Phishing

Peretas menguras akun cryptocurrency dari ribuan pengguna Coinbase

October 7, 2021 by Winnie the Pooh

Coinbase, platform yang digunakan untuk membeli, menjual, dan menyimpan cryptocurrency, memberi tahu lebih dari 6.000 pelanggan mereka bahwa mereka menjadi korban kampanye yang ditargetkan untuk mendapatkan akses ke akun mereka yang melibatkan kombinasi serangan phishing dan kelemahan dalam sistem otorisasi dua faktor Coinbase.

Antara Maret dan Mei 2021, peretas berhasil masuk ke akun dan memindahkan dana dari platform, menguras beberapa akun. Ribuan pelanggan sudah mulai mengeluh kepada Coinbase bahwa dana telah hilang dari akun mereka.

Menurut surat yang dikirim ke pengguna, inilah cara Coinbase mengklaim peretas masuk ke akun yang disusupi:

“Untuk mengakses akun Coinbase Anda, pihak ketiga ini terlebih dahulu membutuhkan pengetahuan sebelumnya tentang alamat email, kata sandi, dan nomor telepon yang terkait dengan akun Coinbase Anda, serta akses ke kotak masuk email pribadi Anda. Meskipun kami tidak dapat menentukan secara meyakinkan bagaimana pihak ketiga ini memperoleh akses ke informasi ini, jenis kampanye ini biasanya melibatkan serangan phishing atau teknik rekayasa sosial lainnya untuk mengelabui korban agar secara tidak sadar mengungkapkan kredensial login kepada pelaku. Kami belum menemukan bukti bahwa pihak ketiga ini memperoleh informasi ini dari Coinbase sendiri.”

Beberapa kabar baik untuk para korban: Coinbase sudah mulai mengganti dana untuk beberapa pelanggan dan berjanji bahwa semua pelanggan akan menerima nilai penuh dari dana yang hilang.

“Kami memberi tahu pelanggan secara langsung yang kehilangan dana sebagai akibat dari masalah khusus ini dan membantu mengganti kerugian mereka yang terjadi selama serangan. Harap dicatat, penggantian ini terbatas pada pelanggan yang telah kami konfirmasi sebagai korban serangan ini dan akibatnya kehilangan dana.”

Selengkapnya: PC Gamer

Operasi Phishing-as-a-Service Skala Besar Terkena

September 27, 2021 by Winnie the Pooh

Microsoft menemukan operasi phishing-as-a-service (PhaaS) berskala besar, terorganisir dengan baik, dan canggih.

Platform turnkey memungkinkan pengguna untuk menyesuaikan kampanye dan mengembangkan taktik phishing mereka sendiri sehingga mereka kemudian dapat menggunakan platform PhaaS untuk membantu kit phishing, template email, dan layanan hosting yang diperlukan untuk meluncurkan serangan.

Peneliti Microsoft menemukan operasi tersebut, yang dipasarkan oleh penjahat sebagai BulletProofLink, ketika mereka menemukan volume tinggi subdomain yang baru dibuat dan unik—lebih dari 300.000 dalam sekali jalan, menurut sebuah pos yang diterbitkan oleh Tim Defender Threat Intelligence Microsoft 365.

“Penyelidikan ini membawa kami ke lubang kelinci saat kami menemukan salah satu operasi yang memungkinkan kampanye tersebut,” tulis para peneliti.

Dengan lebih dari 100 template phishing yang tersedia yang meniru merek dan layanan terkenal—termasuk Microsoft sendiri—operasi BulletProofLink bertanggung jawab atas banyak kampanye phishing yang berdampak pada perusahaan saat ini, kata mereka.

BulletProofLink—juga dikenal sebagai BulletProftLink atau Anthrax oleh operatornya di berbagai situs web, iklan, dan materi promosi lainnya—memberikan titik awal bagi orang-orang tanpa sumber daya yang signifikan untuk masuk ke bisnis phishing.

Para peneliti mempelajari lebih dalam mengenai operasi PhaaS BulletProofLink untuk mengungkap bagaimana grup tersebut telah menciptakan jaringan phisher yang berkembang pesat.

