OTP

Aplikasi Android Berbahaya Ditemukan Mendukung Layanan Pembuatan Akun

November 30, 2022 by Coffee Bean

Aplikasi SMS Android palsu, dengan 100.000 unduhan di Google Play Store, telah ditemukan secara diam-diam bertindak sebagai relai SMS untuk layanan pembuatan akun untuk situs seperti Microsoft, Google, Instagram, Telegram, dan Facebook.

Seorang peneliti mengatakan perangkat yang terinfeksi kemudian disewakan sebagai “nomor virtual” untuk menyampaikan kode sandi satu kali yang digunakan untuk memverifikasi pengguna saat membuat akun baru.

many user reviews complain that it is fake, hijacks their phones, and generates multiple OTPs (one-time passwords) upon installation.

Aplikasi Symoo dan ulasan pengguna di Google Play

Symoo ditemukan oleh peneliti keamanan Evina Maxime Ingrao, yang melaporkannya ke Google tetapi belum mendapat kabar dari tim Android. Pada saat penulisan, aplikasi tetap tersedia di Google Play.

Merutekan kode 2FA
Di layar pertama, ia meminta pengguna untuk memberikan nomor telepon mereka; setelah itu, itu melapisi layar pemuatan palsu yang seharusnya menunjukkan kemajuan memuat sumber daya.

Namun, proses ini diperpanjang, memungkinkan operator jarak jauh mengirim beberapa teks SMS 2FA (otentikasi dua faktor) untuk membuat akun di berbagai layanan, membaca kontennya, dan meneruskannya kembali ke operator.

Setelah selesai, aplikasi akan membeku, tidak pernah mencapai antarmuka SMS yang dijanjikan, sehingga pengguna biasanya akan mencopot pemasangannya.

aplikasi tersebut telah menggunakan nomor telepon pengguna Android untuk membuat akun palsu di berbagai platform online, dan peninjau mengatakan bahwa pesan mereka sekarang diisi dengan kode akses satu kali untuk akun yang tidak pernah mereka buat.

Menjual akun
Pengembang aplikasi ‘Nomor Virtual’ juga membuat aplikasi lain di Google Play yang disebut ‘ActivationPW – Nomor virtual’, diunduh 10.000 kali, yang menawarkan “Nomor online dari lebih dari 200 negara” yang dapat Anda gunakan untuk membuat akun.

Dengan menggunakan aplikasi ini, pengguna dapat “menyewa” nomor dengan harga kurang dari setengah dolar dan, dalam banyak kasus, menggunakan nomor tersebut untuk memverifikasi akun.

It is believed that the Symoo app is used to receive and forward OTP verification codes generated when people create accounts using ActivationPW.

sumber : bleeping computer

Bot Pencuri One-Time Passwords Menyederhanakan Skema Penipuan

July 29, 2022 by Eevee

Kata sandi satu kali (OTP) adalah bentuk otentikasi multi-faktor (MFA) yang sering digunakan untuk memberikan lapisan perlindungan tambahan di luar kata sandi dasar.

OTP adalah kata sandi dinamis yang biasanya terdiri dari 4 hingga 8 angka tetapi terkadang juga menyertakan huruf.

Cara utama untuk memberikan kode OTP kepada pengguna adalah melalui SMS, email, atau aplikasi otentikasi seluler seperti Authy. Karena OTP melindungi akun korban dari akses atau transaksi yang tidak sah, penjahat dunia maya terus mengembangkan berbagai cara untuk mem-bypass dan mengatasinya.

Selama setahun terakhir, pelaku ancaman telah semakin mengembangkan, mengiklankan, dan menggunakan bot untuk mengotomatiskan pencurian OTP, membuatnya lebih mudah dan lebih murah bagi pelaku ancaman untuk melewati perlindungan OTP dalam skala besar.

