Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

Password Vault Bitwarden Ditargetkan Dalam Serangan Phishing Google Ads

by

Bitwarden dan password manager lainnya manjadi sasaran dalam kampanye phishing iklan Google untuk mencuri kredensial brankas kata sandi pengguna.

Saat perusahaan dan konsumen beralih menggunakan kata sandi unik di setiap situs, penting untuk menggunakan pengelola kata sandi untuk melacak semua kata sandi.

Namun, kecuali anda menggunakan pengelola kata sandi lokal, seperti KeePass, sebagian besar pengelola kata sandi ebrbasis cloud memungkinkan pengguna untuk mengakses kata sandi mereka melalui situs web dan aplikasi seluler.

Pengguna bitwarden yang ditargetkan oleh phishing iklan Google
Domain yang digunakan dalam iklan adalah ‘appbitwarden.com’ dan, saat diklik, mengarahkan pengguna ke situs ‘bitwardenlogin.com.’

Situs phishing Bitwarden dipromosikan melalui iklan Google
Sumber: Reddit

Halaman di ‘bitwardenlogin.com’ adalah replika persis dari halaman login Bitwarden Web Vault yang sah, seperti yang terlihat di bawah ini.

Bitwarden phishing page
Source: BleepingComputer

Dalam pengujian kami, halaman phishing akan menerima kredensial dan, setelah dikirimkan, mengarahkan pengguna ke halaman login Bitwarden yang sah.

Namun, pengujian awal kami menggunakan kredensial palsu, dan halaman ditutup saat kami mulai menguji dengan kredensial login pengujian Bitwarden yang sebenarnya.

Oleh karena itu, kami tidak dapat melihat apakah halaman phishing juga akan mencoba mencuri cookie sesi yang didukung MFA (token autentikasi) seperti banyak halaman phishing tingkat lanjut.

Melindungi brankas kata sandi Anda
Dalam hal melindungi brankas kata sandi Anda dari serangan phishing, garis pertahanan pertama selalu mengonfirmasi bahwa Anda memasukkan kredensial di situs web yang benar.

Namun, jika Anda salah memasukkan kredensial di situs phishing, Anda harus selalu mengonfigurasi autentikasi multifaktor dengan pengelola kata sandi.

Serangan phishing AiTM adalah saat pelaku ancaman menggunakan perangkat khusus seperti Evilginx2, Modlishka, dan Muraena untuk membuat halaman arahan phishing yang mewakili formulir masuk yang sah di layanan yang ditargetkan.

Dengan menggunakan metode ini, pengunjung halaman phishing akan melihat formulir masuk layanan yang sah, seperti Microsoft 365. Saat mereka memasukkan kredensial dan kode verifikasi MFA, informasi ini juga diteruskan ke situs yang sebenarnya.

Namun, begitu pengguna masuk dan situs yang sah mengirimkan cookie sesi yang didukung MFA, perangkat phishing dapat mencuri token ini untuk digunakan nanti.

phishing attack flow
The flow of an AiTM phishing attack
Source: BleepingComputer

Sayangnya, hal ini membawa kita kembali ke garis pertahanan pertama — pastikan Anda hanya memasukkan kredensial Anda di situs web atau aplikasi seluler yang sah.

selengkapnya : bleepingcomputer

NCSC mengungkap kampanye spear-phishing Iran dan Rusia yang menargetkan Inggris

by

Kelompok ancaman persisten tingkat lanjut (APT) yang bermusuhan yang sejalan dengan kepentingan nasional Iran dan Rusia menargetkan warga negara Inggris termasuk akademisi, aktivis, pekerja amal dan LSM, pejabat pertahanan dan pemerintah, jurnalis, dan politisi, dengan spear-phishing yang dibuat dengan hati-hati dan sangat ditargetkan email, menurut intelijen baru dari National Cyber ​​Security Center (NCSC) Inggris.

Kampanye yang berbeda namun secara teknis serupa dikaitkan dengan keyakinan relatif terhadap TA453 Iran, yang juga menggunakan nama Charming Kitten, dan Seaborgium Rusia, yang juga menggunakan Cold River dan baru-baru ini dikaitkan dengan serangan terhadap mantan kepala MI6 Richard Dearlove dan seorang kelompok pendukung keras Brexit, dan insiden yang menargetkan ilmuwan nuklir AS.

Pola aktivitas dunia maya yang sedang berlangsung diduga, meskipun tidak dikonfirmasi oleh NCSC, terkait dengan pengumpulan intelijen untuk mendukung tujuan APT yang seharusnya membayar pemerintah di Teheran dan Moskow.

Skalanya relatif kecil dan tidak menimbulkan ancaman langsung bagi mayoritas publik Inggris dalam skema besar, menurut direktur operasi NCSC, Paul Chichester, yang mengatakan itu lebih merupakan kecanggihan serangan, daripada volumenya, itu mengkhawatirkan.

“Inggris berkomitmen untuk mengungkap aktivitas siber berbahaya bersama mitra industri kami, dan saran ini meningkatkan kesadaran akan ancaman terus-menerus yang ditimbulkan oleh serangan spear-phishing,” katanya.

