Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

ICO Dipukul 2650% Peningkatan Serangan Email

by

Kantor Komisaris Informasi (ICO) Inggris mengalami peningkatan serangan email sebesar 2650% selama tahun 2021, menurut angka resmi yang diperoleh oleh think tank Parliament Street setelah permintaan Kebebasan Informasi.

Angka-angka tersebut mengungkapkan bahwa serangan email yang menargetkan regulator perlindungan data dan privasi Inggris melonjak dari 150.317 pada Januari menjadi 4.135.075 pada Desember yang luar biasa. Data tersebut terkait dengan volume email phishing yang terdeteksi, malware yang terdeteksi dan diblokir, serta spam yang terdeteksi dan diblokir oleh ICO untuk setiap bulan tahun lalu.

Email spam mewakili sebagian besar serangan, dengan kasus melonjak 2775% dari Januari hingga Desember. Email phishing juga meningkat secara signifikan selama periode ini, sebesar 20%, sementara malware melonjak sebesar 423%.

Data menunjukkan lonjakan yang sangat besar dalam serangan email pada bulan Desember, dengan 4.125.992 pesan spam, 7886 email phishing, dan 1.197 malware. Lonjakan ini diperkirakan terkait dengan penyebaran cepat varian Omicron di Inggris pada akhir tahun lalu, dengan pelaku ancaman dapat memanfaatkan topik seperti pengujian dan vaksin sebagai daya tarik.

“Keamanan siber bukan hanya tentang melindungi titik akhir melalui solusi keamanan siber anti-malware atau email. Meskipun ini penting, sekarang ada berbagai titik akses bagi penjahat dunia maya untuk dimanfaatkan yang perlu diperhatikan oleh para pemimpin TI. Ini termasuk aplikasi rentan yang belum ditambal dan kerentanan jaringan, kredensial masuk yang dicuri atau dibeli secara ilegal atau bahkan dengan meretas perangkat pintar yang tidak dilindungi.”

Steven Peake, manajer Barracuda Networks berkomentar: “Pandemi terus menjadi katalisator bagi penjahat cyber oportunistik untuk mencoba dan memangsa orang-orang yang tidak curiga dan rentan. Penelitian kami baru-baru ini menunjukkan lonjakan 521% dalam serangan phishing terkait tes COVID-19, jadi tidak mengherankan jika melihat organisasi besar, seperti ICO, terkena ancaman dalam jumlah besar karena mewakili target yang menguntungkan. Email phishing, malware, dan spam, khususnya, merupakan sebagian besar ancaman yang dihadapi organisasi ini, sehingga mereka perlu menerapkan langkah-langkah untuk melindungi diri mereka sendiri. Para penyerang siber ini tidak akan pergi ke mana pun dalam waktu dekat.”

Tahun lalu, pemerintah Inggris mengumumkan rencana untuk mengubah struktur ICO sebagai bagian dari rencana untuk mereformasi sektor data negara.

Sumber : Info Security

FBI memperingatkan posting pekerjaan palsu yang digunakan untuk mencuri uang, info pribadi

by

Scammers mencoba mencuri uang dan informasi pribadi pencari kerja melalui kampanye phishing menggunakan iklan palsu yang diposting di platform rekrutmen.

Peringatan itu diterbitkan hari ini sebagai pengumuman layanan publik (PSA) di Pusat Pengaduan Kejahatan Internet Biro (IC3).

“Penipu ini memberikan kredibilitas pada skema mereka dengan menggunakan informasi yang sah untuk meniru bisnis, mengancam kerusakan reputasi bisnis dan kerugian finansial bagi pencari kerja.”

Penjahat memanfaatkan kurangnya standar verifikasi keamanan yang kuat di situs web rekrutmen untuk memposting lowongan pekerjaan palsu yang tidak dapat dibedakan dari yang diterbitkan oleh perusahaan yang mereka tiru.

“Daftar pekerjaan palsu termasuk tautan dan informasi kontak yang mengarahkan pelamar ke situs web palsu, alamat email, dan nomor telepon yang dikendalikan oleh scammers di mana informasi pribadi pelamar dapat dicuri dan kemudian dijual atau digunakan dalam penipuan tambahan,” jelas FBI.

