Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for PayPal

PayPal

Akun PayPal dilanggar dalam serangan isian kredensial berskala besar

by

PayPal mengirimkan pemberitahuan pelanggaran data ke ribuan pengguna yang akunnya diakses melalui serangan isian kredensial yang mengungkap beberapa data pribadi.

Credential stuffing adalah serangan dimana hacker mencoba mengakses akun dengan mencoba pasangan username dan password yang bersumber dari kebocoran data di berbagai website.

Jenis serangan ini bergantung pada pendekatan otomatis dengan bot menjalankan daftar kredensial untuk “memasukkan” ke portal masuk untuk berbagai layanan.

Pengisian kredensial menargetkan pengguna yang menggunakan kata sandi yang sama untuk beberapa akun online, yang dikenal sebagai “daur ulang kata sandi”.
PayPal menjelaskan bahwa serangan isian kredensial terjadi antara 6 Desember dan 8 Desember 2022. Perusahaan mendeteksi dan menguranginya pada saat itu, tetapi juga memulai penyelidikan internal untuk mengetahui bagaimana peretas memperoleh akses ke akun.

Pada 20 Desember 2022, PayPal menyelesaikan penyelidikannya, mengonfirmasi bahwa pihak ketiga yang tidak sah masuk ke akun dengan kredensial yang valid.

Platform pembayaran elektronik mengklaim bahwa ini bukan karena pelanggaran pada sistemnya dan tidak memiliki bukti bahwa kredensial pengguna diperoleh langsung dari mereka.

Menurut pelaporan pelanggaran data dari PayPal, 34.942 penggunanya terkena dampak insiden tersebut. Selama dua hari, peretas memiliki akses ke nama lengkap pemegang akun, tanggal lahir, alamat pos, nomor jaminan sosial, dan nomor identifikasi pajak individu.

Riwayat transaksi, perincian kartu kredit atau debit yang terhubung, dan data faktur PayPal juga dapat diakses di akun PayPal.

PayPal mengatakan perlu tindakan tepat waktu untuk membatasi akses penyusup ke platform dan mengatur ulang kata sandi akun yang dikonfirmasi telah dilanggar.

Selain itu, pemberitahuan tersebut mengklaim bahwa penyerang belum mencoba atau tidak berhasil melakukan transaksi apa pun dari akun PayPal yang dilanggar.

Selengkapnya: Bleeping Computer

Steam, PayPal diblokir karena Indonesia memberlakukan peraturan Internet baru

by

Kementerian Komunikasi dan Informatika Indonesia, Kominfo, sekarang memblokir akses ke layanan internet dan penyedia konten yang belum terdaftar di platform lisensi baru negara itu pada 27 Juli 2022, karena negara tersebut mulai membatasi akses ke penyedia dan layanan konten online. .

Blok pertama dimulai Jumat, sehari sebelum batas waktu 26 Juni, dan menurut NetBlocks, beberapa penyedia layanan termasuk Yahoo, Steam, dan PayPal.

Sumber Indonesia lainnya juga melaporkan tidak dapat mengakses Battlenet, Epic Games, dan portal game lainnya yang digunakan oleh jutaan pemain di tanah air.

Pemblokiran tersebut tampaknya merupakan hasil dari tindakan terkoordinasi antara Kominfo dan semua ISP (penyedia layanan internet) utama di negara ini. Namun, beberapa yang lebih kecil masih menyimpang dari peraturan baru.

Menurut beberapa laporan pengguna, VPN dapat melewati pemblokiran yang diberlakukan untuk saat ini, tetapi saat menggunakannya dengan layanan pembayaran elektronik atau portal game, mungkin ada masalah dengan kecepatan jaringan dan ketidakcocokan sidik jari akun.

Karena pemblokiran tersebut, banyak pengguna PayPal di Indonesia yang terkunci dari akun dan dana mereka. Namun, seorang juru bicara menyatakan bahwa pemerintah mungkin sementara membuka blokir platform pembayaran minggu ini untuk memungkinkan penarikan.

Kerangka peraturan baru yang diperkenalkan oleh kementerian TI Indonesia tahun lalu disajikan sebagai sistem kontrol konten yang dikatakan diperkenalkan untuk melindungi keamanan nasional dan mencegah penyebaran berita palsu.

