Authentication

Gmail mendapat tanda centang verifikasi biru yang benar-benar berarti

May 5, 2023 by Søren

Terlepas dari semua ketenaran seputar “tanda centang biru” berkat Twitter Blue, verifikasi akun adalah cara yang berguna untuk mencegah penipuan, dan semakin banyak perusahaan yang menggunakannya. Meta Terverifikasi Pertama datang ke Facebook dan Instagram, dan sekarang Gmail akan memverifikasi bahwa email yang Anda terima berasal dari sumber “nyata”.

Dalam posting blog Google Workspace hari Rabu (dibuka di tab baru), perusahaan menguraikan bagaimana mereka akan menggunakan tanda centang selain sistem Indikator Merek untuk Identifikasi Pesan (BIMI) — pertama kali diadopsi pada tahun 2021 — untuk menentukan legitimasi pengirim.

BIMI memastikan bahwa hanya perusahaan yang telah memvalidasi nama domainnya dan membuktikan bahwa mereka memiliki logo merek yang dapat menampilkan logo tersebut di slot avatar di samping email. Sekarang, selain itu, pengirim yang diverifikasi BIMI juga akan memiliki tanda centang di sebelah namanya, lebih lanjut menekankan bahwa Google mengatakan bahwa mereka dapat dipercaya.

Pada contoh di bawah ini, Anda dapat melihat bagaimana, saat Anda mengarahkan kursor ke tanda centang biru di samping nama dan logo Google, sebuah kotak muncul yang bertuliskan, “Pengirim email ini telah memverifikasi bahwa mereka pemilik google.com dan logo di gambar profil.”

Dengan kata lain, Anda tidak akan mendapatkan tanda centang biru untuk memverifikasi identitas Anda dalam waktu dekat. Tetapi jika Anda mengirim email atas nama bisnis Anda, Anda dapat menyiapkan BIMI(buka di tab baru) melalui tautan Dukungan Google tersebut, dan pastikan pelanggan Anda tahu bahwa pesan Anda sah.

Selengkapnya: Android Central

Twitter Menghilangkan SMS 2FA untuk Anggota Non-Biru — Apa yang Perlu Anda Lakukan

February 20, 2023 by Coffee Bean

Twitter telah mengumumkan bahwa itu tidak akan lagi mendukung otentikasi dua faktor SMS kecuali anda membayar langganan Twitter Blue. Namun, ada opsi yang lebih aman untuk autenthikasi multi-faktor, yang kamu jelaskan di bawah.

Dalam posting blog yang dirilis minggu ini, Twitter mengatakan bahwa pengguna non-Twitter blue yang menggunakan otentikasi SMS 2FA memiliki waktu hingga 20 maret 2023 untuk beralih ke metode

Berdasarkan laporan keamanan akun Twitter, yang mencakup data antara Juli 2021 hingga Desember 2021, hanya 2,6% pengguna yang menggunakan autentikasi dua faktor. Dari pengguna tersebut, 74,4% menggunakan SMS 2FA, 28,9% menggunakan aplikasi autentikator, dan 0,5% menggunakan kunci keamanan perangkat keras.

Elon Musk mengatakan mereka membuat perubahan ini karena mereka kehilangan $60 juta per tahun karena pesan SMS palsu 2FA.

Meskipun banyak yang tidak setuju dengan bagaimana kebijakan baru ini ditangani dan diluncurkan, hal ini pada akhirnya dapat menghasilkan keamanan yang lebih baik bagi pengguna yang memilih untuk tidak berlangganan Twitter Blue.

Ini karena Anda akan dipaksa untuk menggunakan opsi yang lebih aman untuk mengamankan akun Anda.

Opsi paling aman adalah menggunakan kunci keamanan perangkat keras, seperti Google Titan atau Yubikey, yang merupakan perangkat kecil dengan konektivitas USB atau NFC untuk merespons permintaan 2FA secara otomatis dan membuat Anda masuk ke akun.

Mereka dianggap paling aman karena merupakan perangkat fisik yang harus dicolokkan ke komputer dan menjadi milik Anda untuk memasukkan Anda ke akun Anda.

Oleh karena itu, jika ada yang mendapatkan akses ke kredensial Anda, mereka tidak dapat melewati 2FA bahkan jika mereka mencuri token 2FA Anda entah bagaimana, baik melalui serangan phishing lanjutan musuh atau serangan pertukaran SIM.

Pilihan lainnya adalah menggunakan aplikasi autentikasi dua faktor, seperti Google Authenticator, Microsoft Authenticator, dan Authy.

