial di berbagai platform.

Tujuannya adalah mengambil alih sebanyak mungkin akun untuk mencuri info pribadi dan keuangan terkait yang nantinya dapat dijual di web gelap atau di forum peretasan.

Itu juga melaporkan bahwa situasinya telah memburuk secara drastis tahun ini karena mencatat lebih dari 10 miliar peristiwa isian kredensial di platformnya selama tiga bulan pertama tahun 2022.

Jumlah tersebut mewakili sekitar 34% dari keseluruhan lalu lintas autentikasi yang dilacak oleh Okta, yang berarti bahwa sepertiga dari semua upaya masuk bersifat jahat dan curang.

sumber : bleeping computer

Penyerang Melewati Coinbase dan MetaMask 2FA Melalui TeamViewer, Obrolan Dukungan Palsu

by

Kampanye phishing pencuri crypto sedang dilakukan untuk melewati otentikasi multi-faktor dan mendapatkan akses ke akun di Coinbase, MetaMask, Crypto.com, dan KuCoin dan mencuri cryptocurrency.

Pelaku ancaman menyalahgunakan layanan Microsoft Azure Web Apps untuk menghosting jaringan situs phishing dan memikat korban melalui pesan phishing yang menyamar sebagai permintaan konfirmasi transaksi palsu atau deteksi aktivitas mencurigakan.

email phishing yang menyamar sebagai Coinbase
Sumber: PIXM

Saat target mengunjungi situs phishing, mereka disuguhi jendela obrolan yang seharusnya untuk ‘dukungan pelanggan’, yang dikendalikan oleh scammer yang mengarahkan pengunjung melalui proses penipuan multi-langkah.

Melewati 2FA
Fase pertama serangan di situs phishing pertukaran crypto palsu melibatkan formulir login palsu diikuti dengan prompt otentikasi dua faktor.

Terlepas dari kredensial yang dimasukkan selama tahap ini, kredensial tersebut masih akan dicuri oleh pelaku ancaman. Halaman tersebut kemudian melanjutkan ke prompt yang meminta kode 2FA yang diperlukan untuk mengakses akun.

Langkah 2FA dari situs phishing
Sumber: PIXM

Penyerang mencoba kredensial yang dimasukkan di situs web yang sah, memicu pengiriman kode 2FA ke korban, yang kemudian memasukkan 2FA yang valid di situs phishing.

Mengobrol dengan penipu
ini dilakukan dengan menampilkan pesan kesalahan palsu yang menyatakan bahwa akun telah ditangguhkan karena aktivitas yang mencurigakan dan meminta pengunjung menghubingi dukungan untuk menyelesaikan masalah tersebut

Menghasilkan kesalahan login palsu
Sumber: PIXM

“Mereka akan menanyakan nama pengguna, kata sandi, dan kode autentikasi 2 faktor kepada pengguna secara langsung di obrolan,” jelas laporan PIXM yang baru.

“Penjahat kemudian akan membawa ini langsung ke browser di mesin mereka dan kembali mencoba mengakses akun pengguna.”

Untuk akun yang berhasil dilanggar, korban masih berhubungan dengan dukungan pelanggan jika mereka perlu mengkonfirmasi transfer dana sementara para penjahat mengosongkan dompet mereka.

Tipuan Jarak Jauh
Selanjutnya, penipu meminta korban untuk masuk ke dompet cryptocurrency atau akun pertukaran mereka, dan saat mereka melakukannya, pelaku ancaman menambahkan karakter acak di bidang kata sandi untuk menyebabkan kegagalan masuk.

Penyerang kemudian meminta korban untuk menempelkan kata sandi pada obrolan TeamViewer, menggunakan kata sandi (minus karakter acak) untuk masuk ke perangkat mereka, dan kemudian merebut tautan konfirmasi perangkat yang dikirim ke korban untuk mengautentikasi perangkat mereka sebagai tepercaya.

