Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for peretas

peretas

9 Kesalahan yang Membuat Anda Rentan Dibobol oleh Peretas

by

Tahu apa yang tidak boleh dilakukan sama pentingnya dengan tahu apa yang harus dilakukan untuk menjaga keamanan Anda.

Banyak dari kita tidak ingin menjadi korban peretas, tetapi terkadang kita tanpa sadar membuat keputusan yang meningkatkan kemungkinan hal tersebut terjadi. Kadang-kadang kesalahan kecil bisa membuka pintu bagi peretas, oleh karena itu penting bagi Anda untuk tahu apa yang harus dihindari.

Berikut ini sembilan hal yang membuat Anda lebih rentan bagi peretas.

1. Menggunakan Jaringan Wi-Fi Publik
Menggunakan Wi-Fi publik di tempat-tempat seperti toko, restoran, atau hotel bisa menghemat kuota data, tetapi juga berisiko tinggi. Jaringan Wi-Fi publik rentan terhadap serangan peretas yang dapat mencuri data sensitif, seperti informasi login atau pembayaran. Bahkan, peretas dapat menciptakan jaringan Wi-Fi palsu yang terlihat seperti jaringan resmi, sehingga membuat Anda rentan terhadap serangan. Solusinya, gunakan VPN saat terhubung ke Wi-Fi publik. Namun, hati-hati dengan VPN gratis yang tidak selalu dapat dipercaya.

2. Tidak Melakukan Pemindaian Perangkat Secara Teratur
Tidak melakukan pemindaian perangkat secara teratur dapat meningkatkan risiko keamanan. Program antivirus perlu memindai perangkat Anda untuk melindungi Anda dari malware. Gunakan fitur pemindaian otomatis harian untuk menjaga perangkat Anda tetap aman.

3. Menggunakan VPN atau Program Antivirus Gratis
Menggunakan VPN atau Program Antivirus Gratis dapat memiliki risiko. Program gratis sering kali menyertakan iklan yang mengganggu dan dapat menjadi sumber penyebaran malware. Selain itu, data pribadi Anda dapat dijual kepada pihak ketiga. Fitur perlindungan dari program gratis juga biasanya kurang efektif. Lebih baik memilih program berbayar yang lebih dapat diandalkan dan memberikan perlindungan yang lebih baik.

4. Menggunakan Perangkat Lunak Lama
Penting untuk memperbarui perangkat lunak secara teratur. Pembaruan perangkat lunak mengatasi bug dan kerentanan keamanan yang dapat dimanfaatkan oleh peretas. Jangan menunda pembaruan karena hal ini dapat meningkatkan risiko serangan terhadap akun dan perangkat Anda.

5. Membuka Tautan atau Lampiran yang Tidak Dikenal
Jangan ceroboh saat membuka tautan atau lampiran yang tidak dikenal. Malware bisa menyebar melalui tautan tersebut dan mengarahkan Anda ke situs phishing yang berbahaya. Pastikan untuk memverifikasi keaslian tautan dan lampiran sebelum membukanya. Gunakan situs pemeriksa tautan gratis seperti VirusTotal dan pelajari cara mengenali lampiran berbahaya.

6. Menggunakan Situs Web HTTP
HTTP (Hypertext Transfer Protocol) adalah protokol lama yang digunakan untuk mengirimkan data melalui internet, sementara HTTPS (Hypertext Transfer Protocol Secure) adalah protokol yang lebih aman. Situs web yang menggunakan HTTPS menggunakan enkripsi untuk melindungi data Anda, sementara situs web dengan HTTP rentan terhadap serangan peretas. Oleh karena itu, disarankan untuk menghindari situs web HTTP dan memilih situs web yang menggunakan HTTPS untuk menjaga keamanan data Anda.

7. Menggunakan Kata Sandi yang Lemah
Penting untuk memiliki kata sandi yang kuat dan unik untuk melindungi akun online Anda. Kata sandi yang lemah dapat dengan mudah ditebak oleh peretas, yang dapat mengakses akun Anda dan mencuri informasi pribadi Anda. Untuk meningkatkan keamanan, gunakan kata sandi kompleks yang terdiri dari kombinasi huruf besar dan kecil, angka, dan simbol. Disarankan juga untuk menggunakan otentikasi untuk melindungi akun anda.