Terlepas dari metode autentikasi yang Anda gunakan, laporan keamanan Twitter menunjukkan bahwa terlalu banyak orang yang tidak mengamankan akun mereka dengan 2FA, meskipun ini meningkatkan keamanan akun Anda.

Sangat disarankan untuk mengaktifkan 2FA di semua akun online yang Anda gunakan, termasuk Twitter, dan menggunakan autentikator atau kunci keamanan perangkat keras, karena pada akhirnya akan lebih aman.

selengkapnya : bleepingcomputer

Lebih dari 19.000 Router Cisco di Akhir Masa Pakainya Terkena Serangan RCE

January 21, 2023 by Coffee Bean

Lebih dari 19.000 router Cisco VPN akhir masa pakainya di Internet terkena serangan yang menargetkan rantai eksploitasi eksekusi perintah jarak jauh.

Dengan merantai dua kelemahan keamanan yang diungkapkan minggu lalu, pelaku ancaman dapat melewati otentikasi (CVE-2023-20025) dan menjalankan perintah sewenang-wenang (CVE-2023-2002) pada sistem operasi yang mendasari router Cisco Small Business RV016, RV042, RV042G, dan RV082 .

Cisco menilai CVE-2023-20025 sebagai kritis dan mengatakan bahwa tim Product Security Incident Response Team (PSIRT) mengetahui kode eksploit proof-of-concept yang tersedia di alam bebas.

Meskipun demikian, perusahaan juga mengatakan “belum dan tidak akan merilis pembaruan perangkat lunak yang mengatasi kerentanan ini.”

Ribuan router rentan terhadap serangan

vulnerable routers expose — Distribusi router yang rentan di seluruh dunia (Censys)

Meskipun mereka tidak akan mendapatkan pembaruan keamanan, dan Cisco mengatakan bahwa “tidak ada solusi yang mengatasi kerentanan ini”, pengguna masih dapat mengamankan perangkat mereka dari serangan dengan menonaktifkan antarmuka manajemen berbasis web dan memblokir akses ke port 443 dan 60443 untuk menggagalkan upaya eksploitasi.

selengkapnya : bleepingcomputer

Microsoft Akan Menonaktifkan Autentikasi Dasar Exchange Online pada Bulan Januari

December 21, 2022 by Coffee Bean

Microsoft memperingatkan hari ini bahwa itu akan secara permanen mematikan otentikasi dasar Exchange Online mulai awal Januari 2023 untuk meningkatkan keamanan.

Pengumuman ini muncul setelah beberapa pengingat dan peringatan yang dikeluarkan Redmond selama tiga tahun terakhir, yang pertama diterbitkan pada September 2019 dan dua lagi pada September 2021 dan Mei 2022 setelah banyak pelanggan menunda peralihan ke autentikasi modern.

CISA juga mendesak lembaga pemerintah dan organisasi sektor swasta yang menggunakan platform email cloud Microsoft Exchange pada bulan Juni untuk mempercepat perpindahan dari metode autentikasi lama tanpa dukungan autentikasi multifaktor (MFA) ke alternatif autentikasi modern.

Protokol SMTP AUTH yang digunakan untuk pengiriman email klien juga akan dinonaktifkan di semua penyewa yang tidak menggunakannya.

Protokol ini akan dinonaktifkan untuk penggunaan autentikasi dasar secara permanen selama minggu pertama bulan Januari 2023, tanpa dapat mengaktifkannya kembali.

Setelah autentikasi dasar tidak digunakan lagi, pelanggan mungkin mengalami berbagai masalah, termasuk tidak dapat masuk ke Exchange Online mulai Januari 2023.

Tim Exchange juga telah membagikan informasi mendetail tentang cara berhenti menggunakan autentikasi dasar untuk menghindari aplikasi email Exchange Online tidak lagi masuk atau terus meminta kata sandi Anda.

selengkapnya : bleeping computer

Microsoft Menemukan Ransomware didalam Driver Windows

December 14, 2022 by Coffee Bean

Microsoft telah mencabut beberapa akun pengembang perangkat keras Microsoft setelah driver yang masuk melalui profil mereka digunakan dalam serangan siber, termasuk insiden ransomware.

Berita tersebut datang dalam pengungkapan terkoordinasi antara Microsoft, Mandiant, Sophos, dan SentinelOne. Para peneliti menjelaskan bahwa pelaku ancaman menggunakan driver perangkat keras mode kernel berbahaya yang kepercayaannya telah diverifikasi dengan tanda tangan Authenticode dari Program Pengembang Perangkat Keras Windows Microsoft.