Biaya layanan bulanan sebanyak $800, sementara layanan lain berharga sekitar $50 dolar untuk tautan hosting satu kali, dengan Bitcoin menjadi metode pembayaran umum di situs BulletProofLink.

Poin menarik tentang model kerja PhaaS yang digunakan BulletProofLink adalah model ini mengikuti metode pemerasan ganda model RaaS—atau dalam hal ini, “pencurian ganda”, seperti yang dijelaskan para peneliti. Grup tersebut menyertakan lokasi sekunder dalam kit phishingnya untuk kredensial yang akan dikirim setelah diperoleh.

Sumber: The Threat Post

Numando: Trojan Perbankan yang Dapat Mengatur Secara Jarak Jauh

September 20, 2021 by Eevee

Trojan perbankan telah terdeteksi menyalahgunakan YouTube, Pastebin, dan platform publik lainnya untuk menyebarkan dan mengontrol mesin yang compromised.

Jumat(17/9/2021), ESET menyelesaikan serangkaian Trojan perbankan yang ada di Amerika Latin — termasuk Janeleiro, sampel malware baru yang mirip dengan Casbaneiro, Grandoreiro, dan Mekotio — tetapi yang ini tidak hanya terjadi di wilayah itu; sebagai gantinya, kampanye telah terdeteksi di seluruh Brasil, Meksiko, dan Spanyol.

Dalam sebuah posting blog, para peneliti cybersecurity mengatakan bahwa Trojan bernama Numando telah aktif sejak 2018. Ditulis dalam Delphi, malware keuangan ini menampilkan jendela overlay palsu untuk menipu korban agar mengirimkan data sensitif, seperti kredensial yang digunakan untuk mengakses layanan keuangan. .

Numando tersebar hampir “eksklusif” melalui kampanye spam dan phishing.

Dalam kampanye baru-baru ini, spam yang dikirim untuk mendistribusikan Numando terdiri dari pesan phishing dan lampiran .ZIP yang disertakan dengan email.

File .ZIP umpan diunduh, bersama dengan file .ZIP aktual yang berisi arsip .CAB — dibundel dengan aplikasi perangkat lunak yang sah — injektor, dan Trojan. Malware disembunyikan dalam file gambar .BMP besar.

Jika aplikasi perangkat lunak dijalankan, injektor dimuat di samping dan malware kemudian didekripsi menggunakan algoritme XOR dan sebuah kunci.

Setelah diinstal pada mesin target, Numando akan membuat jendela overlay palsu saat korban mengunjungi layanan keuangan. Jika pengguna mengirimkan kredensial mereka, maka akan dicuri dan dikirim ke server command-and-control (C2) malware.

Numando juga menyalahgunakan layanan publik termasuk Pastebin dan YouTube untuk mengelola pengaturan konfigurasi jarak jauhnya.

“Formatnya sederhana — tiga entri dibatasi oleh “:” di antara penanda DATA:{ dan },” jelas ESET. “Setiap entri dienkripsi secara terpisah dengan cara yang sama seperti string lain di Numando — dengan kunci yang di-hardcode dalam biner. Hal ini membuat sulit untuk mendekripsi konfigurasi tanpa memiliki biner yang sesuai, namun Numando tidak terlalu sering mengubah kunci dekripsi, membuat dekripsi menjadi mungkin.”

Google sudah diberitahu dan video yang terdeteksi telah dihapus.

Numando mampu mensimulasikan klik mouse dan keyboard, membajak fungsi shutdown dan restart PC, mengambil screenshot, dan mematikan proses browser.

“Tidak seperti kebanyakan trojan perbankan Amerika Latin lainnya yang tercakup dalam seri ini, Numando tidak menunjukkan tanda-tanda perkembangan berkelanjutan,” kata ESET. “Ada beberapa perubahan kecil dari waktu ke waktu, tetapi secara keseluruhan binari tidak cenderung banyak berubah.”

sumber: ZDNET

Kata kunci teratas yang digunakan dalam baris subjek email phishing

September 13, 2021 by Winnie the Pooh

Pada hari Rabu, Expel merilis laporan, menyoroti kata kunci teratas yang digunakan dalam baris subjek upaya phishing. Berdasarkan temuan, karyawan mungkin perlu sangat waspada terhadap email yang tampaknya tidak berbahaya di kotak masuk mereka.