Peraturan tersebut memerintahkan pendaftaran wajib semua penyedia layanan internet ke dalam platform lisensi baru yang memungkinkan mereka untuk beroperasi secara legal di negara tersebut. Mereka yang gagal mendaftar dianggap sebagai entitas ilegal dan akan diblokir dari internet Indonesia.

Undang-undang mengharuskan semua entitas terdaftar untuk menugaskan perwakilan dan kantor lokal yang menanggapi permintaan sensor dan tuntutan pengungkapan informasi tak terbatas dari negara bagian.

Setiap informasi yang dipublikasikan pada platform penyedia layanan terdaftar tunduk pada pengawasan negara, seperti halnya informasi tentang akun pengguna, komunikasi di situs ini, dan semua bentuk pertukaran data lainnya.

Jika pemerintah meminta penghapusan segera materi yang dianggap berbahaya bagi keamanan nasional dan publik, penyedia layanan harus menanggapi permintaan tersebut dalam waktu empat jam. Untuk permintaan sensor yang tidak mendesak, penyedia diberikan waktu hingga 24 jam untuk memenuhinya.

Hingga batas waktu yang ditentukan, sekitar 200 penyedia layanan online asing dan 8.000 domestik telah mendaftarkan diri, termasuk Google, Meta, TikTok, Instagram, dan Spotify, yang tidak ingin tersingkir dari populasi sebesar 270 juta orang.

Undang-undang baru disahkan meskipun banyak suara keprihatinan yang diungkapkan oleh koalisi jurnalistik dan pendukung kebebasan berbicara di Indonesia, yang khawatir akan digunakan sebagai alat sensor pemerintah dan untuk membatasi kebebasan pers di negara ini.

Sumber: Bleeping Computer

Kit phishing PayPal ditambahkan ke situs WordPress yang diretas untuk pencurian ID lengkap

by

Kit phishing yang baru ditemukan yang menargetkan pengguna PayPal mencoba mencuri sejumlah besar informasi pribadi dari para korban yang mencakup dokumen dan foto identitas pemerintah.

Kit ini di-host di situs web WordPress yang sah yang telah diretas, yang memungkinkannya untuk menghindari deteksi hingga tingkat tertentu.

Para peneliti di perusahaan teknologi internet Akamai menemukan kit phishing setelah pelaku ancaman menanamnya di honeypot WordPress mereka.

Pelaku ancaman menargetkan situs web yang kurang aman dan memaksa masuk mereka menggunakan daftar pasangan kredensial umum yang ditemukan secara online. Mereka menggunakan akses ini untuk menginstal plugin manajemen file yang memungkinkan pengunggahan kit phishing ke situs yang dilanggar.

Akamai menemukan bahwa salah satu metode yang digunakan kit phishing untuk menghindari deteksi adalah dengan referensi silang alamat IP ke domain milik sekumpulan perusahaan tertentu, termasuk beberapa organisasi di industri keamanan siber.

Para peneliti memperhatikan bahwa pembuat kit phishing berusaha membuat halaman penipuan terlihat profesional dan meniru situs PayPal asli sebanyak mungkin.

Salah satu aspek yang mereka amati adalah penulis menggunakan htaccess untuk menulis ulang URL sehingga tidak diakhiri dengan ekstensi file PHP. Ini menambah penampilan yang lebih bersih dan lebih halus yang memberikan legitimasi.

Menulis ulang URL untuk menghapus akhiran php (Akamai)

Selain itu, semua elemen antarmuka grafis dalam formulir ditata sesuai dengan tema PayPal, sehingga halaman phishing memiliki tampilan yang tampak autentik.

Mencuri data pribadi korban dimulai dengan memberi mereka tantangan CAPTCHA, sebuah langkah yang menciptakan rasa legitimasi yang salah.

CAPTCHA palsu menginjak situs phishing (Akamai)

Setelah tahap ini, korban diminta untuk masuk ke akun PayPal mereka menggunakan alamat email dan kata sandi mereka, yang secara otomatis dikirimkan ke pelaku ancaman. Setelah itu pelaku ancaman meminta informasi verifikasi lebih lanjut.

