Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

Pengguna OpenSea kehilangan NFT senilai $2 juta dalam serangan phishing

by

Pasar non-fungible token (NFT) OpenSea sedang menyelidiki serangan phishing yang menyebabkan 17 penggunanya tidak memiliki lebih dari 250 NFT senilai sekitar $2 juta.

NFT mewakili data yang disimpan di blockchain, Ethereum dalam hal ini, yang menyatakan kepemilikan file digital, biasanya file media karya seni.

Para peneliti di Check Point mengatakan bahwa pelaku phishing mengetahui tentang OpenSea yang meningkatkan sistem kontrak pintarnya untuk membersihkan daftar lama dan tidak aktif di platform dan bersiap untuk migrasi dengan email dan situs web mereka sendiri.

OpenSea memberi tahu penggunanya bahwa mereka harus memperbarui daftar mereka antara 18 – 25 Februari jika mereka ingin terus menggunakan platform.

Untuk membantu mereka dalam prosesnya, platform mengirim email kepada semua pengguna dengan instruksi tentang cara mengonfirmasi migrasi daftar.

Pelaku phishing mengambil keuntungan dari proses ini dan menggunakan alamat email mereka sendiri untuk mengirim pesan dari OpenSea ke pengguna yang divalidasi, menipu mereka dengan berpikir bahwa konfirmasi asli mereka tidak berhasil.

Email phishing yang dikirim oleh pelaku ancaman terlihat identik dengan yang asli (Check Point)

Tautan yang disematkan ke dalam email palsu itu mengarah ke situs web phishing tempat para korban diminta untuk menandatangani transaksi, yang diduga terkait dengan migrasi.

Permintaan transaksi asli dan berbahaya berdampingan (Check Point)

Seperti yang dijelaskan oleh Check Point, aktor tersebut bahkan melakukan uji coba pada 21 Januari 2022, untuk memverifikasi bahwa serangan itu akan berhasil sebagaimana dimaksud.

OpenSea dengan cepat menunjukkan bahwa serangan itu tidak mengeksploitasi kerentanan apa pun pada platform atau sistem perdagangannya, melainkan hanya mengandalkan menipu pengguna melalui phishing.

Dengan demikian, platform telah menyarankan pengguna untuk tetap waspada dan menghindari mengikuti tautan apa pun yang bukan milik domain opensea.io.

Selain itu, email phishing dikonfirmasi berasal dari luar platform, yang mengonfirmasi bahwa sistem distribusi email platform tidak disusupi.

Menandatangani transaksi tanpa memperhatikan memberikan izin kepada orang lain untuk mentransfer kepemilikan aset digital Anda. Permintaan dari platform pertukaran dikecualikan, semua permintaan transaksi lainnya harus ditolak.

Sumber : Bleeping Computer

FBI memperingatkan penyerang BEC yang menyamar sebagai CEO dalam pertemuan virtual

by

Biro Investigasi Federal (FBI) hari ini memperingatkan bahwa organisasi dan individu AS semakin menjadi sasaran dalam serangan BEC (kompromi email bisnis) pada platform pertemuan virtual.

Penipu BEC dikenal menggunakan berbagai taktik (termasuk rekayasa sosial, phishing, dan peretasan) untuk menyusupi akun email bisnis dengan tujuan akhir mengalihkan pembayaran ke rekening bank mereka sendiri.

Dalam jenis serangan ini, para penjahat menargetkan bisnis kecil, menengah, dan besar, serta individu. Tingkat keberhasilannya juga sangat tinggi karena penipu biasanya berpura-pura sebagai orang yang dipercaya oleh karyawan, seperti mitra bisnis atau CEO.

FBI mengatakan mereka melihat scammers beralih ke platform pertemuan virtual yang cocok dengan tren keseluruhan bisnis yang pindah ke pekerjaan jarak jauh selama pandemi.

Seperti yang dijelaskan dalam PSA FBI, para penjahat menggunakan platform kolaborasi tersebut dalam serangan mereka dengan berbagai cara, termasuk menyamar sebagai CEO dalam rapat virtual dan menyusup ke rapat untuk mengumpulkan informasi bisnis:

  • Mengganggu email majikan atau direktur keuangan, seperti CEO atau CFO, dan meminta karyawan untuk berpartisipasi dalam platform pertemuan virtual di mana penjahat akan menyisipkan gambar diam CEO tanpa audio, atau audio “deep fake1”, dan mengklaim mereka video/audio tidak berfungsi dengan baik. Mereka kemudian melanjutkan untuk menginstruksikan karyawan untuk melakukan transfer dana melalui obrolan platform pertemuan virtual atau dalam email tindak lanjut.
  • Mengkompromikan email karyawan untuk memasukkan diri mereka ke dalam rapat di tempat kerja melalui platform rapat virtual untuk mengumpulkan informasi tentang operasi bisnis sehari-hari.
  • Mengganggu email pemberi kerja, seperti CEO, dan mengirim email palsu kepada karyawan yang menginstruksikan mereka untuk melakukan transfer dana, karena CEO mengklaim sedang sibuk dalam rapat virtual dan tidak dapat melakukan transfer dana melalui komputer mereka sendiri.