8. Membagikan Informasi Pribadi di Media Sosial
Jaga privasi Anda di media sosial. Hindari membagikan informasi pribadi seperti tanggal lahir, alamat, dan nomor telepon. Peretas dapat memanfaatkannya untuk mencuri identitas Anda atau melakukan serangan phishing. Batasi informasi yang Anda bagikan dan periksa pengaturan privasi akun media sosial Anda.

9. Tidak Mem-backup Data Secara Teratur
Selalu lakukan backup data secara teratur untuk melindungi data berharga Anda dari kemungkinan bencana, kehilangan perangkat, serangan ransomware, atau kerusakan fisik. Simpan salinan cadangan di tempat yang aman, seperti perangkat penyimpanan eksternal atau layanan cloud yang terenkripsi. Ini merupakan langkah penting untuk menjaga keamanan dan pemulihan data Anda.

Jangan biarkan diri Anda rentan terhadap peretas. Dengan menghindari kesalahan di atas, Anda bisa meningkatkan keamanan online Anda dan melindungi informasi pribadi Anda dari serangan.

Sumber: Makeuseof

Peretas licik membalikkan mitigasi pertahanan saat terdeteksi

by

Pelaku ancaman meretas penyedia layanan telekomunikasi dan perusahaan outsourcing proses bisnis, dan secara aktif membalikkan mitigasi defensif yang diterapkan saat pelanggaran terdeteksi.

Kampanye tersebut ditemukan oleh Crowdstrike, yang mengatakan serangan dimulai pada Juni 2022 dan masih berlangsung, dengan peneliti keamanan dapat mengidentifikasi lima intrusi berbeda.

Serangan tersebut dikaitkan dengan peretas yang dilacak sebagai ‘Scattered Spider‘ yang menunjukkan persisten dalam mempertahankan akses, membalikkan mitigasi, menghindari deteksi, dan berputar ke target valid lainnya jika digagalkan.

Tujuan utama kampanye ini adalah untuk menembus sistem jaringan telekomunikasi, mengakses informasi pelanggan, dan melakukan operasi seperti pertukaran SIM.

Lima peristiwa intrusi yang dikaitkan dengan Scattered Spider (Crowdstrike)

Pelaku ancaman mendapatkan akses awal ke jaringan perusahaan menggunakan berbagai taktik rekayasa sosial.

Taktik ini termasuk memanggil karyawan dan menyamar sebagai staf TI untuk mengambil kredensial atau menggunakan pesan Telegram dan SMS untuk mengalihkan target ke situs phishing yang dibuat khusus yang menampilkan logo perusahaan.

Jika MFA melindungi akun target, penyerang menggunakan taktik push-notification MFA kelelahan atau terlibat dalam rekayasa sosial untuk mendapatkan kode dari para korban.

Dalam satu kasus, musuh mengeksploitasi CVE-2021-35464, sebuah kelemahan di server ForgeRock AM yang diperbaiki pada Oktober 2021, untuk menjalankan kode dan meningkatkan hak istimewa mereka pada instans AWS.

Setelah peretas mendapatkan akses ke sistem, mereka mencoba menambahkan perangkat mereka sendiri ke daftar perangkat MFA (otentikasi multi-faktor) tepercaya menggunakan akun pengguna yang disusupi.

Crowdstrike memperhatikan para peretas menggunakan utilitas berikut dan alat pemantauan dan manajemen jarak jauh (RMM) dalam kampanye mereka:

  • AnyDesk
  • BeAnywhere
  • Domotz
  • DWservice
  • Fixme.it
  • Fleetdeck.io
  • Itarian Endpoint Manager
  • Level.io
  • Logmein
  • ManageEngine
  • N-Able
  • Pulseway
  • Rport
  • Rsocx
  • ScreenConnect
  • SSH RevShell and RDP Tunnelling via SSH
  • Teamviewer
  • TrendMicro Basecamp
  • Sorillus
  • ZeroTier

Dalam intrusi yang diamati oleh Crowdstrike, musuh tidak henti-hentinya berusaha mempertahankan akses ke jaringan yang dibobol, bahkan setelah terdeteksi.

