Cybersecurity

Badan Kejahatan Nasional memperingatkan pedagang pemula dan veteran sama-sama meningkat dalam penipuan perusahaan klon

January 29, 2021 by Mally

Pada hari Rabu, Badan Kejahatan Nasional (NCA) Inggris dan Otoritas Perilaku Keuangan (FCA) mengeluarkan peringatan kepada publik tentang penipuan “perusahaan kloning” yang tampaknya tidak hanya mengklaim investor pemula tetapi juga pemain veteran di pasar.

FCA mengatakan bahwa bentuk penipuan ini sedang meningkat, dengan peningkatan tingkat yang dilaporkan sejak Inggris melakukan lockdown pertama selama Maret 2020.

Secara total, investor telah kehilangan lebih dari £78 juta ($107 juta), angka yang kemungkinan akan terus meningkat. Kerugian rata-rata dilaporkan sebagai £45.242 per korban, menurut penelitian Action Fraud.

Penipuan investasi perusahaan klon melampaui email phishing biasa atau tautan media sosial yang meragukan yang menjanjikan pengembalian langsung atas uang Anda. Penipu menggunakan nama, alamat, dan Nomor Referensi Perusahaan (FRN) yang sama yang dikeluarkan untuk perusahaan investasi resmi oleh FCA dan kemudian selama phishing, media sosial, dan pesan cold-call, mereka mengirimkan materi penjualan yang berisi tautan ke situs web perusahaan yang sah.

Namun, penyamaran hanya berlaku sejauh ini: begitu kepercayaan terbentuk, investor tertipu untuk berpisah dengan dana yang ditujukan untuk perusahaan yang sah, hanya agar uang mereka langsung masuk ke pundi-pundi penipu.

Selengkapnya: ZDNet

519 pemberitahuan pelanggaran data termasuk 33 dari entitas pemerintah Australia

January 29, 2021 by Mally

Entitas Australia yang dicakup oleh Privacy Act melaporkan 519 kasus pelanggaran data dalam enam bulan hingga Desember 2020, meningkat 5% dari paruh pertama tahun ini.

Pemberitahuan pelanggaran data ke Kantor Komisaris Informasi Australia (OAIC) menjadi wajib di bawah skema Notifiable Data Breaches (NDB) pada Februari 2018.

Sejak mandat tersebut, kesehatan telah menjadi sektor yang paling terpengaruh; Laporan terbaru tidak menunjukkan perubahan, dengan perhitungan kesehatan sebanyak 123 pemberitahuan, diikuti oleh bagian keuangan dengan 83 pemberitahuan. Pemerintah Australia memasuki lima sektor teratas untuk pertama kalinya, terhitung 6% dari total, dengan 33 pemberitahuan.

Menggali lebih dalam tentang kecerobohan pemerintah, kesalahan manusia adalah penyebab dari 29 dari total pemberitahuan sektor, dua berasal dari serangan jahat atau kriminal, satu dikaitkan dengan “insiden siber”, dan yang lainnya disebabkan rekayasa sosial/peniruan identitas.

“Insiden siber” dikonfirmasi sebagai serangan brute force pada entitas yang tidak disebutkan namanya.

Jenis kesalahan manusia yang paling umum disalahkan atas pemberitahuan pemerintah adalah informasi pribadi yang dikirim ke penerima yang salah. Kegagalan untuk menyunting adalah penyebab lima pemberitahuan.

Selengkapnya: ZDNet

Pihak berwenang berencana untuk menghapus Emotet secara massal dari host yang terinfeksi pada 25 April 2021

January 29, 2021 by Mally

Petugas penegak hukum di Belanda sedang dalam proses mengirimkan pembaruan Emotet yang akan menghapus malware dari semua komputer yang terinfeksi pada 25 April 2021.

Pembaruan ini terjadi setelah lembaga penegak hukum dari delapan negara mengatur penghapusan terkoordinasi minggu ini untuk menyita server dan menangkap individu di belakang Emotet, yang dianggap sebagai botnet malware terbesar saat ini.

Sementara server terletak di beberapa negara, pejabat Belanda mengatakan bahwa dua dari tiga server komando dan kendali utama (C&C) Emotet terletak di dalam perbatasannya.

Pejabat polisi Belanda mengatakan bahwa mereka menggunakan akses mereka ke dua server penting ini untuk menyebarkan pembaruan Emotet yang di-boobytrap ke semua host yang terinfeksi.