Karena bot pemintas OTP memerlukan sedikit keahlian teknis dan keterampilan bahasa yang minimal untuk beroperasi, bot pemintas OTP juga meningkatkan jumlah pelaku ancaman yang mampu melewati perlindungan OTP.

Bot bypass OTP biasanya berfungsi dengan mendistribusikan panggilan suara atau pesan SMS ke target, meminta target untuk memasukkan OTP, dan, jika berhasil, mengirimkan OTP yang dimasukkan kembali ke pelaku ancaman yang mengoperasikan bot.

Tercatat Analis masa depan mengidentifikasi dan menguji bot bypass OTP open-source bernama “SMSBypassBot” yang diiklankan di saluran Telegram yang berfokus pada penipuan dan mengonfirmasi bahwa itu berfungsi seperti yang diiklankan dan mudah dikonfigurasi dan digunakan.

Meningkatnya penggunaan OTP oleh berbagai layanan yang sah (terutama untuk mengautentikasi login akun online, transfer uang, dan pembelian 3-Domain Secure-enabled [3DS]) menciptakan permintaan kriminal dunia maya paralel untuk metode memperoleh dan melewati OTP.

Key Findings

Aktivitas forum web gelap terkait dengan bypass OTP (diukur dengan volume postingan dan penayangan postingan terkait topik) meningkat tajam pada tahun 2020 dan tetap tinggi sejak saat itu.
Metode tradisional untuk melewati OTP (melakukan pertukaran kartu SIM, pemaksaan kasar, menyalahgunakan sistem otentikasi yang tidak dikonfigurasi dengan baik, dan rekayasa sosial manual) telah menjadi memakan waktu dan lebih menantang secara teknis.
Bot bypass OTP menggabungkan teknik rekayasa sosial dan phishing suara (vishing) dengan antarmuka yang mudah digunakan untuk menyediakan metode yang sebagian otomatis, terjangkau, dan skalabel untuk mendapatkan OTP korban.
Latar belakang
Otentikasi multi-faktor (MFA) memberikan lapisan keamanan tambahan lebih dari sekadar kata sandi statis, dengan Microsoft melaporkan bahwa MFA dapat memblokir lebih dari 99,9% serangan kompromi akun. Kata sandi satu kali (OTP) adalah bentuk MFA yang menggunakan string karakter yang dibuat secara otomatis (biasanya nilai numerik tetapi terkadang alfanumerik) untuk mengautentikasi pengguna.

Penyedia layanan, lembaga keuangan, dan pedagang menggunakan OTP untuk berbagai tujuan termasuk mengautentikasi login akun online, transfer uang, dan transaksi kartu pembayaran berkemampuan 3DS. Peningkatan adopsi OTP selama dekade terakhir telah menyebabkan pelaku ancaman untuk mengembangkan metode melewati OTP untuk mendapatkan akses tidak sah ke akun online dan melakukan transfer uang dan transaksi penipuan.

Sumber: Recorded Future

Peretas mencuri akun WhatsApp menggunakan trik penerusan panggilan

June 3, 2022 by Eevee

Ada trik yang memungkinkan penyerang untuk membajak akun WhatsApp korban dan mendapatkan akses ke pesan pribadi dan daftar kontak.

Metode ini bergantung pada layanan otomatis operator seluler untuk meneruskan panggilan ke nomor telepon yang berbeda, dan opsi WhatsApp untuk mengirim kode verifikasi kata sandi satu kali (OTP) melalui panggilan suara.

Rahul Sasi, pendiri dan CEO perusahaan perlindungan risiko digital CloudSEK, memposting beberapa detail tentang metode yang digunakan untuk meretas akun WhatsApp..

Hanya butuh beberapa menit bagi penyerang untuk mengambil alih akun WhatsApp korban, tetapi mereka perlu mengetahui nomor telepon target dan bersiap untuk melakukan beberapa rekayasa sosial.

Sasi mengatakan bahwa penyerang pertama-tama perlu meyakinkan korban untuk melakukan panggilan ke nomor yang dimulai dengan kode Man Machine Interface (MMI) yang diatur oleh operator seluler untuk mengaktifkan penerusan panggilan.