“Dalam beberapa investigasi, CrowdStrike mengamati musuh menjadi lebih aktif, menyiapkan mekanisme persistensi tambahan, yaitu akses VPN dan/atau beberapa alat RMM, jika tindakan mitigasi diterapkan secara perlahan,” CrowdStrike memperingatkan.

“Dan dalam beberapa kasus, musuh mengembalikan beberapa tindakan mitigasi dengan mengaktifkan kembali akun yang sebelumnya dinonaktifkan oleh organisasi korban.”

Dalam semua intrusi yang diamati oleh Crowdstrike, musuh menggunakan berbagai VPN dan ISP untuk mengakses lingkungan Google Workspace organisasi yang menjadi korban.

Untuk bergerak secara lateral, pelaku ancaman mengekstraksi berbagai jenis informasi pengintaian, mengunduh daftar pengguna dari penyewa yang dilanggar, menyalahgunakan WMI, dan melakukan tunneling SSH dan replikasi domain.

Selengkpanya: Bleeping Computer

Peretas yang Didukung Negara China Melanggar Otoritas Sertifikat Digital

by

Aktor yang disponsori negara China melanggar otoritas sertifikat digital serta lembaga pemerintah dan pertahanan yang berlokasi di berbagai negara di Asia sebagai bagian dari kampanye yang sedang berlangsung setidaknya sejak Maret 2022.

Symantec, oleh Broadcom Software, mengaitkan serangan tersebut dengan kelompok yang dilacaknya dengan nama Billbug, berdasarkan alat dalam kampanye ini yang sebelumnya diatribusikan ke grup ini.

Billbug, juga disebut Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon, dan Thrip, adalah grup ancaman persisten (APT) tingkat lanjut yang diyakini beroperasi atas nama kepentingan Tiongkok. Target utama termasuk organisasi pemerintah dan militer di Asia Tenggara.

Dalam serangan yang dilakukan pada tahun 2019, grup tersebut menggunakan pintu belakang seperti Hannotog dan Sagerunex, dengan intrusi diamati di Hong Kong, Makau, Indonesia, Malaysia, Filipina, dan Vietnam.

Kedua implan tersebut dirancang untuk memberikan akses jarak jauh yang persisten ke jaringan korban, bahkan ketika aktor ancaman diketahui menyebarkan pencuri informasi yang dikenal sebagai Catchamas dalam kasus tertentu untuk mengekstraksi informasi sensitif.

“Penargetan otoritas sertifikat sangat penting, seolah-olah penyerang berhasil mengkompromikannya untuk mengakses sertifikat, mereka berpotensi menggunakannya untuk menandatangani malware dengan sertifikat yang valid, dan membantunya menghindari deteksi pada mesin korban,” kata peneliti Symantec.

Symantec mencatat bahwa tidak ada bukti yang menunjukkan bahwa Billbug berhasil mengkompromikan sertifikat digital.

Analisis dari gelombang serangan terbaru menunjukkan bahwa akses awal kemungkinan diperoleh melalui eksploitasi aplikasi yang terhubung ke internet, setelah itu kombinasi alat yang dipesan lebih dahulu dan alat hidup dari tanah digunakan untuk memenuhi tujuan operasionalnya.

Ini terdiri dari utilitas seperti WinRAR, Ping, Traceroute, NBTscan, Certutil, selain backdoor yang mampu mengunduh file sewenang-wenang, mengumpulkan informasi sistem, dan mengunggah data terenkripsi.

Dalam serangan tersebut juga terdeteksi alat proksi multi-hop open source yang disebut Stowaway dan malware Sagerunex, yang dijatuhkan di mesin melalui Hannotog. Backdoor, dilengkapi untuk menjalankan perintah sewenang-wenang, menjatuhkan muatan tambahan, dan menyedot file yang menarik.