      • Menurut laporan tahunan FBI tahun 2020 tentang kejahatan dunia maya, penipuan BEC adalah “bisnis” yang sangat menguntungkan, mengingat serangan BEC berada di balik rekor jumlah keluhan dan kerugian finansial sekitar $1,8 miliar.

      Ini adalah bagian terbesar dari $ 4,2 miliar yang secara resmi hilang karena kejahatan dunia maya oleh orang Amerika pada tahun 2020.

      Dari 791.790 pengaduan yang diterima oleh Pusat Pengaduan Kejahatan Internet (IC3) FBI, 19.369 pengaduan adalah tentang penipuan BEC atau kompromi akun email (EAC).

      FBI juga memperingatkan perusahaan sektor swasta AS pada Maret 2021 tentang serangan BEC yang semakin menargetkan entitas pemerintah negara bagian, lokal, suku, dan teritorial (SLTT).

      Dalam peringatan sebelumnya, FBI mengatakan penipu BEC menyalahgunakan layanan email cloud seperti Google G Suite dan Microsoft Office 365, serta penerusan otomatis email dalam serangan mereka.

      Sumber : Bleeping Computer

Phishing LinkedIn Besar-besaran, Serangan Bot Memberi Makan pada Orang yang Lapar

by

Rentan secara emosional dan bersedia menawarkan informasi apa pun yang menarik perhatian, pencari kerja adalah target utama untuk kampanye rekayasa sosial. Dan dengan “Pengunduran Diri Hebat” dalam ayunan penuh, penjahat dunia maya dengan mudah menemukan korban berikutnya.

Sejak 1 Februari, analis telah menyaksikan serangan email phishing yang meniru LinkedIn melonjak 232 persen, mencoba mengelabui pencari kerja agar menyerahkan kredensial mereka.

Email tersebut memiliki baris subjek yang akan menarik bagi pencari kerja yang berharap diperhatikan, seperti, “Siapa yang mencari Anda secara online”, “Anda muncul dalam 4 pencarian minggu ini” atau bahkan “Anda memiliki 1 pesan baru”, kata tim Egress .

Email phishing itu sendiri adalah penipuan yang meyakinkan, dibangun dalam template HTML dengan logo, warna, dan ikon LinkedIn, tambah laporan itu. Para scammer juga memeriksa nama perusahaan terkenal di seluruh isi email phishing, termasuk American Express dan CVS Carepoint, untuk membuat korespondensi tampak lebih sah, kata para analis.

Bahkan footer email mengangkat alamat kantor pusat perusahaan dan menyertakan tautan “berhenti berlangganan” untuk menambah keaslian email, para analis menunjukkan.

“Anda juga dapat melihat spoofing nama tampilan LinkedIn, yang dirancang untuk menyembunyikan akun email web yang digunakan untuk meluncurkan serangan,” kata laporan itu.

Setelah korban mengklik tautan berbahaya di email, mereka diarahkan ke situs untuk memanen login dan kata sandi LinkedIn mereka.

“Sementara nama tampilan selalu LinkedIn dan semua email mengikuti pola yang sama, serangan phishing dikirim dari alamat webmail berbeda yang tidak memiliki korelasi satu sama lain,” tambah para analis.

Selain menggunakan prospek pekerjaan potensial untuk mengelabui target agar batuk kredensial mereka, Imperva, dalam laporan terpisah, merinci bagaimana menghentikan serangan bot terbesar yang pernah dilihat perusahaan hingga saat ini, di situs daftar pekerjaan global.

Imperva tidak secara spesifik menyebutkan nama perusahaan, tetapi perusahaan mengatakan bahwa mereka dibombardir dengan 400 juta permintaan bot lebih dari 400.000 alamat IP unik selama empat hari yang mencoba mengikis semua data pencari kerja.