Tergantung pada operatornya, kode MMI yang berbeda dapat meneruskan semua panggilan ke terminal ke nomor yang berbeda atau hanya ketika saluran sedang sibuk atau tidak ada penerimaan.

Kode-kode ini dimulai dengan simbol bintang (*) atau tanda pagar (#). Mereka mudah ditemukan dan dari penelitian yang kami lakukan, semua operator jaringan seluler besar mendukungnya.

Peneliti menjelaskan bahwa 10 digit nomor adalah milik penyerang dan kode MMI di depannya memberitahu operator seluler untuk meneruskan semua panggilan ke nomor telepon yang ditentukan setelahnya ketika saluran korban sibuk.

Begitu mereka menipu korban untuk meneruskan panggilan ke nomor mereka, penyerang memulai proses pendaftaran WhatsApp di perangkat mereka, memilih opsi untuk menerima OTP melalui panggilan suara.

WhatsApp mengirimkan kode OTP melalui teks atau panggilan suara
Opsi WhatsApp untuk menerima kata sandi satu kali, sumber: BleepingComputer

Setelah mereka mendapatkan kode OTP, penyerang dapat mendaftarkan akun WhatsApp korban di perangkat mereka dan mengaktifkan otentikasi dua faktor (2FA), yang mencegah pemilik sah mendapatkan kembali akses.

Meskipun metodenya tampak sederhana, membuatnya bekerja membutuhkan sedikit lebih banyak usaha, seperti yang ditemukan BleepingComputer selama pengujian.

Pertama, penyerang perlu memastikan bahwa mereka menggunakan kode MMI yang meneruskan semua panggilan, terlepas dari status perangkat korban (tanpa syarat). Misalnya, jika MMI hanya meneruskan panggilan saat saluran sedang sibuk, panggilan tunggu dapat menyebabkan pembajakan gagal.

Selama pengujian, BleepingComputer memperhatikan bahwa perangkat target juga menerima pesan teks yang menginformasikan bahwa WhatsApp sedang terdaftar di perangkat lain.

Pengguna mungkin melewatkan peringatan ini jika penyerang juga beralih ke manipulasi psikologis dan melibatkan target dalam panggilan telepon cukup lama untuk menerima kode OTP WhatsApp melalui suara.

Jika penerusan panggilan telah diaktifkan pada perangkat korban, penyerang harus menggunakan nomor telepon yang berbeda dari yang digunakan untuk pengalihan – ketidaknyamanan kecil yang mungkin memerlukan lebih banyak rekayasa sosial.

Petunjuk paling jelas tentang aktivitas mencurigakan bagi pengguna target terjadi setelah operator seluler mengaktifkan penerusan panggilan untuk perangkat mereka, karena aktivasi disertai dengan peringatan yang dihamparkan di layar yang tidak akan hilang hingga pengguna mengonfirmasikannya.

Peringatan operator seluler tentang aktivasi penerusan panggilan
Operator seluler memperingatkan pengguna saat penerusan panggilan menjadi aktif, sumber: BleepingComputer

Bahkan dengan peringatan yang sangat terlihat ini, pelaku ancaman masih memiliki peluang sukses yang baik karena sebagian besar pengguna tidak terbiasa dengan kode MMI atau pengaturan ponsel yang menonaktifkan penerusan panggilan.

Terlepas dari hambatan ini, pelaku kejahatan dengan keterampilan rekayasa sosial yang baik dapat merancang skenario yang memungkinkan mereka membuat korban sibuk di telepon sampai mereka mendapatkan kode OTP untuk mendaftarkan akun WhatsApp korban di perangkat mereka.

Postingan Sasi mengacu pada operator seluler Airtel dan Jio, masing-masing dengan lebih dari 400 juta pelanggan pada Desember 2020, menurut data publik.