Di halaman berikutnya, korban diminta untuk memberikan sejumlah rincian pribadi dan keuangan yang mencakup data kartu pembayaran bersama dengan kode verifikasi kartu, alamat fisik, nomor jaminan sosial, nama gadis ibu.

Tampaknya kit phishing dibuat untuk memeras semua informasi pribadi dari korban. Selain data kartu yang biasanya dikumpulkan dalam penipuan phishing, yang satu ini juga meminta nomor jaminan sosial, nama gadis ibu, dan bahkan nomor PIN kartu untuk transaksi di mesin ATM.

Info lebih lanjut dikumpulkan (Akamai)

Mengumpulkan informasi sebanyak ini tidak khas untuk kit phishing. Namun, yang satu ini melangkah lebih jauh dan meminta korban untuk menautkan akun email mereka ke PayPal. Ini akan memberi penyerang token yang dapat digunakan untuk mengakses konten dari alamat email yang diberikan.

Akun email phishing (Akamai)

Meskipun telah mengumpulkan sejumlah besar informasi pribadi, pelaku ancaman belum selesai. Langkah selanjutnya, mereka meminta korban untuk mengunggah dokumen identitas resmi mereka untuk mengkonfirmasi identitas mereka.

Dokumen yang diterima adalah paspor, ID nasional, atau SIM dan prosedur pengunggahan dilengkapi dengan instruksi khusus, seperti yang diminta PayPal atau layanan resmi dari penggunanya.

Petunjuk tentang cara mengunggah dokumen (Akamai)

Penjahat dunia maya dapat menggunakan semua informasi ini untuk berbagai kegiatan ilegal mulai dari apa pun yang terkait dengan pencurian identitas hingga pencucian uang (misalnya membuat akun perdagangan mata uang kripto, mendaftarkan perusahaan) dan mempertahankan anonimitas saat membeli layanan hingga mengambil alih rekening perbankan atau mengkloning kartu pembayaran.

Meskipun kit phishing tampak canggih, para peneliti menemukan bahwa fitur unggah filenya dilengkapi dengan kerentanan yang dapat dieksploitasi untuk mengunggah shell web dan mengendalikan situs web yang disusupi.

Mengingat sejumlah besar informasi yang diminta, penipuan mungkin tampak jelas bagi sebagian pengguna. Namun, peneliti Akamai percaya bahwa elemen rekayasa sosial khusus inilah yang membuat kit ini berhasil.

Mereka menjelaskan bahwa verifikasi identitas adalah hal yang normal akhir-akhir ini dan ini dapat dilakukan dengan berbagai cara. “Orang-orang menilai merek dan perusahaan berdasarkan langkah-langkah keamanan mereka akhir-akhir ini,” kata para peneliti.

Penggunaan tantangan captcha menandakan dari awal bahwa verifikasi tambahan mungkin diharapkan. Dengan menggunakan metode yang sama seperti layanan yang sah, pelaku ancaman memantapkan kepercayaan korban.

Pengguna disarankan untuk memeriksa nama domain halaman yang meminta informasi sensitif. Mereka juga dapat membuka halaman resmi layanan, dengan mengetiknya secara manual di browser, untuk memeriksa apakah verifikasi identitas sudah dilakukan.

Sumber: Bleeping Computer

Bug Baru yang Belum Ditambal Dapat Membiarkan Penyerang Mencuri Uang dari Pengguna PayPal

by

Seorang peneliti keamanan mengklaim telah menemukan kerentanan yang belum ditambal dalam layanan transfer uang PayPal yang memungkinkan penyerang mengelabui korban agar tanpa sadar menyelesaikan transaksi yang diarahkan penyerang dengan satu klik.

Clickjacking, juga disebut UI redressing, mengacu pada teknik di mana pengguna tanpa disadari ditipu untuk mengklik elemen halaman web yang tampaknya tidak berbahaya seperti tombol dengan tujuan mengunduh malware, mengarahkan ulang ke situs web jahat, atau mengungkapkan informasi sensitif.