Tim Imperva menambahkan bahwa jenis serangan pengikisan web ini umum terjadi dan dapat mengakibatkan “tingkat konversi yang lebih rendah, analisis pemasaran yang miring, penurunan peringkat SEO, latensi situs web, dan bahkan waktu henti (biasanya disebabkan oleh scraper agresif).”

Musim panas lalu, serangan pengikisan data besar-besaran terhadap LinkedIn ditemukan telah mengumpulkan setidaknya 1,2 miliar catatan pengguna yang kemudian dijual di forum bawah tanah. Pada saat itu, LinkedIn menegaskan kembali bahwa data yang tergores adalah informasi publik, bukan informasi pribadi, dan tidak memenuhi syarat sebagai pelanggaran.

Itu membuat pengguna individu harus memperhatikan informasi yang mereka ekspos secara publik dan bagaimana hal itu dapat digunakan untuk mengelabui mereka agar mengklik tautan berbahaya.

Sumber : Threat Post

ICO Dipukul 2650% Peningkatan Serangan Email

by

Kantor Komisaris Informasi (ICO) Inggris mengalami peningkatan serangan email sebesar 2650% selama tahun 2021, menurut angka resmi yang diperoleh oleh think tank Parliament Street setelah permintaan Kebebasan Informasi.

Angka-angka tersebut mengungkapkan bahwa serangan email yang menargetkan regulator perlindungan data dan privasi Inggris melonjak dari 150.317 pada Januari menjadi 4.135.075 pada Desember yang luar biasa. Data tersebut terkait dengan volume email phishing yang terdeteksi, malware yang terdeteksi dan diblokir, serta spam yang terdeteksi dan diblokir oleh ICO untuk setiap bulan tahun lalu.

Email spam mewakili sebagian besar serangan, dengan kasus melonjak 2775% dari Januari hingga Desember. Email phishing juga meningkat secara signifikan selama periode ini, sebesar 20%, sementara malware melonjak sebesar 423%.

Data menunjukkan lonjakan yang sangat besar dalam serangan email pada bulan Desember, dengan 4.125.992 pesan spam, 7886 email phishing, dan 1.197 malware. Lonjakan ini diperkirakan terkait dengan penyebaran cepat varian Omicron di Inggris pada akhir tahun lalu, dengan pelaku ancaman dapat memanfaatkan topik seperti pengujian dan vaksin sebagai daya tarik.

“Keamanan siber bukan hanya tentang melindungi titik akhir melalui solusi keamanan siber anti-malware atau email. Meskipun ini penting, sekarang ada berbagai titik akses bagi penjahat dunia maya untuk dimanfaatkan yang perlu diperhatikan oleh para pemimpin TI. Ini termasuk aplikasi rentan yang belum ditambal dan kerentanan jaringan, kredensial masuk yang dicuri atau dibeli secara ilegal atau bahkan dengan meretas perangkat pintar yang tidak dilindungi.”

Steven Peake, manajer Barracuda Networks berkomentar: “Pandemi terus menjadi katalisator bagi penjahat cyber oportunistik untuk mencoba dan memangsa orang-orang yang tidak curiga dan rentan. Penelitian kami baru-baru ini menunjukkan lonjakan 521% dalam serangan phishing terkait tes COVID-19, jadi tidak mengherankan jika melihat organisasi besar, seperti ICO, terkena ancaman dalam jumlah besar karena mewakili target yang menguntungkan. Email phishing, malware, dan spam, khususnya, merupakan sebagian besar ancaman yang dihadapi organisasi ini, sehingga mereka perlu menerapkan langkah-langkah untuk melindungi diri mereka sendiri. Para penyerang siber ini tidak akan pergi ke mana pun dalam waktu dekat.”

Tahun lalu, pemerintah Inggris mengumumkan rencana untuk mengubah struktur ICO sebagai bagian dari rencana untuk mereformasi sektor data negara.

Sumber : Info Security

FBI memperingatkan posting pekerjaan palsu yang digunakan untuk mencuri uang, info pribadi

by

Scammers mencoba mencuri uang dan informasi pribadi pencari kerja melalui kampanye phishing menggunakan iklan palsu yang diposting di platform rekrutmen.

Peringatan itu diterbitkan hari ini sebagai pengumuman layanan publik (PSA) di Pusat Pengaduan Kejahatan Internet Biro (IC3).

“Penipu ini memberikan kredibilitas pada skema mereka dengan menggunakan informasi yang sah untuk meniru bisnis, mengancam kerusakan reputasi bisnis dan kerugian finansial bagi pencari kerja.”