Sumber: The Hackernews

Serangan DDoS Hacktivist berdampak kecil pada organisasi penting

by

Biro Investigasi Federal (FBI) mengatakan pada hari Jumat bahwa serangan penolakan layanan (DDoS) terdistribusi yang dikoordinasikan oleh kelompok peretas memiliki dampak kecil pada layanan yang mereka targetkan.

Seperti yang dijelaskan oleh lembaga penegak hukum dalam pemberitahuan industri swasta yang dikeluarkan hari ini, ini terjadi karena mereka menargetkan infrastruktur yang menghadap publik seperti situs web alih-alih layanan yang sebenarnya, yang menyebabkan gangguan terbatas.

Kelompok tersebut biasanya menargetkan organisasi infrastruktur penting atau profil tinggi seperti lembaga keuangan, layanan darurat, bandara, dan fasilitas pemerintah, kesehatan, dan medis.

Dengan menghapus situs web mereka, para peretas bertujuan untuk meningkatkan kredibilitas mereka dan “secara keliru menyatakan dampak atau gangguan yang lebih besar daripada apa yang terjadi.”

Dalam satu contoh baru-baru ini dari insiden semacam itu, kelompok peretas pro-Rusia KillNet mengklaim serangan terhadap situs web beberapa bandara besar di seluruh AS.

Serangan DDoS membanjiri server yang menampung situs-situs ini, sehingga tidak memungkinkan bagi pelancong untuk memesan layanan bandara atau mendapatkan pembaruan tentang penerbangan terjadwal mereka.

Contoh penting situs web bandara yang tidak dapat diakses selama insiden termasuk:

  • Bandara Internasional Hartsfield-Jackson Atlanta (ATL), salah satu pusat lalu lintas udara yang lebih signifikan di AS.
  • Bandara Internasional Los Angeles (LAX)
  • Bandara Internasional Chicago O’Hare (ORD)

Sementara serangan DDoS ini tidak berdampak pada penerbangan, mereka masih memiliki efek buruk pada sektor ekonomi penting, menunda layanan terkait.

Satu minggu sebelumnya, kelompok yang sama juga menyerang situs web pemerintah AS di Colorado, Kentucky, dan Mississippi, dengan keberhasilan sedang, membuat beberapa di antaranya offline untuk waktu yang singkat.

Killnet juga mengklaim telah menghapus situs CISA’s Protected Critical Infrastructure Information Management System pada hari Jumat setelah serangannya terhadap Departemen Keuangan AS pada awal Oktober digagalkan sebelum mempengaruhi infrastruktur agensi.

Seminggu yang lalu, CISA, FBI, dan MS-ISAC menerbitkan nasihat bersama untuk memberikan informasi kepada para pembela HAM tentang pengurangan kemungkinan dan dampak serangan DDoS.

Sumber: Bleeping Computer

Peretas Pertahanan Email Microsoft

by

Semakin banyak penyerang siber yang berfokus pada pembuatan serangan yang dikhususkan untuk melewati keamanan default Microsoft

“Banyak peretas menganggap email dan Microsoft 365 sebagai titik awal kompromi mereka, [sehingga mereka] akan menguji dan memverifikasi bahwa mereka dapat melewati keamanan default Microsoft,” menurut laporan baru dari Avanan yang menandai peningkatan dalam telemetri pelanggannya. email berbahaya yang mendarat di kotak email yang dilindungi Microsoft.

Beberapa angka yang menarik dalam laporan, diperoleh dari analisis 3 juta email perusahaan pada tahun lalu, termasuk:

Sekitar 19% email phishing yang diamati oleh Avanan melewati Microsoft Exchange Online Protection (EOP) dan Defender.
Sejak tahun 2020, tingkat phishing yang terlewatkan Defender di antara pelanggan Avanan telah meningkat sebesar 74%.
Rata-rata, Defender hanya mengirimkan 7% dari pesan phishing yang diterima oleh pelanggan Avanan ke folder Junk.
Kabar baiknya: Microsoft menandai dan memblokir 93% upaya kompromi email bisnis.