Ini biasanya dicapai dengan menampilkan halaman yang tidak terlihat atau elemen HTML di atas halaman yang terlihat, menghasilkan skenario di mana pengguna tertipu dengan berpikir bahwa mereka mengklik halaman yang sah padahal mereka sebenarnya mengklik elemen jahat yang dihamparkan di atasnya.

“Dengan demikian, penyerang ‘membajak’ klik yang dimaksudkan untuk halaman [yang sah] dan mengarahkannya ke halaman lain, kemungkinan besar dimiliki oleh aplikasi lain, domain, atau keduanya,” tulis peneliti keamanan h4x0r_dz dalam sebuah posting yang mendokumentasikan temuan tersebut.

h4x0r_dz, yang menemukan masalah ini di titik akhir “www.paypal[.]com/agreements/approve”, mengatakan masalah itu dilaporkan ke perusahaan pada Oktober 2021.

“Titik akhir ini dirancang untuk Perjanjian Penagihan dan seharusnya hanya menerima billingAgreementToken,” peneliti menjelaskan. “Tetapi selama pengujian mendalam saya, saya menemukan bahwa kami dapat melewati jenis token lain, dan ini mengarah pada pencurian uang dari akun PayPal korban.”

Ini berarti bahwa musuh dapat menyematkan titik akhir yang disebutkan di dalam iframe, menyebabkan korban yang sudah masuk ke browser web untuk mentransfer dana ke akun PayPal yang dikendalikan penyerang hanya dengan mengklik tombol.

Yang lebih memprihatinkan, serangan itu bisa memiliki konsekuensi bencana di portal online yang terintegrasi dengan PayPal untuk checkout, memungkinkan pelaku jahat untuk mengurangi jumlah sewenang-wenang dari akun PayPal pengguna.

“Ada layanan online yang memungkinkan Anda menambahkan saldo menggunakan PayPal ke akun Anda,” kata h4x0r_dz. “Saya dapat menggunakan exploit yang sama dan memaksa pengguna untuk menambahkan uang ke akun saya, atau saya dapat mengeksploitasi bug ini dan membiarkan korban membuat/membayar akun Netflix untuk saya!”

(Pembaruan: Cerita telah diperbaiki untuk menyebutkan bahwa bug tersebut masih belum ditambal dan bahwa peneliti keamanan tidak diberikan hadiah bug apa pun untuk melaporkan masalah tersebut. Kesalahan ini disesalkan. Kami juga telah menghubungi PayPal untuk detail lebih lanjut.)

Sumber: The Hacker News

Bug Baru yang Belum Ditambal Dapat Membiarkan Penyerang Mencuri Uang dari Pengguna PayPal

by

Seorang peneliti keamanan mengklaim telah menemukan kerentanan yang belum ditambal dalam layanan transfer uang PayPal yang memungkinkan penyerang mengelabui korban agar tanpa sadar menyelesaikan transaksi yang diarahkan penyerang dengan satu klik.

Clickjacking, juga disebut UI redressing, mengacu pada teknik di mana pengguna tanpa disadari ditipu untuk mengklik elemen halaman web yang tampaknya tidak berbahaya seperti tombol dengan tujuan mengunduh malware, mengarahkan ulang ke situs web jahat, atau mengungkapkan informasi sensitif.

Ini biasanya dicapai dengan menampilkan halaman yang tidak terlihat atau elemen HTML di atas halaman yang terlihat, menghasilkan skenario di mana pengguna tertipu dengan berpikir bahwa mereka mengklik halaman yang sah padahal mereka sebenarnya mengklik elemen jahat yang dihamparkan di atasnya.

“Dengan demikian, penyerang ‘membajak’ klik yang dimaksudkan untuk halaman [yang sah] dan mengarahkannya ke halaman lain, kemungkinan besar dimiliki oleh aplikasi lain, domain, atau keduanya,” tulis peneliti keamanan h4x0r_dz dalam sebuah posting yang mendokumentasikan temuan tersebut.

h4x0r_dz, yang menemukan masalah ini di titik akhir “www.paypal[.]com/agreements/approve”, mengatakan masalah itu dilaporkan ke perusahaan pada Oktober 2021.