Untuk menghindari scammed dalam serangan seperti ini, penting untuk selalu memperhatikan alamat email pengirim dan URL yang dikirim.

Jika URL ini tidak cocok dengan platform mata uang kripto, Anda harus segera menganggap email tersebut mencurigakan dan menghapusnya.

sumber : bleeping computer

Otentikasi Dua Faktor Twitter Memiliki Kerentanan – DIPERBARUI

by

Grup Media Keamanan Informasi telah menyadari bahwa peneliti keamanan lain, @BetoOnSecurity, juga mengidentifikasi kemampuan untuk mematikan SMS 2FA Twitter melalui perintah “STOP” yang dikirim sebagai kerentanan, mengingat potensi spoofing. Sumber kami secara independen mengidentifikasi kerentanan.

Peneliti keamanan memperingatkan bahwa autentikasi multifaktor di Twitter mengandung kerentanan yang memungkinkan pengambilalihan akun potensial.

Kerentanan muncul ketika Twitter memasuki minggu ketiga di bawah kepemilikan Elon Musk, periode di mana staf keamanan dan kepatuhan utama di perusahaan telah pergi, banyak karyawan dan kontraktor telah diberhentikan, dan keretakan mulai terlihat di perusahaan. teknologi yang berhadapan dengan pelanggan

Kerentanan, yang diverifikasi ISMG, memungkinkan peretas untuk memalsukan nomor telepon yang terdaftar untuk menonaktifkan otentikasi dua faktor. Itu berpotensi membuat akun terkena serangan reset kata sandi atau pengambilalihan akun melalui isian kata sandi. Twitter memungkinkan penggunaan untuk mengatur multifact

Selama masa jabatan Musk sebagai kepala eksekutif, masalah lain terkait dengan kontrol akun telah muncul – serentetan akun palsu yang menyamar sebagai merek multinasional yang tampak asli, berkat adanya tanda centang biru.

Musk tetap melanjutkan. Selama periode kira-kira dua hari selama Rabu dan Kamis, penipu menyamar sebagai perusahaan farmasi Eli Lilly dengan mengumumkan bahwa insulin sekarang akan gratis, produsen pisang Chiquita dengan mengumumkan penggulingan pemerintah Brasil, dan pembuat mobil listrik yang dipimpin Musk Tesla dengan memperpanjang menawarkan untuk mengirimkan 10.000 mobil untuk mendukung militer Ukraina.

Pada saat itu, serentetan peniruan telah menarik perhatian Partai Demokrat AS.

sumber : data breach today

Layanan Phishing Robin Banks untuk Penjahat Cyber ​​Kembali dengan Server Rusia

by

Platform phishing-as-a-service (PhaaS) yang dikenal sebagai Robin Banks telah memindahkan infrastruktur serangannya ke DDoS-Guard, penyedia layanan hosting antipeluru Rusia.

Robin Banks pertama kali didokumentasikan pada Juli 2022 ketika kemampuan platform untuk menawarkan kit phishing siap pakai kepada pelaku kriminal terungkap, sehingga memungkinkan untuk mencuri informasi keuangan pelanggan bank populer dan layanan online lainnya.

Keputusan Cloudflare untuk memblokir infrastrukturnya setelah pengungkapan publik telah mendorong aktor Robin Banks untuk memindahkan frontend dan backendnya ke DDoS-Guard,

pembaruan baru yang diperkenalkan adalah fungsi mencuri cookie, dalam apa yang dilihat sebagai upaya untuk melayani klien yang lebih luas seperti kelompok ancaman persisten tingkat lanjut (APT) yang ingin berkompromi dengan lingkungan perusahaan tertentu. Ini ditawarkan seharga $ 1.500 per bulan.

Ini dicapai dengan menggunakan kembali kode dari evilginx2,

Robin Banks juga dikatakan telah memasukkan langkah keamanan baru yang mengharuskan pelanggannya mengaktifkan otentikasi dua faktor (2FA)

sumber : the hacker news