Menurut laporan publik, juga dikonfirmasi oleh ZDNet dengan dua firma keamanan siber yang secara historis melacak operasi Emotet, pembaruan ini berisi kode seperti bom waktu yang akan menghapus malware Emotet pada 25 April 2021, pada pukul 12:00, waktu lokal setiap komputer.

Selengkapnya: ZDNet

Bot Telegram Menjual Info Pengguna Facebook yang Dicuri seharga $ 20 per Pop

January 28, 2021 by Mally

Nomor telepon (dan ID situs terkait) dari sekitar 500 juta pengguna Facebook sekarang tampaknya dijual di forum kejahatan siber.

Penjahat atau sekelompok penjahat yang bertanggung jawab telah membangun bot Telegram untuk bertindak sebagai fungsi pencarian data.

Calon pembeli kini dapat menggunakan bot untuk menyaring data guna menemukan nomor telepon yang sesuai dengan ID pengguna — atau sebaliknya — dengan informasi lengkap dibuka kuncinya setelah membayar kueri “kredit”. Kredit tersebut mulai dari $20 untuk satu pencarian dan menjadi lebih murah jika dibeli dalam jumlah besar.

Aktivitas tersebut ditemukan oleh Alon Gal, salah satu pendiri dan CTO perusahaan keamanan siber Hudson Rock, yang memposting tentang skema tersebut di akun Twitter-nya, dan dilaporkan oleh Joseph Cox, di Motherboard.

In early 2020 a vulnerability that enabled seeing the phone number linked to every Facebook account was exploited, creating a database containing the information 533m users across all countries.

It was severely under-reported and today the database became much more worrisome 1/2 pic.twitter.com/ryQ5HuF1Cm

— Alon Gal (Under the Breach) (@UnderTheBreach) January 14, 2021

Sumber: Gizmodo

ASIC melaporkan adanya server yang dibobol melalui kerentanan Accellion

January 28, 2021 by Mally

Komisi Sekuritas dan Investasi Australia (ASIC) mengatakan salah satu servernya dibobol pada 15 Januari.

“Insiden ini terkait dengan perangkat lunak Accellion yang digunakan oleh ASIC untuk mentransfer file dan lampiran,” kata regulator perusahaan dalam pemberitahuan yang diposting pada malam sebelum hari libur.

“Ini melibatkan akses tidak sah ke server yang berisi dokumen yang terkait dengan aplikasi lisensi kredit Australia baru-baru ini.”

ASIC mengatakan sementara beberapa “informasi terbatas” telah dilihat, ASIC tidak melihat bukti bahwa formulir aplikasi telah diunduh atau dibuka. Regulator mengatakan akses ke server telah dinonaktifkan dan mereka sedang bekerja pada pengaturan lain.

“ASIC bekerja dengan Accellion dan telah memberi tahu agensi terkait serta pihak yang terkena dampak untuk menanggapi dan mengelola insiden tersebut.”

Selengkapnya: ZDNet

Empat vendor keamanan mengungkapkan insiden terkait SolarWinds

January 28, 2021 by Mally

Seperti yang diramalkan sebagian besar ahli bulan lalu, dampak dari serangan rantai pasokan SolarWinds semakin besar seiring berjalannya waktu, dan perusahaan memiliki waktu untuk mengaudit jaringan internal dan log DNS.

Minggu ini, empat vendor keamanan siber baru – Mimecast, Palo Alto Networks, Qualys, dan Fidelis – telah menambahkan nama mereka ke daftar perusahaan yang telah menginstal versi trojan dari aplikasi SolarWinds Orion.

Dua minggu lalu, Mimecast mengungkapkan pelanggaran keamanan besar di mana peretas membobol jaringannya dan menggunakan sertifikat digital yang digunakan oleh salah satu produk keamanannya untuk mengakses akun Microsoft 365 dari beberapa pelanggannya.

Dalam pembaruan di blognya, Mimecast mengatakan pihaknya menautkan insiden ini ke aplikasi SolarWinds Orion yang terinstal di jaringannya.

Vendor keamanan besar lainnya yang mengungkapkan insiden terkait SolarWinds adalah Palo Alto Networks, vendor perangkat lunak keamanan siber dan peralatan jaringan. Palo Alto Networks mengatakan mendeteksi dua insiden keamanan pada September dan Oktober 2020 yang terkait dengan perangkat lunak SolarWinds.

Laporan Forbes juga mengutip temuan Erik Hjelmvik, pendiri perusahaan keamanan jaringan Netresec, yang menerbitkan pada sebuah laporan hari Senin yang merinci 23 domain baru yang digunakan oleh peretas SolarWinds untuk menyebarkan muatan tahap kedua ke jaringan yang terinfeksi yang mereka anggap bernilai tinggi.