FBI menyarankan pencari kerja untuk memverifikasi iklan pekerjaan yang ditemukan di situs jejaring dengan menghubungi departemen SDM perusahaan atau di situs resminya.

Mereka juga disarankan untuk hanya memberikan PII dan info keuangan secara langsung atau panggilan video, hanya setelah memverifikasi identitas mereka.

“Pandemi COVID-19 telah secara drastis mengubah proses wawancara dan perekrutan sehingga sangat penting bagi bisnis dan pelamar kerja untuk memverifikasi keabsahan posting dan peluang kerja,” tambah FBI.

“FBI mendesak publik Amerika untuk berhati-hati saat melamar dan menerima posisi melalui proses jarak jauh yang membatasi atau tidak ada pertemuan langsung, kontak, dan orientasi.”

Selengkapnya : Bleeping Computer

Microsoft memperingatkan kampanye phishing multi-tahap yang memanfaatkan Azure AD

by

Analis ancaman Microsoft telah menemukan kampanye phishing multi-fase skala besar yang menggunakan kredensial curian untuk mendaftarkan perangkat ke jaringan target dan menggunakannya untuk mendistribusikan email phishing.

Serangan tersebut hanya terwujud melalui akun yang tidak memiliki perlindungan otentikasi multi-faktor (MFA), yang membuatnya lebih mudah untuk dibajak.

Pelaku ancaman menyebarkan serangan dalam dua tahap, yang pertama dirancang untuk mencuri kredensial email penerima, memikat mereka dengan email bertema DocuSign yang mendesak untuk meninjau dan menandatangani dokumen.

Umpan DocuSign dikirim dalam gelombang pertama serangan
Sumber: Microsoft

Tautan yang disematkan membawa korban ke URL phishing yang meniru halaman masuk Office 365 dan mengisi nama pengguna korban untuk meningkatkan kredibilitas.

Data telemetri Microsoft menunjukkan bahwa fase pertama serangan difokuskan terutama pada perusahaan yang berlokasi di Australia, Singapura, Indonesia, dan Thailand.

Para aktor berusaha untuk berkompromi dengan karyawan yang bekerja jarak jauh, titik layanan terkelola yang tidak terlindungi dengan baik, dan infrastruktur lain yang mungkin beroperasi di luar kebijakan keamanan yang ketat.

Penyelidikan selanjutnya mengungkapkan bahwa lebih dari seratus kotak surat di beberapa organisasi telah disusupi dengan aturan kotak surat berbahaya bernama “Filter Spam”.

Dengan kredensial di tangan, penyerang menginstal Outlook di mesin mereka sendiri (Windows 10) dan masuk ke akun email pengguna. Tindakan ini menyebabkan perangkat penyerang terhubung secara otomatis ke perusahaan Azure Active Directory dan mendaftarkannya.

Setelah perangkat penyerang ditambahkan ke jaringan organisasi, pelaku ancaman melanjutkan ke tahap kedua, mengirim email ke karyawan perusahaan yang ditargetkan dan target eksternal seperti kontraktor, pemasok, atau mitra.

Rantai serangan phishing
Sumber: Microsoft

Karena pesan ini berasal dari ruang kerja tepercaya, pesan tersebut tidak ditandai oleh solusi keamanan dan membawa elemen legitimasi intrinsik yang meningkatkan peluang keberhasilan aktor.

Azure AD memicu stempel waktu aktivitas saat perangkat mencoba mengautentikasi, yang merupakan kesempatan kedua bagi pembela HAM untuk menemukan pendaftaran yang mencurigakan.

Acara pendaftaran yang mencurigakan
Sumber: Microsoft

Jika pendaftaran tidak diketahui, aktor diizinkan untuk mengirim pesan dari bagian domain yang dikenali dan tepercaya menggunakan kredensial valid yang dicuri di Outlook.