“Penyelidikan mengungkapkan bahwa beberapa akun pengembang untuk Pusat Mitra Microsoft terlibat dalam mengirimkan driver jahat untuk mendapatkan tanda tangan Microsoft.”

“Upaya baru untuk mengirimkan driver jahat untuk ditandatangani pada 29 September 2022, menyebabkan penangguhan akun penjual pada awal Oktober.”

Driver mode kernel

Hak istimewa dapat memungkinkan pengemudi untuk melakukan berbagai tugas jahat yang biasanya tidak diizinkan untuk aplikasi mode pengguna. Tindakannya termasuk menghentikan perangkat lunak keamanan, menghapus file yang dilindungi, dan bertindak sebagai rootkit untuk menyembunyikan proses lainnya.

Sejak Windows 10, Microsoft telah meminta driver perangkat keras mode kernel untuk ditandatangani melalui Program Pengembang Perangkat Keras Windows Microsoft.

Untuk alasan ini, kemampuan untuk menandatangani driver kernel-mode oleh Microsoft untuk digunakan dalam kampanye jahat adalah komoditas yang berharga.

Signing a driver via the Windows Hardware Compatibility Program
sumber: Mandiant

Toolkit digunakan untuk menghentikan perangkat lunak keamanan

Dalam laporan yang dirilis hari ini, para peneliti menjelaskan bagaimana mereka menemukan toolkit baru yang terdiri dari dua komponen bernama STONSTOP (loader) dan POORTRY (driver mode-kernel) yang digunakan dalam serangan “bawa driver rentan Anda sendiri” (BYOVD).

Karena proses perangkat lunak keamanan biasanya dilindungi dari gangguan oleh aplikasi biasa, STONESTOP memuat driver mode kernel POORTRY yang ditandatangani oleh Microsoft untuk menghentikan proses yang dilindungi terkait atau layanan Windows.

Pengemudi MISKIN ditandatangani oleh Microsoft
Sumber: BleepingComputer

Ditautkan ke ransomware dan penukar SIM
Ketiga perusahaan tersebut telah melihat perangkat yang digunakan oleh pelaku ancaman yang berbeda.

Namun, Sophos mengaitkan serangan ini dengan ‘kepercayaan tinggi’ dengan operasi ransomware Kuba, yang sebelumnya menggunakan varian malware ini.

Mandiant, di sisi lain, melihat aktor ancaman yang diidentifikasi sebagai UNC3944 menggunakan toolkit dalam serangan pada awal Agustus 2022, yang dikenal dengan serangan pertukaran SIM.

Baik Mandiant maupun SentinelOne percaya bahwa perangkat tersebut, atau setidaknya penandatanganan kode, berasal dari pemasok atau layanan yang dibayar oleh pelaku ancaman lain untuk mengaksesnya.

Tanggapan Microsoft
Microsoft telah meluncurkan pembaruan keamanan untuk mencabut sertifikat yang digunakan oleh file berbahaya dan telah menangguhkan akun yang digunakan untuk mengirimkan driver untuk ditandatangani.

Namun, Microsoft belum membagikan bagaimana driver jahat tersebut lolos dari proses peninjauan.

BleepingComputer telah menghubungi Microsoft dengan pertanyaan lebih lanjut tentang proses penasehat dan peninjauan tetapi Microsoft mengatakan mereka tidak memiliki apa-apa lagi untuk dibagikan.

sumber : bleeping computer

Pasar Malware Infostealer Meledak, Saat Kelelahan MFA Terjadi

December 7, 2022 by Coffee Bean

Aktor jahat menemukan keberhasilan dalam menyebarkan malware pencuri informasi (infostealer), menggabungkan kredensial yang dicuri dan rekayasa sosial untuk melakukan pelanggaran profil tinggi dan memanfaatkan serangan kelelahan otentikasi multifaktor (MFA).

Pasar untuk kredensial yang dikompromikan juga berkembang, menurut laporan tersebut, yang melihat secara mendalam situs pasar Rusia yang digunakan oleh grup jahat RedLine, Raccoon Stealer, Vidar, Taurus, dan AZORult untuk mendapatkan kredensial untuk dijual.

Paul Mansfield, analis intelijen ancaman dunia maya di Accenture, menjelaskan poin terpenting untuk dipahami tentang munculnya malware infostealer adalah ancaman terhadap jaringan perusahaan.