Microsoft menangkap 90% email yang dijebak dengan lampiran yang sarat malware.
Sekali lagi, angka tersebut menunjukkan evolusi phishing dan fakta bahwa penyerang semakin sering menggunakan taktik seperti memanfaatkan layanan yang sah untuk menghindari menyertakan tautan yang jelas-jelas berbahaya dalam email, menggunakan teknik penyamaran seperti URL cantik, dan menghindari lampiran sama sekali.

Untuk mempertahankan diri terhadap serangan yang dibuat khusus ini, organisasi dapat menggunakan pendekatan dasar pertahanan mendalam dengan empat cabang utama, menurut Roger Grimes, penginjil pertahanan berbasis data di KnowBe4.

Cabang-cabang tersebut meliputi: Fokus yang lebih baik untuk mencegah rekayasa sosial, menggunakan kombinasi kebijakan, pertahanan teknis, dan pendidikan terbaik; patch perangkat lunak dan firmware, terutama yang terdaftar di Katalog Kerentanan yang Diketahui CISA yang Dieksploitasi; menggunakan otentikasi multifaktor tahan phishing (MFA); dan menggunakan kata sandi yang berbeda dan aman untuk setiap situs dan layanan di mana MFA tidak dapat digunakan.

“Tidak ada pertahanan lain, selain empat ini, yang akan berdampak paling besar pada penurunan risiko keamanan siber,” kata Grimes. “Kurangnya fokus dunia pada empat pertahanan inilah yang telah membuat peretas dan malware begitu sukses begitu lama.”

Sumber: Dark Reading

Peretas Mengeksploitasi Bug Confluence Atlassian untuk Menyebarkan Backdoor Ljl untuk Spionase

by

Seorang aktor ancaman mengeksploitasi kelemahan keamanan di server Atlassian Confluence yang sudah ketinggalan zaman untuk menyebarkan Backdoor yang belum pernah terlihat sebelumnya terhadap organisasi yang tidak disebutkan namanya di sektor penelitian dan layanan teknis.

Serangan itu, yang terjadi selama tujuh hari selama akhir Mei, telah dikaitkan dengan klaster aktivitas ancaman yang dilacak oleh perusahaan keamanan siber Deepwatch sebagai TAC-040.

Kerentanan Atlassian yang diduga telah dieksploitasi adalah CVE-2022-26134, cacat injeksi Object-Graph Navigation Language (OGNL) yang membuka jalan bagi eksekusi kode arbitrer pada Confluence Server atau contoh Data Center.

Menyusul laporan eksploitasi aktif dalam serangan dunia nyata, masalah ini ditangani oleh perusahaan Australia pada 4 Juni 2022.

Tetapi mengingat tidak adanya artefak forensik, Deepwatch berteori bahwa pelanggaran tersebut dapat menyebabkan eksploitasi kerentanan Spring4Shell (CVE-2022-22965) untuk mendapatkan akses awal ke aplikasi web Confluence.

Tidak banyak yang diketahui tentang TAC-040 selain fakta bahwa tujuan kolektif musuh mungkin terkait dengan spionase, meskipun kemungkinan bahwa kelompok tersebut dapat bertindak demi keuntungan finansial belum dikesampingkan, dengan alasan adanya pemuat untuk penambang kripto XMRig pada sistem.

Meskipun tidak ada bukti bahwa penambang dieksekusi dalam insiden ini, alamat Monero yang dimiliki oleh pelaku ancaman telah menjaring setidaknya 652 XMR ($106.000) dengan membajak sumber daya komputasi sistem lain untuk menambang cryptocurrency secara ilegal.

Rantai serangan juga terkenal karena penerapan implan yang sebelumnya tidak berdokumen yang disebut Ljl Backdoor di server yang disusupi. Kira-kira 700MB data yang diarsipkan diperkirakan telah dieksfiltrasi sebelum server diambil offline oleh korban, menurut analisis log jaringan.

Malware, pada bagiannya, adalah virus trojan berfitur lengkap yang dirancang untuk mengumpulkan file dan akun pengguna, memuat muatan .NET sewenang-wenang, dan mengumpulkan informasi sistem serta lokasi geografis korban.