“Titik akhir ini dirancang untuk Perjanjian Penagihan dan seharusnya hanya menerima billingAgreementToken,” peneliti menjelaskan. “Tetapi selama pengujian mendalam saya, saya menemukan bahwa kami dapat melewati jenis token lain, dan ini mengarah pada pencurian uang dari akun PayPal korban.”

Ini berarti bahwa musuh dapat menyematkan titik akhir yang disebutkan di dalam iframe, menyebabkan korban yang sudah masuk ke browser web untuk mentransfer dana ke akun PayPal yang dikendalikan penyerang hanya dengan mengklik tombol.

Yang lebih memprihatinkan, serangan itu bisa memiliki konsekuensi bencana di portal online yang terintegrasi dengan PayPal untuk checkout, memungkinkan pelaku jahat untuk mengurangi jumlah sewenang-wenang dari akun PayPal pengguna.

“Ada layanan online yang memungkinkan Anda menambahkan saldo menggunakan PayPal ke akun Anda,” kata h4x0r_dz. “Saya dapat menggunakan exploit yang sama dan memaksa pengguna untuk menambahkan uang ke akun saya, atau saya dapat mengeksploitasi bug ini dan membiarkan korban membuat/membayar akun Netflix untuk saya!”

Pembaruan: bug tersebut masih belum ditambal dan bahwa peneliti keamanan tidak diberikan hadiah bug apa pun untuk melaporkan masalah tersebut. Kesalahan ini disesalkan. Kami juga telah menghubungi PayPal untuk detail lebih lanjut.

Sumber: The Hacker News

DHL Melengserkan Microsoft Sebagai Merek yang Paling Ditiru dalam Serangan Phishing

by

DHL adalah merek yang paling ditiru dalam kampanye phishing sepanjang Q4 2021, mendorong Microsoft ke tempat kedua, dan Google ke posisi keempat.

Ini tidak mengherankan mengingat bahwa kuartal terakhir setiap tahun termasuk Black Friday, Cyber Monday, dan musim belanja Natal, sehingga umpan phishing berdasarkan pengiriman paket secara alami meningkat.

DHL adalah layanan pengiriman paket dan surat ekspres internasional, mengirimkan lebih dari 1,6 miliar paket per tahun.

Dengan demikian, kampanye phishing yang meniru merek memiliki peluang bagus untuk menjangkau orang-orang yang menunggu paket DHL tiba selama musim liburan.

Umpan spesifik berkisar dari paket yang terjebak di bea cukai dan memerlukan tindakan untuk izin ke nomor pelacakan yang seharusnya bersembunyi di dalam lampiran dokumen atau tautan tertanam.

Menurut sebuah laporan oleh perusahaan intelijen ancaman Check Point, sepuluh merek teratas yang ditiru oleh aktor phishing pada Q4 2021 adalah sebagai berikut:

    1. DHL (related to 23% of all phishing attacks globally)
    2. Microsoft (20%)
    3. WhatsApp (11%)
    4. Google (10%)
    5. LinkedIn (8%)
    6. Amazon (4%)
    7. FedEx (3%)
    8. Roblox (3%)
    9. Paypal (2%)
    10. Apple (2%)

Dalam contoh yang disajikan pada laporan Check Point, kampanye phishing menggunakan alamat email dukungan pelanggan DHL palsu untuk mengirim pesan “pemberitahuan pengiriman”, seperti yang ditunjukkan di bawah ini.

Dalam hal ini, email meminta pengguna untuk memverifikasi identitas mereka, yang terjadi pada halaman phishing yang dibuat agar terlihat persis seperti situs DHL yang sebenarnya.

Dalam umpan FedEx yang diambil sampelnya oleh CheckPoint, para aktor mengklaim tidak dapat mengirimkan paket ke penerima, meminta korban untuk memasukkan rincian mereka di situs phishing.

Akhirnya, ada spesimen phishing PayPal yang tidak menyenangkan yang meminta target untuk “mengkonfirmasi informasi akun mereka” untuk mencabut status penangguhan sementara.

Tetap tenang dan tetap waspada

Cara terbaik untuk menangani email masuk yang membuat klaim berani dan meminta tindakan-segera adalah berhati-hati.