Dia menambahkan bahwa kesamaan yang dimiliki oleh kelompok orang tersebut adalah minat untuk mengumpulkan data sensitif (data pribadi dari komputer mereka, termasuk kredensial login, detail rekening bank, alamat cryptocurrency, dan data lokasi granular).

Melampaui Batas MFA
Laporan tersebut menyoroti peningkatan efektivitas serangan kelelahan MFA, yang melibatkan upaya berulang kali untuk masuk ke akun yang mengaktifkan MFA menggunakan kredensial curian, sehingga membombardir calon korban dengan permintaan push MFA.

Laporan sebelumnya menemukan bahwa sementara MFA telah diadopsi di antara organisasi sebagai cara untuk meningkatkan keamanan atas kata sandi saja, peningkatan pencurian cookie browser melemahkan keamanan tersebut.

Aktor jahat mengimbau pengguna yang “bosan” dengan beberapa pemberitahuan push yang mengklaim sebagai verifikasi faktor kedua dan dia menerimanya untuk menghilangkannya.

Villadiego menambahkan ini tentang memiliki kontrol yang tepat dan kecerdasan untuk mengurangi semua kontak dengan musuh segera setelah mereka masuk — dan untuk menahan dampak serangan terhadap organisasi.

Mansfield mengatakan ketika aktor ancaman mengamati seberapa sukses grup lain pada tahun 2022 — misalnya, mereka yang berada di belakang Raccoon Stealer, Redline Stealer, dan Vidar — lebih banyak lagi yang akan memasuki arena dan menciptakan pasar yang lebih kompetitif.

Membela Terhadap Malware Infostealer
Mansfield mengatakan organisasi dapat melindungi dari malware infostealer dengan memastikan sistem operasi dan perangkat lunak diperbarui sepenuhnya dan bahwa staf dilatih tentang cara menemukan dan menangani email dan tautan yang mencurigakan dan juga menggunakan perangkat lunak antivirus.

Villadiego menambahkan satu langkah cepat yang dapat diambil organisasi untuk menopang pertahanan terhadap malware infostealer adalah melihat ke dalam jaringan.

Dia mengatakan penting untuk mengingat serangan ini tidak terjadi dalam hitungan detik — musuh meninggalkan remah roti dan mengirim telegram apa yang akan mereka lakukan, tetapi tim keamanan TI perlu menemukan serangan itu dan memiliki cara untuk menanggapinya secara real time.

sumber : dark reading

Upaya Microsoft untuk Mengeraskan Autentikasi Kerberos Merusaknya di Server Windows

November 23, 2022 by Coffee Bean

Microsoft meluncurkan perbaikan untuk masalah dengan protokol otentikasi jaringan Kerberos di Windows Server setelah rusak oleh pembaruan November Patch Tuesday/ Patch November Selasa.

Seperti yang kami laporkan minggu lalu, pembarauan yang dirilis 8 november atau lebih baru yang diinstal pada windows server dengan tugas pengontrol domain untuk mengelola jaringan dan permintaan keamanan indentitas mengganggu kemampuan otentikasi kerberos, mulai dari kegagalan dalam masuk pengguna domain dan otentikasi aun layanan yang dikelola grup ke koneksi desktop jarak jauh tidak terhubung.

Ada juga masalah lain termasuk pengguna tidak dapat mengakses folder bersama di workstation dan koneksi printer yang memerlukan otentikasi pengguna domain gagal.

Minggu lalu, Microsoft mengeluarkan pembaruan out-of-band (OOB) darurat yang dapat diinstal di semua Pengontrol Domain, mengatakan bahwa pengguna tidak perlu menginstal pembaruan lain atau membuat perubahan pada server lain atau perangkat klien untuk mengatasi masalah tersebut. Juga, solusi apa pun yang digunakan untuk mengurangi masalah tidak lagi diperlukan dan harus dihapus, tulis perusahaan itu.

Kerberos digunakan untuk mengotentikasi permintaan layanan antara beberapa host tepercaya di jaringan yang tidak tepercaya seperti internet, menggunakan kriptografi kunci rahasia dan pihak ketiga tepercaya untuk mengotentikasi aplikasi dan identitas pengguna. Itu dibuat pada 1980-an oleh para peneliti di MIT.

Microsoft mulai menggunakan Kerberos di Windows 2000 dan sekarang menjadi alat otorisasi default di OS. Versi lain Kerberos – yang dikelola oleh Kerberos Consortium – tersedia untuk sistem operasi lain termasuk Apple OS, Linux, dan Unix.