Selengkapnya: Computer Weekly

Jaringan toko pakaian tiruan membuka 330.000 kartu kredit pelanggan

by

Jika Anda baru saja melakukan pembelian dari toko online luar negeri yang menjual pakaian dan barang tiruan, ada kemungkinan nomor kartu kredit dan informasi pribadi Anda terungkap.

Sejak 6 Januari, database yang berisi ratusan ribu nomor kartu kredit yang tidak terenkripsi dan informasi pemegang kartu yang sesuai menyebar ke web terbuka.

Pada saat ditarik offline pada hari Selasa, database memiliki sekitar 330.000 nomor kartu kredit, nama pemegang kartu, dan alamat penagihan lengkap — dan meningkat secara real-time saat pelanggan melakukan pemesanan baru.

Data tersebut berisi semua informasi yang dibutuhkan penjahat untuk melakukan transaksi penipuan dan pembelian menggunakan informasi pemegang kartu.

Nomor kartu kredit milik pelanggan yang melakukan pembelian melalui jaringan toko online yang hampir identik yang mengklaim menjual barang dan pakaian bermerek.

etapi toko-toko tersebut memiliki masalah keamanan yang sama: Setiap kali pelanggan melakukan pembelian, data kartu kredit dan informasi penagihan mereka disimpan dalam database, yang dibiarkan terekspos ke internet tanpa kata sandi.

Siapa pun yang mengetahui alamat IP database dapat mengakses rim data keuangan yang tidak terenkripsi.

Anurag Sen, seorang peneliti keamanan dengan itikad baik, menemukan catatan kartu kredit yang terbuka dan meminta bantuan TechCrunch untuk melaporkannya kepada pemiliknya.

Sen memiliki rekam jejak yang baik dalam memindai internet untuk mencari server yang terbuka dan data yang dipublikasikan secara tidak sengaja, dan melaporkannya ke perusahaan untuk mengamankan sistem mereka.

Selengkapnya: Tech Crunch

Hati-hati Pengguna Android: Malware Hook Baru dengan Kemampuan RAT Muncul

by

trojan

Aktor ancaman di balik trojan perbankan BlackRock dan ERMAC Android telah merilis malware lain untuk disewakan yang disebut Hook yang memperkenalkan kemampuan baru untuk mengakses file yang disimpan di perangkat dan membuat sesi interaktif jarak jauh.

ThreatFabric, dalam laporan yang dibagikan dengan The Hacker News, mencirikan Hook sebagai fork ERMAC baru yang diiklankan untuk dijual seharga $7.000 per bulan sambil menampilkan “semua kemampuan pendahulunya”.

Sebagian besar aplikasi keuangan yang ditargetkan oleh malware tersebut berada di AS, Spanyol, Australia, Polandia, Kanada, Turki, Inggris, Prancis, Italia, dan Portugal.

Hook adalah hasil karya aktor ancaman yang dikenal sebagai DukeEugene dan mewakili evolusi terbaru ERMAC, yang pertama kali diungkapkan pada September 2021 dan didasarkan pada trojan lain bernama Cerberus yang kode sumbernya bocor pada tahun 2020.

Keluarga Malware Terdeteksi Paling Banyak

Di antara fitur-fitur utama lainnya yang akan ditambahkan ke Hook adalah kemampuan untuk melihat dan berinteraksi dari jarak jauh dengan layar perangkat yang terinfeksi, mendapatkan file, mengekstrak frase benih dari dompet crypto, dan melacak lokasi ponsel, mengaburkan batas antara spyware dan malware perbankan.

ThreatFabric mengatakan artefak Hook diamati sejauh ini dalam tahap pengujian, tetapi mencatat bahwa itu dapat dikirimkan melalui kampanye phishing, saluran Telegram, atau dalam bentuk aplikasi dropper Google Play Store.

selengkapnya : thehackernews

Serangan ‘Blank Image’ baru menyembunyikan skrip phishing di file SVG

by

Teknik phishing yang tidak biasa telah diamati di alam liar, menyembunyikan file SVG kosong di dalam lampiran HTML yang berpura-pura menjadi dokumen DocuSign.

Peneliti keamanan di penyedia keamanan email Avanan menamakannya “Blank Image.” Mereka menjelaskan bahwa serangan tersebut memungkinkan pelaku phishing untuk menghindari deteksi URL pengalihan.

Email phishing yang dikirim ke calon korban dimaksudkan sebagai dokumen dari DocuSign, merek yang banyak disalahgunakan karena banyak penerima mengetahuinya dari pekerjaan kantor mereka.

File HTML populer di kalangan pelaku phishing karena biasanya diabaikan oleh produk keamanan email sehingga memiliki peluang lebih tinggi untuk mencapai kotak masuk target.

Jika korban mengklik tombol “Lihat Dokumen Lengkap”, mereka akan dibawa ke halaman web DocuSign asli. Namun, jika mereka mencoba membuka lampiran HTML, serangan ‘Gambar Kosong’ diaktifkan.

Tidak seperti gambar raster, seperti JPG dan PNG, SVG adalah gambar vektor berbasis XML dan dapat berisi tag skrip HTML. Saat dokumen HTML menampilkan gambar SVG melalui tag atau