Kampanye phishing ini licik dan cukup berhasil, tetapi tidak akan seefektif jika perusahaan yang ditargetkan mengikuti salah satu praktik berikut:

  • Semua karyawan telah mengaktifkan MFA di akun Office 365 mereka.
  • Terapkan solusi perlindungan titik akhir yang dapat mendeteksi pembuatan aturan kotak masuk.
  • Pendaftaran perangkat Azure AD dipantau secara ketat.
  • Pendaftaran Azure AD memerlukan MFA.
  • Kebijakan tanpa kepercayaan diterapkan di semua bagian jaringan organisasi.

Sumber : Bleeping Computer

Google Drive sekarang memperingatkan Anda tentang phishing yang mencurigakan, dokumen malware

by

Google meluncurkan peringatan baru di Google Drive tentang file yang berpotensi mencurigakan yang dapat digunakan oleh pelaku ancaman untuk pengiriman malware dan dalam serangan phishing.

“Jika pengguna membuka file yang berpotensi mencurigakan atau berbahaya di Google Drive, kami akan menampilkan spanduk peringatan untuk membantu melindungi mereka dan organisasi mereka dari malware, phishing, dan ransomware,” jelas Google.

Saat mendeteksi file mencurigakan di Google Drive Anda, aplikasi akan menampilkan “File ini terlihat mencurigakan. Mungkin digunakan untuk mencuri informasi pribadi Anda.”

Spanduk peringatan file mencurigakan Google Drive (Google)

Spanduk peringatan Google Drive tentang file mencurigakan tersedia untuk semua pelanggan Google Workspace, serta pelanggan G Suite Basic dan Business.

Perlindungan baru telah mulai diluncurkan secara bertahap ke semua pengguna di Rilis Cepat atau di trek Rilis Terjadwal Peluncuran bertahap dimulai pada 20 Januari 2022

Tahun lalu, Google juga menambahkan perlindungan phishing dan malware Google Drive baru dalam lingkungan perusahaan yang secara otomatis menandai semua file yang mencurigakan, sehingga hanya dapat dilihat oleh pemilik dan adminnya.

Dengan demikian, hal tersebut mengurangi jumlah pengguna dari terkena dampak serangan berbahaya yang menyalahgunakan Google Drive untuk pengiriman phishing dan malware.

Penambahan baru ini berfokus pada keamanan data yang lebih kuat dan datang setelah rilis Penjelajahan Aman, layanan daftar blokir Google yang dirancang untuk melindungi miliaran perangkat dan pengguna Chrome, Android, dan Gmail.

Sumber : Bleeping Computer

Pusat Keamanan Siber Inggris menerbitkan panduan baru untuk memerangi smishing

by

Pusat Keamanan Siber Nasional Inggris (NCSC) telah menerbitkan panduan baru untuk diikuti organisasi saat berkomunikasi dengan pelanggan melalui SMS atau panggilan telepon.

Tujuan dari pedoman baru ini adalah untuk mempersulit scammers untuk mengelabui publik dan mengarahkan pengguna ke situs phishing.

Tindakan ini dilakukan sebagai tanggapan atas peningkatan mengkhawatirkan dalam penipuan yang menipu merek-merek populer, dengan pengiriman parsel palsu menjadi tema yang dominan.

Panduan mengirim pesan :

  • Gunakan nomor lima digit alih-alih nomor telepon biasa.
  • Gunakan SenderID yang muncul sebagai pengganti nomor pengirim dan secara konsisten di semua komunikasi dan daftarkan ke MEF.
  • Gunakan sesedikit mungkin penyedia distribusi SMS, dan audit semua pesan untuk memvalidasi konten.

Panduan panggilan telepon kepada konsumen :

  • Dorong pelanggan untuk menelepon Anda dan memberikan informasi tentang cara melakukannya di situs resmi.
  • Pastikan bahwa penyedia layanan mengikuti ‘Ketentuan Umum Kepemilikan’.
  • Pertahankan konsistensi dengan menggunakan nomor yang sama untuk menelepon orang.
  • Nomor yang digunakan hanya untuk penerimaan panggilan harus ditambahkan ke daftar ‘Jangan Asal’.