Sumber: The Hacker News

Peretas Gallium keuangan backdoor, org pemerintah menggunakan malware PingPull baru

by

Kelompok peretasan yang disponsori negara Gallium telah terlihat menggunakan trojan akses jarak jauh ‘PingPull’ baru terhadap lembaga keuangan dan entitas pemerintah di Eropa, Asia Tenggara, dan Afrika.

Entitas ini berbasis di Australia, Rusia, Filipina, Belgia, Vietnam, Malaysia, Kamboja, dan Afghanistan.

Gallium diyakini berasal dari China, dan cakupan penargetannya di sektor telekomunikasi, keuangan, dan pemerintah dalam operasi spionase sejalan dengan kepentingan negara.

Dalam kampanye baru-baru ini, Gallium menggunakan RAT (trojan akses jarak jauh) baru bernama PingPull, yang menurut para analis di Unit42 (Palo Alto Networks) sangat tersembunyi.

Malware PingPull dirancang untuk memberi pelaku ancaman shell terbalik pada mesin yang disusupi, memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh.

Unit42 dapat mengambil sampel tiga varian berbeda dengan fungsionalitas serupa yang menggunakan protokol komunikasi C2 yang berbeda, yaitu ICMP, HTTPS, dan TCP.

Protokol C2 yang berbeda mungkin untuk menghindari metode/alat deteksi jaringan tertentu, dengan aktor yang menyebarkan varian yang sesuai berdasarkan pengintaian awal.

Dalam ketiga kasus tersebut, malware menginstal dirinya sendiri sebagai layanan dan memiliki deskripsi yang mensimulasikan layanan yang sah, yang bertujuan untuk mencegah pengguna menghentikannya.

Perintah dan parameternya dikirim dari C2 dalam bentuk terenkripsi AES, yang dapat didekripsi oleh suar berkat sepasang kunci yang di-hardcode.

Infrastruktur yang dapat ditemukan dan ditautkan oleh Unit 42 ke operasi Gallium mencakup lebih dari 170 alamat IP, beberapa di antaranya berasal dari akhir tahun 2020.

Microsoft telah memperingatkan tentang grup tersebut pada tahun 2019, menyoroti cakupan penargetan yang terbatas pada penyedia layanan telekomunikasi pada saat itu.

Cuplikan kampanye Gallium baru-baru ini mengungkapkan RAT baru, yang menunjukkan bahwa kelompok peretasan masih merupakan ancaman yang aktif dan berkembang.

Berdasarkan laporan terbaru, Gallium telah memperluas cakupan tersebut untuk memasukkan entitas kunci pemerintah dan lembaga keuangan di Asia, Afrika, Eropa, dan Australia.

Untuk alasan ini, semua organisasi vital disarankan untuk menggunakan indikator kompromi yang disediakan dalam laporan Unit 42 untuk deteksi ancaman yang tepat waktu.

Sumber: Bleeping Computer

Peretas mencuri akun WhatsApp menggunakan trik penerusan panggilan

by

Ada trik yang memungkinkan penyerang untuk membajak akun WhatsApp korban dan mendapatkan akses ke pesan pribadi dan daftar kontak.

Metode ini bergantung pada layanan otomatis operator seluler untuk meneruskan panggilan ke nomor telepon yang berbeda, dan opsi WhatsApp untuk mengirim kode verifikasi kata sandi satu kali (OTP) melalui panggilan suara.

Rahul Sasi, pendiri dan CEO perusahaan perlindungan risiko digital CloudSEK, memposting beberapa detail tentang metode yang digunakan untuk meretas akun WhatsApp..

Hanya butuh beberapa menit bagi penyerang untuk mengambil alih akun WhatsApp korban, tetapi mereka perlu mengetahui nomor telepon target dan bersiap untuk melakukan beberapa rekayasa sosial.

Sasi mengatakan bahwa penyerang pertama-tama perlu meyakinkan korban untuk melakukan panggilan ke nomor yang dimulai dengan kode Man Machine Interface (MMI) yang diatur oleh operator seluler untuk mengaktifkan penerusan panggilan.