Sebagai gantinya, Anda harus membuka tab browser baru, mengunjungi situs web resmi pengirim yang diduga, mengkonfirmasi validitas URL tempat Anda berada, dan baru kemudian masuk ke akun Anda. Jika ada tindakan yang diperlukan dari Anda, Anda akan melihat peringatan yang relevan di sana.

Jangan pernah mengklik tombol tertanam pada email dan hindari mengunduh dan membuka dokumen yang tiba melalui komunikasi yang tidak diminta.

Phishing bergantung pada menciptakan rasa urgensi, jadi setiap kali Anda berurusan dengan email yang menyebabkan Anda tertekan, pertimbangkan kemungkinan itu sebagai upaya untuk menipu Anda agar memberikan informasi sensitif.

Sumber: Bleepingcomputer

PayPal memperbaiki kerentanan reflected XSS dalam konverter mata uang dompet pengguna

by

PayPal telah menyelesaikan kerentanan reflected cross-site scripting (XSS) yang ditemukan di fitur pengonversi mata uang di dompet pengguna.

Pertama kali diungkapkan pada 19 Februari 2020, oleh pemburu bug bounty yang menggunakan nama “Cr33pb0y” di HackerOne, kerentanan ini digambarkan sebagai masalah “reflected XSS dan CSP bypass”.

Dalam pengungkapan terbatas, yang diterbitkan pada 10 Februari – hampir setahun setelah peneliti melaporkan masalah tersebut secara pribadi – PayPal mengatakan bug itu ada di endpoint konversi mata uang dan disebabkan oleh kegagalan untuk membersihkan input pengguna dengan benar.

Parameter URL yang lemah gagal membersihkan masukan yang dapat memungkinkan pelaku ancaman untuk memasukkan JavaScript, HTML, atau kode berbahaya lainnya “yang dapat dijalankan oleh browser”, menurut advisory tersebut.

Akibatnya, muatan berbahaya dapat terpicu di Document Object Model (DOM) dari halaman browser korban tanpa sepengetahuan atau persetujuan mereka.

Biasanya, serangan reflected XSS mencerminkan skrip dari sumber web ke browser dan mungkin hanya mengharuskan korban untuk mengklik tautan berbahaya untuk memicunya. Muatan dapat digunakan untuk mencuri cookie, token sesi, atau informasi akun, atau dapat digunakan sebagai langkah dalam serangan yang lebih luas.

Sumber: ZDNet

Waspadalah: Teks phishing PayPal menyatakan akun Anda ‘terbatas’

by

Kampanye phishing pesan teks PayPal sedang berlangsung yang berupaya mencuri kredensial akun Anda dan informasi sensitif lainnya yang dapat digunakan untuk pencurian identitas.

Phishing baru tersebut berpura-pura berasal dari PayPal, yang menyatakan bahwa akun Anda telah dibatasi secara permanen kecuali Anda memverifikasi akun dengan mengeklik tautan.

Saat PayPal mendeteksi aktivitas mencurigakan atau penipuan di akun, status akun akan disetel ke “terbatas/limited”, yang akan memberi batasan sementara pada penarikan, pengiriman, atau penerimaan uang.

Pesan teks smishing itu berbunyi, “PayPal: Kami telah membatasi akun Anda secara permanen, silakan klik tautan di bawah untuk memverifikasi”.

Mengklik tautan terlampir akan membawa Anda ke halaman phishing yang meminta Anda untuk masuk ke akun Anda, seperti yang ditunjukkan di bawah ini.

Sumber: BleepingComputer

Jika Anda masuk di halaman phishing, kredensial PayPal yang dimasukkan akan dikirim ke pelaku ancaman. Halaman phishing kemudian melangkah lebih jauh dan akan mencoba mengumpulkan detail lebih lanjut dari Anda, termasuk nama, tanggal lahir, alamat, detail bank, dan lainnya.

Informasi yang dikumpulkan digunakan untuk melakukan serangan pencurian identitas, mendapatkan akses ke akun Anda yang lain, atau melakukan serangan spear-phishing yang ditargetkan.

Sumber: Bleeping Computer