Penjahat memanfaatkan kurangnya standar verifikasi keamanan yang kuat di situs web rekrutmen untuk memposting lowongan pekerjaan palsu yang tidak dapat dibedakan dari yang diterbitkan oleh perusahaan yang mereka tiru.

“Daftar pekerjaan palsu termasuk tautan dan informasi kontak yang mengarahkan pelamar ke situs web palsu, alamat email, dan nomor telepon yang dikendalikan oleh scammers di mana informasi pribadi pelamar dapat dicuri dan kemudian dijual atau digunakan dalam penipuan tambahan,” jelas FBI.

FBI menyarankan pencari kerja untuk memverifikasi iklan pekerjaan yang ditemukan di situs jejaring dengan menghubungi departemen SDM perusahaan atau di situs resminya.

Mereka juga disarankan untuk hanya memberikan PII dan info keuangan secara langsung atau panggilan video, hanya setelah memverifikasi identitas mereka.

“Pandemi COVID-19 telah secara drastis mengubah proses wawancara dan perekrutan sehingga sangat penting bagi bisnis dan pelamar kerja untuk memverifikasi keabsahan posting dan peluang kerja,” tambah FBI.

“FBI mendesak publik Amerika untuk berhati-hati saat melamar dan menerima posisi melalui proses jarak jauh yang membatasi atau tidak ada pertemuan langsung, kontak, dan orientasi.”

Selengkapnya : Bleeping Computer

Microsoft memperingatkan kampanye phishing multi-tahap yang memanfaatkan Azure AD

by

Analis ancaman Microsoft telah menemukan kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat ke jaringan target dan menggunakannya untuk mendistribusikan email phishing.

Serangan tersebut hanya terwujud melalui akun yang tidak memiliki perlindungan otentikasi multi-faktor (MFA), yang membuatnya lebih mudah untuk dibajak.

Pelaku ancaman menyebarkan serangan dalam dua tahap, yang pertama dirancang untuk mencuri kredensial email penerima, memikat mereka dengan email bertema DocuSign yang mendesak untuk meninjau dan menandatangani dokumen.

Umpan DocuSign dikirim dalam gelombang pertama serangan
Sumber: Microsoft

Tautan yang disematkan membawa korban ke URL phishing yang meniru halaman masuk Office 365 dan mengisi nama pengguna korban untuk meningkatkan kredibilitas.

Data telemetri Microsoft menunjukkan bahwa fase pertama serangan difokuskan terutama pada perusahaan yang berlokasi di Australia, Singapura, Indonesia, dan Thailand.

Para aktor berusaha untuk berkompromi dengan karyawan yang bekerja jarak jauh, titik layanan terkelola yang tidak terlindungi dengan baik, dan infrastruktur lain yang mungkin beroperasi di luar kebijakan keamanan yang ketat.

Penyelidikan selanjutnya mengungkapkan bahwa lebih dari seratus kotak surat di beberapa organisasi telah disusupi dengan aturan kotak surat berbahaya bernama “Filter Spam”.

Dengan kredensial di tangan, penyerang menginstal Outlook di mesin mereka sendiri (Windows 10) dan masuk ke akun email pengguna. Tindakan ini menyebabkan perangkat penyerang terhubung secara otomatis ke perusahaan Azure Active Directory dan mendaftarkannya.

Setelah perangkat penyerang ditambahkan ke jaringan organisasi, pelaku ancaman melanjutkan ke tahap kedua, mengirim email ke karyawan perusahaan yang ditargetkan dan target eksternal seperti kontraktor, pemasok, atau mitra.

Rantai serangan phishing
Sumber: Microsoft

Karena pesan ini berasal dari ruang kerja tepercaya, pesan tersebut tidak ditandai oleh solusi keamanan dan membawa elemen legitimasi intrinsik yang meningkatkan peluang keberhasilan aktor.

Azure AD memicu stempel waktu aktivitas saat perangkat mencoba mengautentikasi, yang merupakan kesempatan kedua bagi pembela HAM untuk menemukan pendaftaran yang mencurigakan.

Acara pendaftaran yang mencurigakan
Sumber: Microsoft

Jika pendaftaran tidak diketahui, aktor diizinkan untuk mengirim pesan dari bagian domain yang dikenali dan tepercaya menggunakan kredensial valid yang dicuri di Outlook.

Kampanye phishing ini licik dan cukup berhasil, tetapi tidak akan seefektif jika perusahaan yang ditargetkan mengikuti salah satu praktik berikut:

  • Semua karyawan telah mengaktifkan MFA di akun Office 365 mereka.
  • Terapkan solusi perlindungan titik akhir yang dapat mendeteksi pembuatan aturan kotak masuk.
  • Pendaftaran perangkat Azure AD dipantau secara ketat.
  • Pendaftaran Azure AD memerlukan MFA.
  • Kebijakan tanpa kepercayaan diterapkan di semua bagian jaringan organisasi.