Melindungi dari serangan jenis ini semudah mengaktifkan perlindungan otentikasi dua faktor di WhatsApp. Fitur ini mencegah pelaku jahat mendapatkan kendali atas akun dengan meminta PIN setiap kali Anda mendaftarkan ponsel ke aplikasi perpesanan.

Sumber: Bleeping Computer

Bot yang Mencuri Kode 2FA Sedang Populer Di Pasar Bawah Tanah

November 4, 2021 by Winnie the Pooh

Panggilan itu datang dari sistem pencegahan penipuan PayPal. Seseorang telah mencoba menggunakan akun PayPal saya untuk menghabiskan $58,82, menurut suara otomatis di telepon. PayPal perlu memverifikasi identitas saya untuk memblokir transfer.

“Untuk mengamankan akun Anda, silakan masukkan kode yang kami kirimkan ke perangkat seluler Anda sekarang,” kata suara itu. PayPal terkadang mengirimkan kode kepada pengguna untuk melindungi akun mereka. Setelah memasukkan string enam digit, suara itu berkata, “Terima kasih, akun Anda telah diamankan dan permintaan ini telah diblokir.”

“Jangan khawatir jika ada pembayaran yang telah dibebankan ke akun Anda: kami akan mengembalikannya dalam waktu 24 hingga 48 jam. ID referensi Anda adalah 1549926. Sekarang Anda dapat menutup telepon,” kata suara itu.

Tapi panggilan ini sebenarnya dari seorang hacker. Penipu menggunakan jenis bot yang secara drastis merampingkan proses peretas untuk mengelabui korban agar menyerahkan kode otentikasi multi-faktor atau kata sandi satu kali (OTP) mereka untuk semua jenis layanan, membiarkan mereka masuk atau mengotorisasi transaksi transfer tunai. Berbagai bot menargetkan Apple Pay, PayPal, Amazon, Coinbase, dan berbagai bank tertentu.

Motherboard meminta seseorang bernama Kaneki yang menjual salah satu bot ini secara online untuk mendemonstrasikan kemampuannya dengan mengirimkan panggilan otomatis ke telepon reporter Motherboard. Setelah memasukkan kode, Kaneki menunjukkan bot mereka telah menerima kode yang sama.

Dengan bot yang berharga beberapa ratus dolar ini, siapa pun dapat mulai mendapatkan otentikasi multi-faktor, tindakan keamanan yang mungkin diasumsikan oleh banyak anggota masyarakat sebagian besar aman.

Untuk membobol akun, seorang peretas akan membutuhkan nama pengguna atau alamat email dan kata sandi korban. Mereka mungkin bersumber dari pelanggaran data sebelumnya yang berisi kredensial yang digunakan kembali oleh banyak orang di internet. Atau mereka dapat membeli satu set “log bank”—detail login—dari seorang spammer, kata OPTGOD777. Tetapi korban mungkin mengaktifkan otentikasi multi-faktor, di situlah bot masuk.

Baik di Telegram atau Discord, peretas memasukkan nomor telepon target mereka dan platform yang ingin dibobol peretas. Di latar belakang, bot kemudian menempatkan panggilan otomatis ke target.

Ketika bot melakukan panggilan otomatis dan meminta korban untuk memasukkan kode yang baru saja mereka terima, peretas akan secara bersamaan memicu kode yang sah untuk dikirim dari platform yang ditargetkan ke ponsel korban. Mereka dapat melakukan ini dengan memasukkan nama pengguna dan kata sandi korban di situs sehingga korban menerima kode login atau otorisasi.

Bot kemudian mengambil kode yang dimasukkan korban, memasukkannya kembali ke antarmuka bot, dan peretas kemudian dapat menggunakan kode tersebut untuk login.

Di luar situs atau layanan seperti Amazon, PayPal, dan Venmo, beberapa bot juga menargetkan bank tertentu, seperti Bank of America dan Chase.

Selengkapnya: Vice

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OTP

Cookies Settings