Untuk menentukan daftar kata kunci ini, Expel melihat 10.000 email berbahaya. Dalam posting blog tentang temuan tersebut, Expel mengatakan kata kunci dalam baris subjek ini menargetkan satu atau beberapa tema dalam upaya untuk “membuat penerima berinteraksi dengan konten.” Tema-tema ini termasuk “meniru aktivitas bisnis yang sah, menghasilkan “rasa mendesak” dan memberi isyarat kepada “penerima untuk bertindak.”

Beberapa kata kunci phishing teratas yang terdaftar dirancang untuk meniru faktur bisnis yang sah.

Secara berurutan, tiga baris subjek teratas termasuk “RE: INVOICE,” “Missing Inv ####; From [Nama Bisnis Sah] and “INV####.”

Per Expel, baris subjek yang menyoroti sifat baru sering digunakan dalam upaya phishing dengan contoh termasuk “New Message from ####, “New Scanned Fax Doc-Delivery for ####” dan “New FaxTransmission from ####.”

Menambahkan konteks pada kumpulan baris subjek “baru” ini, Expel mengatakan komunikasi dan peringatan yang sah secara teratur menggunakan istilah “baru” untuk “meningkatkan minat penerima,” menambahkan bahwa “orang tertarik pada hal-hal baru di kotak masuk mereka, ingin memastikan mereka tidak melewatkan sesuatu yang penting.”

Selengkapnya: Tech Republic

Pengguna Android: Jangan klik pesan teks ini

September 1, 2021 by Winnie the Pooh

Pesan teks adalah vektor yang semakin populer bagi para peretas dan berbagai macam solusi digital yang belum pernah digunakan untuk memisahkan korban yang tidak curiga dari data atau uang mereka. Terkadang keduanya.

Malware Android yang dikenal sebagai FluBot adalah salah satu contoh ancaman yang menyebar melalui penipuan pesan teks, berhasil menarik korban karena sejumlah alasan berbeda. Sebagian karena rata-rata orang saat ini mungkin jauh lebih kecil kemungkinannya untuk mengklik email jahat.

Tetapi pesan teks yang menyamar sebagai pembaruan “pengiriman paket yang tidak terjawab” yang tampak sah, seperti halnya cara FluBot menyebar, tampaknya jauh lebih mungkin untuk menemukan sasarannya.

Menurut perusahaan keamanan siber Proofpoint, tipe malware Android ini – salah satu dari banyak yang harus diwaspadai – tampaknya melonjak sekali lagi. Ada penurunan dalam aktivitas FluBot pada awal tahun ini, yang dikaitkan dengan penangkapan yang dilakukan di Eropa. Tapi sekarang malware FluBot menyerang lebih banyak negara di Eropa sekali lagi.

Selain itu, meskipun ini tampaknya merupakan ancaman Android, pemilik perangkat Apple mungkin tidak kebal terhadap kerusakan dari FluBot.

Begini cara kerja malware ini. Penipuan pesan teks seharusnya memberi tahu Anda bahwa Anda melewatkan pengiriman paket. Anda mengeklik tautan, dan Anda diminta untuk mengunduh aplikasi phishing. Pada aplikasi tersebut, FluBot bersembunyi di dalamnya.

Setelah mendapatkan izin yang diperlukan dari pengguna? FluBot dapat terus bertindak “sebagai spyware, spammer SMS, dan pencuri kredensial perbankan dan kartu kredit,” menurut Proofpoint.

Dengan ini pengguna disarankan untuk tidak mengklik tautan di dalam teks. Dan hapus pesannya.

Sekali lagi, jika Anda mengharapkan, katakanlah, pengiriman DHL? Cukup kunjungi situs web resmi DHL untuk melacak pengiriman Anda di sana. Jangan gunakan tautan dalam pesan teks. Kunjungi situs web DHL. Jangan. Klik. Tautan. Itu.