Konsumen juga perlu melakukan bagian mereka dengan mengingat hal-hal berikut:

  • Pesan yang sah biasanya konsisten dan lugas.
  • Nomor telepon dan alamat email yang digunakan minimal.
  • SenderID yang valid biasanya tidak menampilkan karakter khusus.
  • Validitas alamat dan nomor pengirim harus mudah diverifikasi di situs web resmi entitas.

Secara umum, jika ada yang salah saat berbicara dengan seseorang, tanyakan namanya dan tutup telepon. Kemudian, hubungi organisasi secara mandiri menggunakan nomor yang akan Anda temukan di situs web mereka dan mintalah untuk berbicara dengan agen yang menghubungi Anda.

Sumber : Bleeping Computer

FBI memperingatkan tentang penipuan otentikasi Google Voice yang sedang berlangsung

by

Biro Investigasi Federal (FBI) mengatakan orang Amerika yang membagikan nomor telepon mereka secara online menjadi sasaran penipuan otentikasi Google Voice.

Seperti yang dijelaskan oleh badan penegak hukum federal, para penipu menargetkan mereka yang telah memposting nomor telepon mereka sebagai bentuk kontak ketika mencoba menjual berbagai barang di pasar online atau aplikasi media sosial.

Jika berhasil, mereka akan membuat akun Google Voice atas nama korbannya atau membajak akun Gmail mereka yang nantinya akan digunakan dalam skema penipuan lain atau dalam serangan phishing.

Penipu akan menjangkau target mereka melalui pesan teks atau email yang menunjukkan minat mereka pada barang yang dijual, meminta penjual untuk memverifikasi bahwa penawaran mereka sah dan mereka adalah orang sungguhan dan bukan bot dengan membagikan kode otentikasi yang mereka berikan. akan menerima dari Google.

“Apa yang sebenarnya dia lakukan adalah menyiapkan akun Google Voice atas nama Anda menggunakan nomor telepon asli Anda sebagai verifikasi,” tambah agensi.

“Setelah diatur, dia dapat menggunakan akun Google Voice itu untuk melakukan sejumlah penipuan terhadap korban lain yang tidak akan langsung kembali kepadanya. Dia juga dapat menggunakan kode itu untuk mendapatkan akses dan mengambil alih akun Gmail Anda. ”

Apa yang harus dilakukan jika Anda menjadi target penipuan otentikasi?
FBI menyarankan korban untuk memeriksa situs web dukungan Google untuk informasi tentang cara mengambil kembali kendali akun Google Voice mereka dan mendapatkan kembali nomor Voice mereka.

Agen federal juga memberikan tip berikut untuk menghindari scammed di tempat pertama jika Anda pernah menjadi target:

  • Jangan pernah membagikan kode verifikasi Google dengan orang lain.
  • Hanya berurusan dengan pembeli, penjual, dan pencari Fluffy secara langsung. Jika uang akan ditukarkan, pastikan Anda menggunakan pemroses pembayaran yang sah.
  • Jangan memberikan alamat email Anda kepada pembeli/penjual yang melakukan bisnis melalui telepon.
  • Jangan biarkan seseorang membuat Anda terburu-buru dalam penjualan. Jika mereka menekan Anda untuk merespons, kemungkinan besar mereka mencoba memanipulasi Anda untuk bertindak tanpa berpikir.

Sumber : Bleeping Computer

Serangan phishing menyamar sebagai Pfizer dalam permintaan penawaran palsu

by

Pelaku ancaman sedang melakukan kampanye phishing yang sangat bertarget yang menyamar sebagai Pfizer untuk mencuri informasi bisnis dan keuangan dari korban.

Pfizer adalah perusahaan farmasi terkenal yang memproduksi salah satu vaksin mRNA yang saat ini tersedia untuk melawan COVID-19.

Pelaku phishing bertujuan untuk mengeksploitasi nama merek Pfizer, karena peluang keberhasilan mereka meningkat secara dramatis dibandingkan dengan meniru entitas fiksi.