Tergantung pada operatornya, kode MMI yang berbeda dapat meneruskan semua panggilan ke terminal ke nomor yang berbeda atau hanya ketika saluran sedang sibuk atau tidak ada penerimaan.

Kode-kode ini dimulai dengan simbol bintang (*) atau tanda pagar (#). Mereka mudah ditemukan dan dari penelitian yang kami lakukan, semua operator jaringan seluler besar mendukungnya.

Peneliti menjelaskan bahwa 10 digit nomor adalah milik penyerang dan kode MMI di depannya memberitahu operator seluler untuk meneruskan semua panggilan ke nomor telepon yang ditentukan setelahnya ketika saluran korban sibuk.

Begitu mereka menipu korban untuk meneruskan panggilan ke nomor mereka, penyerang memulai proses pendaftaran WhatsApp di perangkat mereka, memilih opsi untuk menerima OTP melalui panggilan suara.

WhatsApp mengirimkan kode OTP melalui teks atau panggilan suara
Opsi WhatsApp untuk menerima kata sandi satu kali, sumber: BleepingComputer

Setelah mereka mendapatkan kode OTP, penyerang dapat mendaftarkan akun WhatsApp korban di perangkat mereka dan mengaktifkan otentikasi dua faktor (2FA), yang mencegah pemilik sah mendapatkan kembali akses.

Meskipun metodenya tampak sederhana, membuatnya bekerja membutuhkan sedikit lebih banyak usaha, seperti yang ditemukan BleepingComputer selama pengujian.

Pertama, penyerang perlu memastikan bahwa mereka menggunakan kode MMI yang meneruskan semua panggilan, terlepas dari status perangkat korban (tanpa syarat). Misalnya, jika MMI hanya meneruskan panggilan saat saluran sedang sibuk, panggilan tunggu dapat menyebabkan pembajakan gagal.

Selama pengujian, BleepingComputer memperhatikan bahwa perangkat target juga menerima pesan teks yang menginformasikan bahwa WhatsApp sedang terdaftar di perangkat lain.

Pengguna mungkin melewatkan peringatan ini jika penyerang juga beralih ke manipulasi psikologis dan melibatkan target dalam panggilan telepon cukup lama untuk menerima kode OTP WhatsApp melalui suara.

Jika penerusan panggilan telah diaktifkan pada perangkat korban, penyerang harus menggunakan nomor telepon yang berbeda dari yang digunakan untuk pengalihan – ketidaknyamanan kecil yang mungkin memerlukan lebih banyak rekayasa sosial.

Petunjuk paling jelas tentang aktivitas mencurigakan bagi pengguna target terjadi setelah operator seluler mengaktifkan penerusan panggilan untuk perangkat mereka, karena aktivasi disertai dengan peringatan yang dihamparkan di layar yang tidak akan hilang hingga pengguna mengonfirmasikannya.

Peringatan operator seluler tentang aktivasi penerusan panggilan
Operator seluler memperingatkan pengguna saat penerusan panggilan menjadi aktif, sumber: BleepingComputer

Bahkan dengan peringatan yang sangat terlihat ini, pelaku ancaman masih memiliki peluang sukses yang baik karena sebagian besar pengguna tidak terbiasa dengan kode MMI atau pengaturan ponsel yang menonaktifkan penerusan panggilan.

Terlepas dari hambatan ini, pelaku kejahatan dengan keterampilan rekayasa sosial yang baik dapat merancang skenario yang memungkinkan mereka membuat korban sibuk di telepon sampai mereka mendapatkan kode OTP untuk mendaftarkan akun WhatsApp korban di perangkat mereka.

Postingan Sasi mengacu pada operator seluler Airtel dan Jio, masing-masing dengan lebih dari 400 juta pelanggan pada Desember 2020, menurut data publik.

Melindungi dari serangan jenis ini semudah mengaktifkan perlindungan otentikasi dua faktor di WhatsApp. Fitur ini mencegah pelaku jahat mendapatkan kendali atas akun dengan meminta PIN setiap kali Anda mendaftarkan ponsel ke aplikasi perpesanan.

Sumber: Bleeping Computer