Sumber : Bleeping Computer

Google Drive sekarang memperingatkan Anda tentang phishing yang mencurigakan, dokumen malware

by

Google meluncurkan peringatan baru di Google Drive tentang file yang berpotensi mencurigakan yang dapat digunakan oleh pelaku ancaman untuk pengiriman malware dan dalam serangan phishing.

“Jika pengguna membuka file yang berpotensi mencurigakan atau berbahaya di Google Drive, kami akan menampilkan spanduk peringatan untuk membantu melindungi mereka dan organisasi mereka dari malware, phishing, dan ransomware,” jelas Google.

Saat mendeteksi file mencurigakan di Google Drive Anda, aplikasi akan menampilkan “File ini terlihat mencurigakan. Mungkin digunakan untuk mencuri informasi pribadi Anda.”

Spanduk peringatan file mencurigakan Google Drive (Google)

Spanduk peringatan Google Drive tentang file mencurigakan tersedia untuk semua pelanggan Google Workspace, serta pelanggan G Suite Basic dan Business.

Perlindungan baru telah mulai diluncurkan secara bertahap ke semua pengguna di Rilis Cepat atau di trek Rilis Terjadwal Peluncuran bertahap dimulai pada 20 Januari 2022

Tahun lalu, Google juga menambahkan perlindungan phishing dan malware Google Drive baru dalam lingkungan perusahaan yang secara otomatis menandai semua file yang mencurigakan, sehingga hanya dapat dilihat oleh pemilik dan adminnya.

Dengan demikian, hal tersebut mengurangi jumlah pengguna dari terkena dampak serangan berbahaya yang menyalahgunakan Google Drive untuk pengiriman phishing dan malware.

Penambahan baru ini berfokus pada keamanan data yang lebih kuat dan datang setelah rilis Penjelajahan Aman, layanan daftar blokir Google yang dirancang untuk melindungi miliaran perangkat dan pengguna Chrome, Android, dan Gmail.

Sumber : Bleeping Computer

Pusat Keamanan Siber Inggris menerbitkan panduan baru untuk memerangi smishing

by

Pusat Keamanan Siber Nasional Inggris (NCSC) telah menerbitkan panduan baru untuk diikuti organisasi saat berkomunikasi dengan pelanggan melalui SMS atau panggilan telepon.

Tujuan dari pedoman baru ini adalah untuk mempersulit scammers untuk mengelabui publik dan mengarahkan pengguna ke situs phishing.

Tindakan ini dilakukan sebagai tanggapan atas peningkatan mengkhawatirkan dalam penipuan yang menipu merek-merek populer, dengan pengiriman parsel palsu menjadi tema yang dominan.

Panduan mengirim pesan :

  • Gunakan nomor lima digit alih-alih nomor telepon biasa.
  • Gunakan SenderID yang muncul sebagai pengganti nomor pengirim dan secara konsisten di semua komunikasi dan daftarkan ke MEF.
  • Gunakan sesedikit mungkin penyedia distribusi SMS, dan audit semua pesan untuk memvalidasi konten.

Panduan panggilan telepon kepada konsumen :

  • Dorong pelanggan untuk menelepon Anda dan memberikan informasi tentang cara melakukannya di situs resmi.
  • Pastikan bahwa penyedia layanan mengikuti ‘Ketentuan Umum Kepemilikan’.
  • Pertahankan konsistensi dengan menggunakan nomor yang sama untuk menelepon orang.
  • Nomor yang digunakan hanya untuk penerimaan panggilan harus ditambahkan ke daftar ‘Jangan Asal’.

Konsumen juga perlu melakukan bagian mereka dengan mengingat hal-hal berikut:

  • Pesan yang sah biasanya konsisten dan lugas.
  • Nomor telepon dan alamat email yang digunakan minimal.
  • SenderID yang valid biasanya tidak menampilkan karakter khusus.
  • Validitas alamat dan nomor pengirim harus mudah diverifikasi di situs web resmi entitas.

Secara umum, jika ada yang salah saat berbicara dengan seseorang, tanyakan namanya dan tutup telepon. Kemudian, hubungi organisasi secara mandiri menggunakan nomor yang akan Anda temukan di situs web mereka dan mintalah untuk berbicara dengan agen yang menghubungi Anda.

Sumber : Bleeping Computer