Dalam laporan baru INKY, para peneliti menjelaskan bahwa pelaku ancaman meniru Pfizer dalam kampanye email phishing yang dimulai sekitar 15 Agustus 2021.

Pelaku di balik kampanye ini rajin dalam operasi phishing mereka, menggabungkan lampiran PDF “bersih” dengan domain baru terdaftar yang muncul sebagai online space resmi Pfizer.

Kemudian, mereka menelurkan akun email dari domain ini untuk distribusi email phishing guna melewati solusi perlindungan email.

Domain didaftarkan melalui Namecheap, yang menerima cryptocurrency sebagai metode pembayaran, memungkinkan para aktor untuk tetap anonim.

Beberapa contoh yang dilihat oleh INKY adalah:

  • pfizer-nl[.]com
  • pfizer-bv[.]org
  • pfizerhtlinc[.]xyz
  • pfizertenders[.]xyz

Baris subjek biasanya melibatkan kutipan mendesak, undangan untuk menawar, dan topik terkait pasokan peralatan industri.

Sementara tujuan yang sebenernya dari kampanye ini kurang jelas, fakta bahwa persyaratan pembayaran termasuk dalam PDF merupakan indikasi bahwa pelaku ancaman akan meminta penerima untuk membagikan rincian perbankan mereka.

Jika informasi pembayaran diberikan, itu dapat digunakan oleh penyerang dalam kampanye BEC di masa mendatang yang dapat digunakan terhadap pelanggan perusahaan yang ditargetkan.

Selengkapnya: Bleeping Computer

Kampanye phishing menggunakan macro PowerPoint untuk menjatuhkan Agent Tesla

by

Varian baru dari malware Agent Tesla telah terlihat dalam kampanye phishing yang sedang berlangsung yang mengandalkan dokumen Microsoft PowerPoint yang dicampur dengan kode macro berbahaya.

Agent Tesla adalah pencuri informasi berbasis .Net yang telah beredar di internet selama bertahun-tahun tetapi tetap menjadi ancaman di tangan pelaku phishing.

Dalam kampanye terbaru, peneliti di Fortinet menjelaskan bahwa pelaku ancaman menargetkan pengguna Korea dengan email yang diduga berisi detail “pesanan”.

Karena lampiran adalah file PowerPoint, kemungkinan meyakinkan penerima bahwa mereka perlu “mengaktifkan konten” di Microsoft Office untuk melihatnya dengan benar meningkat.

Agent Tesla memiliki keylogger, cookie browser dan pencuri kredensial yang disimpan, sniffer data Clipboard, dan bahkan alat tangkapan layar.

Penyerang dapat memilih fitur mana yang akan diaktifkan selama kompilasi payload, sehingga memilih antara keseimbangan kekuatan dan siluman.

Secara total, Agent Tesla dapat mengambil data dari lebih dari 70 aplikasi, dengan yang paling populer tercantum di bawah ini.

Chromium-based Web Browsers:

Epic Privacy, Uran, Chedot, Comodo Dragon, Chromium, Orbitum, Cool Novo, Sputnik, Coowon, Brave, Liebao Browser, Elements Browser, Sleipnir 6, Vivaldi, 360 Browser, Torch Browser, Yandex Browser, QIP Surf, Amigo, Kometa, Citrio, Opera Browser, CentBrowser, 7Star, Coccoc, and Iridium Browser

Web Browsers:

Chrome, Microsoft Edge, Firefox, Safari, IceCat, Waterfox, Tencent QQBrowser, Flock Browser, SeaMonkey, IceDragon, Falkon, UCBrowser, Cyberfox, K-Meleon, PaleMoon

VPN clients:

OpenVPN, NordVPN, RealVNC, TightVNC, UltraVNC, Private Internet Access VPN

Dan masih banyak lagi. Lalu bagaimana cara melindungi diri dari Agent Tesla?
Pertahankan perisai keamanan Internet Anda, perbarui perangkat lunak Anda, Nonaktifkan macro Microsoft Office Anda, dan kendalikan rasa ingin tahu Anda.

Selengkapnya: Bleeping Computer