Selengkapnya: BGR

Microsoft Memperingatkan Serangan Phishing yang Meluas Menggunakan Open Redirects

August 30, 2021 by Winnie the Pooh

Microsoft memperingatkan kampanye phishing kredensial yang meluas yang memanfaatkan tautan redirector terbuka dalam komunikasi email sebagai vektor untuk mengelabui pengguna agar mengunjungi situs web berbahaya sambil secara efektif melewati perangkat lunak keamanan.

“Penyerang menggabungkan tautan ini dengan umpan rekayasa sosial yang meniru alat dan layanan produktivitas terkenal untuk memikat pengguna agar mengklik,” kata Microsoft 365 Defender Threat Intelligence Team dalam laporan yang diterbitkan minggu ini.

“Melakukannya mengarah ke serangkaian pengalihan — termasuk halaman verifikasi CAPTCHA yang menambahkan rasa legitimasi dan upaya untuk menghindari beberapa sistem analisis otomatis — sebelum membawa pengguna ke halaman login palsu. Ini pada akhirnya mengarah pada kompromi kredensial, yang membuka pengguna dan organisasi mereka untuk serangan lain.”

Meskipun tautan pengalihan dalam pesan email berfungsi sebagai alat vital untuk membawa penerima ke situs web pihak ketiga atau melacak tingkat klik dan mengukur keberhasilan kampanye penjualan dan pemasaran, teknik yang sama dapat disalahgunakan oleh musuh untuk mengalihkan tautan tersebut ke infrastruktur mereka sendiri, pada saat yang sama menjaga domain tepercaya di URL lengkap tetap utuh untuk menghindari analisis oleh mesin anti-malware, bahkan ketika pengguna mencoba mengarahkan tautan untuk memeriksa tanda-tanda konten yang mencurigakan.

Microsoft mengatakan telah mengamati setidaknya 350 domain phishing unik sebagai bagian dari kampanye — upaya lain untuk mengaburkan deteksi — menggarisbawahi penggunaan efektif kampanye dari umpan rekayasa sosial yang meyakinkan yang dimaksudkan sebagai pesan pemberitahuan dari aplikasi seperti Office 365 dan Zoom, yang dibuat dengan baik teknik penghindaran deteksi yang dibuat dengan baik, dan infrastruktur yang tahan lama untuk melakukan serangan.

Selengkapnya: The Hacker News

GitHub mendesak pengguna untuk mengaktifkan 2FA setelah menerapkan passwordless

August 19, 2021 by Winnie the Pooh

GitHub mendesak basis penggunanya untuk mengaktifkan otentikasi dua faktor (2FA) setelah menghentikan otentikasi berbasis kata sandi untuk operasi Git.

“Jika Anda belum melakukannya, luangkan waktu ini untuk mengaktifkan 2FA untuk akun GitHub Anda,” kata Chief Security Officer perusahaan Mike Hanley.

“Manfaat otentikasi multifaktor didokumentasikan secara luas dan melindungi dari berbagai serangan, seperti phishing.”

Hanley merekomendasikan untuk menggunakan salah satu dari beberapa opsi 2FA yang tersedia di GitHub, termasuk kunci keamanan fisik, kunci keamanan virtual yang ada di dalam perangkat seperti ponsel dan laptop, atau aplikasi Time-based One-Time Password (TOTP).

Sementara 2FA berbasis SMS juga tersedia, GitHub mendesak pengguna untuk memilih kunci keamanan atau TOTP sebisa mungkin karena SMS kurang aman mengingat pelaku ancaman dapat mem-bypass atau mencuri token autentikasi SMS 2FA.

GitHub juga menyediakan panduan video langkah demi langkah tentang cara mengaktifkan kunci keamanan untuk kunci SSH dan verifikasi komit Git.

Menegakkan otentikasi tanpa kata sandi melalui operasi Git penting karena meningkatkan ketahanan akun GitHub terhadap upaya pengambilalihan dengan mencegah upaya penyerang untuk menggunakan kredensial yang dicuri atau kata sandi yang digunakan kembali untuk membajak akun.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Phishing

Cookies Settings