Pengguna sistem Windows dengan bug berkemungkinan bertemu dengan pemberitahuan “Microsoft-Windows-Kerberos-Key-Distribution-Center Event ID 14 error event” pemberitahuan di bagian Sistem Log Peristiwa pada Pengontrol Domain mereka dengan teks yang menyertakan: ” Saat memproses permintaan AS untuk layanan target , akun tidak memiliki kunci yang sesuai untuk membuat tiket Kerberos (kunci yang hilang memiliki ID 1).”

Microsoft juga telah meluncurkan pembaruan kumulatif untuk diinstal pada Pengontrol Domain: Windows Server 2022 (KB5021656), Windows Server 2019 (KB5021655), dan Windows Server 2016 (KB5021654). ®

sumber : the regiser

Penyerang Melewati Coinbase dan MetaMask 2FA Melalui TeamViewer, Obrolan Dukungan Palsu

November 22, 2022 by Coffee Bean

Kampanye phishing pencuri crypto sedang dilakukan untuk melewati otentikasi multi-faktor dan mendapatkan akses ke akun di Coinbase, MetaMask, Crypto.com, dan KuCoin dan mencuri cryptocurrency.

Pelaku ancaman menyalahgunakan layanan Microsoft Azure Web Apps untuk menghosting jaringan situs phishing dan memikat korban melalui pesan phishing yang menyamar sebagai permintaan konfirmasi transaksi palsu atau deteksi aktivitas mencurigakan.

email phishing yang menyamar sebagai Coinbase
Sumber: PIXM

Saat target mengunjungi situs phishing, mereka disuguhi jendela obrolan yang seharusnya untuk ‘dukungan pelanggan’, yang dikendalikan oleh scammer yang mengarahkan pengunjung melalui proses penipuan multi-langkah.

Melewati 2FA
Fase pertama serangan di situs phishing pertukaran crypto palsu melibatkan formulir login palsu diikuti dengan prompt otentikasi dua faktor.

Terlepas dari kredensial yang dimasukkan selama tahap ini, kredensial tersebut masih akan dicuri oleh pelaku ancaman. Halaman tersebut kemudian melanjutkan ke prompt yang meminta kode 2FA yang diperlukan untuk mengakses akun.

Langkah 2FA dari situs phishing
Sumber: PIXM

Penyerang mencoba kredensial yang dimasukkan di situs web yang sah, memicu pengiriman kode 2FA ke korban, yang kemudian memasukkan 2FA yang valid di situs phishing.

Mengobrol dengan penipu
ini dilakukan dengan menampilkan pesan kesalahan palsu yang menyatakan bahwa akun telah ditangguhkan karena aktivitas yang mencurigakan dan meminta pengunjung menghubingi dukungan untuk menyelesaikan masalah tersebut

Menghasilkan kesalahan login palsu
Sumber: PIXM

“Mereka akan menanyakan nama pengguna, kata sandi, dan kode autentikasi 2 faktor kepada pengguna secara langsung di obrolan,” jelas laporan PIXM yang baru.

“Penjahat kemudian akan membawa ini langsung ke browser di mesin mereka dan kembali mencoba mengakses akun pengguna.”

Untuk akun yang berhasil dilanggar, korban masih berhubungan dengan dukungan pelanggan jika mereka perlu mengkonfirmasi transfer dana sementara para penjahat mengosongkan dompet mereka.

Tipuan Jarak Jauh
Selanjutnya, penipu meminta korban untuk masuk ke dompet cryptocurrency atau akun pertukaran mereka, dan saat mereka melakukannya, pelaku ancaman menambahkan karakter acak di bidang kata sandi untuk menyebabkan kegagalan masuk.

Penyerang kemudian meminta korban untuk menempelkan kata sandi pada obrolan TeamViewer, menggunakan kata sandi (minus karakter acak) untuk masuk ke perangkat mereka, dan kemudian merebut tautan konfirmasi perangkat yang dikirim ke korban untuk mengautentikasi perangkat mereka sebagai tepercaya.

Untuk menghindari scammed dalam serangan seperti ini, penting untuk selalu memperhatikan alamat email pengirim dan URL yang dikirim.

Jika URL ini tidak cocok dengan platform mata uang kripto, Anda harus segera menganggap email tersebut mencurigakan dan menghapusnya.

sumber : bleeping computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Authentication

Cookies Settings