Dua dari 23 domain baru ini adalah “corp.qualys.com”, yang menunjukkan bahwa raksasa audit keamanan siber Qualys mungkin telah menjadi sasaran para penyerang.

Pengungkapan besar keempat dan terbaru datang dari Fidelis Cybersecurity dalam bentuk posting blog dari CISO perusahaan, Chris Kubic. Eksekutif Fidelis mengatakan bahwa mereka juga telah menginstal versi trojan dari aplikasi SolarWinds Orion pada Mei 2020 sebagai bagian dari “evaluasi perangkat lunak”.

Selengkapnya: ZDNet

NAT Slipstreaming v2.0: Varian Serangan Baru Dapat Memaparkan Semua Perangkat Jaringan Internal ke Internet

January 27, 2021 by Mally

Peneliti Armis Ben Seri dan Gregory Vishnepolsky telah menemukan varian baru untuk teknik bypass NAT yang dikenal sebagai NAT Slipstreaming, dan telah bekerja dengan peneliti keamanan Samy Kamkar (yang awalnya mengungkapkan teknik tersebut pada 31 Oktober 2020) untuk lebih memahami serangan tersebut, dan memitigasi serangan tersebut.

Penemuan baru ini mencakup metode untuk melewati NAT dan firewall untuk menjangkau perangkat apa pun di jaringan internal. Sementara serangan asli sebagian dimitigasi oleh tambalan dari browser, varian baru memperkenalkan teknik primitif tambahan yang melewati mitigasi ini.

Dampak serangan terhadap perangkat yang tidak dikelola dapat menjadi parah, mulai dari gangguan hingga serangan ransomware yang sangat parah.

NATs/firewall tingkat perusahaan dari Fortinet, Cisco, dan HPE dipastikan terpengaruh, sementara yang lain kemungkinan juga terpengaruh.

Kolaborasi tersebut menghasilkan pengungkapan keamanan dengan vendor browser untuk mengurangi serangan tersebut. Google, Apple, Mozilla dan Microsoft telah merilis tambalan untuk Chrome, Safari, Firefox dan Edge, yang memitigasi varian baru ini.

Selama sebulan terakhir, semua browser yang disebutkan di atas telah merilis versi yang berisi mitigasi terhadap serangan ini (Chrome v87.0.4280.141, Firefox v85.0, Safari v14.0.3). Browser Microsoft Edge sekarang juga ditambal, karena bergantung pada kode sumber Chromium. Chromium melacak varian baru melalui CVE-2020-16043, sementara Firefox melacaknya melalui CVE-2021-23961.

Selengkapnya: Armis

Penjahat siber menggunakan akun staf yang telah meninggal untuk menyebarkan ransomware Nemty

January 27, 2021 by Mally

Dalam studi kasus yang didokumentasikan oleh kelompok cyberforensik Sophos, Rapid Response pada hari Selasa, sebuah organisasi menghubungi setelah terinfeksi oleh ransomware Nemty.

Menurut Sophos, ransomware – juga dikenal sebagai Nefilim – memengaruhi lebih dari 100 sistem, mengenkripsi file berharga dan menuntut pembayaran dengan imbalan kunci dekripsi.

Selama penyelidikan terhadap sumber infeksi, Sophos mempersempit intrusi jaringan asli ke akun administrator tingkat tinggi. Selama sebulan, para pelaku ancaman diam-diam menjelajahi sumber daya perusahaan, mendapatkan kredensial akun admin domain, dan mengeksfiltrasi data senilai ratusan gigabyte.

Setelah penyerang siber menyelesaikan pengintaian mereka dan mengambil semua yang berharga, Nemty dikerahkan.

Tim keamanan siber menanyakan siapa pemilik akun dengan hak istimewa tinggi. Perusahaan korban mengatakan bahwa akun itu milik mantan anggota staf yang meninggal sekitar tiga bulan sebelum gangguan siber tersebut.

Alih-alih mencabut akses dan menutup akun ‘hantu’, perusahaan memilih untuk tetap mengaktifkan dan terbuka “karena ada layanan yang digunakan untuk itu.”

Sophos menyarankan bahwa setiap akun hantu yang diizinkan untuk tetap terhubung ke sumber daya perusahaan setelah pengguna tidak membutuhkannya harus menonaktifkan login interaktif, atau jika akun tersebut benar-benar diperlukan, akun layanan harus dibuat sebagai gantinya.

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings