Scammers

Penipu Cina, RedZei, Menargetkan Pelajar Cina di Inggris Raya

January 4, 2023 by Flamango

Pelajar internasional Tionghoa di Inggris telah menjadi sasaran scammers berbahasa Mandarin yang gigih selama lebih dari setahun sebagai bagian dari aktivitas yang dijuluki RedZei (alias RedThief).

RedZei telah memilih target mereka dengan hati-hati, meneliti, dan menyadari bahwa itu adalah kelompok korban kaya yang siap untuk dieksploitasi.

Operasi yang dilancarkan penipu cukup cerdik yaitu menelpon calon korban dilakukan sekali atau dua kali sebulan menggunakan nomor telepon Inggris yang unik, kemudian meninggalkan pesan suara otomatis yang tidak biasa jika pangginlan tak dijawab.

Pesan suara meniru perusahaan seperti Bank of China dan China Mobile serta kedutaan besar China untuk merekayasa sosial para siswa agar membagikan informasi pribadi mereka.

Thomas, menunjukkan keahlian yang sangat teliti yang digunakan oleh para scammer, yaitu pelaku ancaman berganti-ganti SIM dari beberapa operator seluler.

Kampanye RedZei terindikasi dimulai sejak Agustus 2019, dengan laporan dari The Guardian yang merinci penipuan visa yang menipu pelajar China agar mengeluarkan uang dalam jumlah besar untuk menghindari deportasi.

Selengkapnya: The Hacker News

Scammers Mengirimkan Stick USB Microsoft Office Palsu Untuk Menipu Calon korban

August 19, 2022 by Eevee

Seorang konsultan keamanan siber di Inggris menemukan paket Microsoft Office palsu yang dikirimkan ke seorang pensiunan yang sebenarnya berisi stik USB berbahaya yang dirancang untuk menipu pengguna.

Sky News melaporkan bahwa drive USB diukir dengan logo Office dan datang dalam kemasan Microsoft yang tampak nyata, yang menyertakan kunci produk yang tampak sah.

Ketika USB tersebut disambungkan ke PC USB itu tidak menginstal program Office sebalikinya malah mendorong pengguna untuk menelepon saluran dukungan pelanggan Microsoft palsu, yang kemudian akan mencoba menginstal program akses jarak jauh di komputer korban.

Skema ini cukup rumit, dan pada akhirnya bisa menipu konsumen yang tidak menaruh curiga dengan harapan mendapatkan akses gratis ke Microsoft Office Professional, yang biasanya dijual seharga $439.

Penipuan ini bekerja dengan memicu peringatan virus setelah stik USB dicolokkan ke PC korban. Untuk memperbaiki masalah ini, peringatan memberitahu pengguna untuk menghubungi nomor dukungan pelanggan. “Begitu mereka memanggil nomor di layar, helpdesk memasang semacam TeamViewer (program akses jarak jauh) dan mengambil alih komputer korban,” kata Pitman kepada Sky News. Selain itu, teknisi customer support juga menanyakan informasi pembayaran.

Bulan lalu, Robert Pooley, seorang direktur di perusahaan keamanan siber yang berbasis di Inggris Saepio, juga membunyikan (Buka di jendela baru) alarm tentang skema USB Microsoft Office palsu. “Cukup penipuan. Menunjukkan betapa pentingnya kesadaran dunia maya di tempat kerja dan di rumah,” tulisnya dalam sebuah posting di LinkedIn.

Ini bukan pertama kalinya scammer mengedarkan drive USB berbahaya melalui surat. Pada tahun 2020, perusahaan keamanan Trustwave juga menemukan stik USB bermuatan malware yang dikirim melalui surat yang berpura-pura berasal dari Best Buy sebagai promosi kartu hadiah $50.

Microsoft mengatakan kepada Sky News bahwa perusahaan telah mengalami penipuan semacam ini sebelumnya, tetapi masih jarang. Selain itu, penipu biasanya hanya mengirimkan kunci produk palsu melalui surat, daripada seluruh paket dengan drive USB.

Sumber:

Scammers memiliki 2 cara baru yang cerdas untuk menginstal aplikasi berbahaya di perangkat iOS

March 18, 2022 by Eevee

Scammers meningkatkan permainan mereka dengan menyalahgunakan dua fitur Apple yang sah untuk melewati persyaratan pemeriksaan App Store dan menipu orang agar menginstal aplikasi berbahaya.

Apple telah lama mengharuskan aplikasi lulus tinjauan keamanan dan diterima di App Store sebelum dapat diinstal di iPhone dan iPad. Pemeriksaan mencegah aplikasi jahat masuk ke perangkat, di mana mereka kemudian dapat mencuri cryptocurrency dan kata sandi atau melakukan aktivitas jahat lainnya.

Perusahaan keamanan Sophos menyoroti dua metode baru yang digunakan dalam kampanye kejahatan terorganisir yang dijuluki CryptoRom, yang mendorong aplikasi cryptocurrency palsu ke pengguna iOS dan Android yang tidak curiga. Sementara Android mengizinkan aplikasi “sideloading” dari pasar pihak ketiga, Apple mengharuskan aplikasi iOS datang dari App Store, setelah mereka menjalani tinjauan keamanan menyeluruh.

Masuk ke TestFlight, platform yang disediakan Apple untuk pengujian beta aplikasi baru. Dengan menginstal aplikasi TestFlight Apple dari App Store, setiap pengguna iOS dapat mengunduh dan menginstal aplikasi yang belum lulus proses pemeriksaan. Setelah TestFlight diinstal, pengguna dapat mengunduh aplikasi yang belum diperiksa menggunakan tautan yang dipublikasikan penyerang di situs penipuan atau email.

Posting hari Rabu menunjukkan beberapa gambar yang digunakan dalam kampanye CryptoRom. Pengguna iOS yang mengambil umpan menerima tautan yang, ketika diklik, menyebabkan aplikasi TestFlight mengunduh dan menginstal aplikasi cryptocurrency palsu.

Chandraiah mengatakan bahwa vektor TestFlight memberi penyerang keuntungan yang tidak tersedia dengan teknik bypass App Store yang lebih terkenal yang juga menyalahgunakan fitur Apple yang sah. Salah satu fitur tersebut adalah platform Super Signature Apple, yang memungkinkan orang menggunakan akun pengembang Apple mereka untuk mengirimkan aplikasi secara ad hoc terbatas. Fitur lainnya adalah Program Perusahaan Pengembang perusahaan. Ini memungkinkan organisasi besar menyebarkan aplikasi berpemilik untuk penggunaan internal tanpa karyawan harus menggunakan App Store.

Sebaliknya, Chandraiah berkata, TestFlight:

[TestFlight] lebih disukai oleh pengembang aplikasi jahat dalam beberapa kasus daripada Super Signature atau Enterprise Signature karena sedikit lebih murah dan terlihat lebih sah ketika didistribusikan dengan Apple Test Flight App. Proses review juga diyakini tidak seketat review App Store.

Posting tersebut mengatakan scammer CryptoRom menggunakan fitur Apple kedua untuk menyamarkan aktivitas mereka. Fitur itu—dikenal sebagai Klip Web—menambahkan tautan halaman web langsung ke layar beranda iPhone dalam bentuk ikon yang dapat disalahartikan sebagai aplikasi jinak. Klip Web muncul setelah pengguna menyimpan tautan Web.

Peneliti Sophos mengatakan CryptoRom dapat menggunakan Klip Web untuk menambahkan pengaruh ke URL jahat yang mendorong aplikasi palsu.

Penipu CryptoRom sangat bergantung pada rekayasa sosial. Mereka menggunakan berbagai tipu muslihat untuk membangun hubungan dengan target meski tidak pernah bertatap muka. Jejaring sosial, situs kencan, dan aplikasi kencan termasuk di antara tipu muslihat tersebut. Dalam kasus lain, penipu memulai hubungan melalui “pesan WhatsApp yang tampaknya acak yang menawarkan tip investasi dan perdagangan kepada penerima.”

Penyalahgunaan TestFlight dan Web Clips kemungkinan akan terlihat oleh pengguna Internet yang cerdas, tetapi orang yang kurang berpengalaman mungkin akan tertipu. Pengguna iOS harus tetap berhati-hati terhadap situs, email, atau pesan apa pun yang menginstruksikan mereka untuk mengunduh aplikasi dari sumber selain App Store resmi.

Sumber : Arstechnica

FBI memperingatkan posting pekerjaan palsu yang digunakan untuk mencuri uang, info pribadi

February 3, 2022 by Eevee

Scammers mencoba mencuri uang dan informasi pribadi pencari kerja melalui kampanye phishing menggunakan iklan palsu yang diposting di platform rekrutmen.

Peringatan itu diterbitkan hari ini sebagai pengumuman layanan publik (PSA) di Pusat Pengaduan Kejahatan Internet Biro (IC3).

“Penipu ini memberikan kredibilitas pada skema mereka dengan menggunakan informasi yang sah untuk meniru bisnis, mengancam kerusakan reputasi bisnis dan kerugian finansial bagi pencari kerja.”

Penjahat memanfaatkan kurangnya standar verifikasi keamanan yang kuat di situs web rekrutmen untuk memposting lowongan pekerjaan palsu yang tidak dapat dibedakan dari yang diterbitkan oleh perusahaan yang mereka tiru.

“Daftar pekerjaan palsu termasuk tautan dan informasi kontak yang mengarahkan pelamar ke situs web palsu, alamat email, dan nomor telepon yang dikendalikan oleh scammers di mana informasi pribadi pelamar dapat dicuri dan kemudian dijual atau digunakan dalam penipuan tambahan,” jelas FBI.

FBI menyarankan pencari kerja untuk memverifikasi iklan pekerjaan yang ditemukan di situs jejaring dengan menghubungi departemen SDM perusahaan atau di situs resminya.

Mereka juga disarankan untuk hanya memberikan PII dan info keuangan secara langsung atau panggilan video, hanya setelah memverifikasi identitas mereka.

“Pandemi COVID-19 telah secara drastis mengubah proses wawancara dan perekrutan sehingga sangat penting bagi bisnis dan pelamar kerja untuk memverifikasi keabsahan posting dan peluang kerja,” tambah FBI.

“FBI mendesak publik Amerika untuk berhati-hati saat melamar dan menerima posisi melalui proses jarak jauh yang membatasi atau tidak ada pertemuan langsung, kontak, dan orientasi.”

Selengkapnya : Bleeping Computer

Singapura mendorong untuk memperkenalkan langkah-langkah keamanan di tengah penipuan perbankan online

January 24, 2022 by Eevee

Bank dan lembaga keuangan di Singapura menerapkan langkah-langkah keamanan baru yang telah diamanatkan menyusul serangkaian penipuan SMS phishing yang menghapus beberapa korban dari tabungan hidup mereka. Langkah-langkah ini termasuk penghapusan hyperlink dari email atau pesan SMS yang dikirim ke konsumen dan penundaan 12 jam dalam mengaktifkan token perangkat lunak seluler.

Otoritas Moneter Singapura (MAS) dan Asosiasi Bank di Singapura (ABS) mengatakan bahwa langkah-langkah tambahan bertujuan untuk memperkuat keamanan perbankan digital, mengingat penipuan baru-baru ini yang menargetkan pelanggan bank.

Penipuan SMS-phishing melibatkan setidaknya 469 pelanggan OCBC Bank dan mengakibatkan kerugian lebih dari SG$8,5 juta, dengan kerugian S$2,7 juta saja selama tiga hari akhir pekan Natal. Beberapa korban dilaporkan kehilangan tabungan hidup mereka, termasuk seorang pria berusia 43 tahun yang rekeningnya dihapus sebesar S$500.000, seorang insinyur perangkat lunak berusia 38 tahun yang kehilangan S$250.000, dan eksekutif keuangan berusia 33 tahun yang memilikinya. akun dikosongkan sebesar S$68.000.

Scammers memanipulasi detail ID Pengirim SMS yang tampaknya berasal dari OCBC. Pesan SMS ini mendorong para korban untuk menyelesaikan masalah dengan akun mereka, mengarahkan mereka ke situs web phishing dan menginstruksikan mereka untuk memasukkan detail login bank mereka, termasuk nama pengguna, PIN, dan One-Time Password (OTP).

Karena ID Pengirim OCBC yang sah berhasil dikloning, dan dipalsukan, pesan-pesan ini muncul di utas yang sama dengan peringatan atau pemberitahuan sebelumnya dari bank, membuat para korban percaya bahwa itu sah.

Pelanggan OCBC yang terkena dampak juga menyatakan frustrasi atas bagaimana mereka ditahan dalam upaya mereka untuk menghubungi hotline bank dan akun mereka dikunci, setelah mereka menerima pemberitahuan transfer pembayaran dan permintaan untuk meningkatkan batas transaksi mereka yang tidak pernah mereka lakukan.

Bank-bank lokal dengan berkonsultasi dengan MAS, akan berupaya menerapkan langkah-langkah yang lebih ketat dalam dua minggu ke depan. Ini akan mencakup pengaturan ambang default pemberitahuan transaksi transfer dana pada S$100 atau lebih rendah dan memicu pemberitahuan ke nomor ponsel atau email yang ada yang terdaftar di bank, setiap kali ada permintaan untuk mengubah nomor ponsel atau alamat email pelanggan.

Bank juga harus membentuk tim bantuan pelanggan yang berdedikasi dan “bersumber daya baik” untuk menangani umpan balik pelanggan tentang kasus penipuan potensial, kata MAS. Regulator menambahkan bahwa perlindungan lebih lanjut, seperti memberlakukan periode pendinginan sebelum permintaan untuk perubahan akun utama, termasuk detail kontak pelanggan, harus diterapkan.

Selain itu, bank akan bekerja sama dengan MAS, penegak hukum setempat, dan Otoritas Pengembangan Media Infokom (IMDA) untuk menangani “momok penipuan” saat ini. Ini akan termasuk bekerja pada langkah-langkah yang lebih permanen untuk memerangi spoofing SMS, termasuk adopsi registri ID Pengirim SMS oleh semua pemangku kepentingan terkait, kata MAS.

OCBC mengatakan semua pelanggan yang terkena penipuan SMS phishing akan menerima “pembayaran niat baik penuh” yang terdiri dari jumlah yang hilang. Ini terjadi setelah pernyataan bahwa mereka mulai melakukan “pembayaran niat baik” sejak 8 Januari, tetapi tidak menentukan apakah ini mencakup seluruh jumlah pelanggan yang hilang.

Sumber : ZDnet dan MAS

Pusat Keamanan Siber Inggris menerbitkan panduan baru untuk memerangi smishing

January 21, 2022 by Eevee

Pusat Keamanan Siber Nasional Inggris (NCSC) telah menerbitkan panduan baru untuk diikuti organisasi saat berkomunikasi dengan pelanggan melalui SMS atau panggilan telepon.

Tujuan dari pedoman baru ini adalah untuk mempersulit scammers untuk mengelabui publik dan mengarahkan pengguna ke situs phishing.

Tindakan ini dilakukan sebagai tanggapan atas peningkatan mengkhawatirkan dalam penipuan yang menipu merek-merek populer, dengan pengiriman parsel palsu menjadi tema yang dominan.

Panduan mengirim pesan :

Gunakan nomor lima digit alih-alih nomor telepon biasa.
Gunakan SenderID yang muncul sebagai pengganti nomor pengirim dan secara konsisten di semua komunikasi dan daftarkan ke MEF.
Gunakan sesedikit mungkin penyedia distribusi SMS, dan audit semua pesan untuk memvalidasi konten.

Panduan panggilan telepon kepada konsumen :

Dorong pelanggan untuk menelepon Anda dan memberikan informasi tentang cara melakukannya di situs resmi.
Pastikan bahwa penyedia layanan mengikuti ‘Ketentuan Umum Kepemilikan’.
Pertahankan konsistensi dengan menggunakan nomor yang sama untuk menelepon orang.
Nomor yang digunakan hanya untuk penerimaan panggilan harus ditambahkan ke daftar ‘Jangan Asal’.

Konsumen juga perlu melakukan bagian mereka dengan mengingat hal-hal berikut:

Pesan yang sah biasanya konsisten dan lugas.
Nomor telepon dan alamat email yang digunakan minimal.
SenderID yang valid biasanya tidak menampilkan karakter khusus.
Validitas alamat dan nomor pengirim harus mudah diverifikasi di situs web resmi entitas.

Secara umum, jika ada yang salah saat berbicara dengan seseorang, tanyakan namanya dan tutup telepon. Kemudian, hubungi organisasi secara mandiri menggunakan nomor yang akan Anda temukan di situs web mereka dan mintalah untuk berbicara dengan agen yang menghubungi Anda.

Sumber : Bleeping Computer

Peretasan GoDaddy menyebabkan pelanggaran data yang memengaruhi 1,2 juta pelanggan

November 23, 2021 by Eevee

GoDaddy mengatakan bahwa data 1,2 juta pelanggannya terungkap setelah peretas memperoleh akses ke lingkungan hosting WordPress Terkelola perusahaan.

Insiden itu ditemukan oleh GoDaddy Rabu lalu, pada 17 November, namun penyerang memiliki akses ke jaringannya dan data yang terdapat pada sistem yang dilanggar setidaknya sejak 6 September 2021.

Hingga 1,2 juta pelanggan WordPress Terkelola aktif dan tidak aktif memiliki alamat email dan nomor pelanggan mereka. Pemaparan alamat email menghadirkan risiko serangan phishing.
Kata sandi Admin WordPress asli yang ditetapkan pada saat penyediaan terungkap. Jika kredensial tersebut masih digunakan, kami menyetel ulang kata sandi tersebut.
Untuk pelanggan aktif, nama pengguna dan kata sandi sFTP dan database diekspos. Kami mengatur ulang kedua kata sandi.
Untuk subset pelanggan aktif, kunci pribadi SSL diekspos. Kami sedang dalam proses menerbitkan dan memasang sertifikat baru untuk pelanggan tersebut.

Perusahaan juga mengungkapkan pelanggaran tahun lalu, pada bulan Mei, ketika memperingatkan beberapa pelanggannya bahwa pihak yang tidak berwenang menggunakan kredensial akun hosting web mereka pada bulan Oktober untuk terhubung ke akun hosting mereka melalui SSH.

Tim keamanan GoDaddy menemukan insiden itu setelah melihat file SSH yang diubah di lingkungan hosting GoDaddy dan aktivitas mencurigakan di subset server GoDaddy.

Pada tahun 2019, scammers juga menggunakan ratusan akun GoDaddy yang disusupi untuk membuat 15.000 subdomain, mencoba meniru situs web populer dan mengarahkan calon korban ke halaman spam yang mendorong produk minyak ular.

Sebelumnya pada tahun 2019, GoDaddy diketahui menyuntikkan JavaScript ke situs pelanggan AS tanpa sepengetahuan mereka, sehingga berpotensi membuat mereka tidak dapat dioperasikan atau memengaruhi kinerja mereka secara keseluruhan.

Sumber : Bleeping Computer

Sebagian besar penyedia layanan eksploitasi SS7 di Dark Web adalah scammers

November 19, 2021 by Eevee

Kerentanan protokol telepon seluler Signaling System 7 (SS7) adalah sesuatu yang diperingatkan oleh para peneliti keamanan pada tahun 2016, dan hanya butuh satu tahun sebelum serangan pertama yang mengeksploitasinya diamati. Pemerintah mengeksploitasi kelemahan SS7 untuk melacak individu di luar negeri, dan peretas menggunakannya untuk membajak Telegram dan akun email.

Celah keamanan SS7 dapat dimanfaatkan untuk mencegat atau meneruskan panggilan, kode 2FA, mencari perangkat, SMS palsu, dan banyak lagi. Analis di SOS Intelligence telah mencari di web gelap untuk penyedia layanan eksploitasi SS7 dan menemukan 84 domain bawang unik yang mengklaim menawarkannya.

Setelah mempersempit hasil menjadi yang tampaknya masih aktif, mereka hanya mendapatkan empat berikut:

Penjelajah SS7
Penjelajah ONLINE SS7
Peretasan SS7
Pasar Rubah Gelap

Situs web Pasar Rubah Gelap
Sumber: Intelijen SOS

Dengan menganalisis data topologi jaringan untuk situs-situs ini, para peneliti menemukan bahwa beberapa di antaranya relatif terisolasi, tidak memiliki banyak tautan masuk.

Ini bukan indikasi yang baik tentang keandalan dan kredibilitas situs dan biasanya merupakan indikasi platform scamming yang baru saja disiapkan.

Apalagi, situs SS7 Hack tampaknya disalin dari situs clearnet yang dibuat pada tahun 2021, sehingga terlihat seperti scam.

Halaman pembelian layanan Dark Fox Market
Sumber: Intelijen SOS

Pada platform Dark Fox Market, yang mengenakan biaya $180 untuk setiap nomor telepon yang ditargetkan, para peneliti menemukan video demo yang sama yang diunggah oleh pengguna Rusia di YouTube pada tahun 2016.

Ini kemungkinan besar dicuri dari YouTube dan tidak memiliki relevansi dengan platform Dark Fox Market, yang bagaimanapun juga tidak menawarkan layanan eksploitasi SS7 yang berfungsi.

Terlepas dari semua itu, dengan menganalisis dompet cryptocurrency yang disediakan dari platform ini, SOS Intelligence menemukan bahwa para scammer menghasilkan banyak uang.

Layanan eksploitasi SS7 nyata disembunyikan, hal di atas tidak berarti bahwa tidak ada layanan eksploitasi SS7 di web gelap tetapi yang sebenarnya tersembunyi di balik forum peretasan khusus dan pasar seperti World Market.

Posting WorldMarket menawarkan layanan exploit SS7
Sumber: KELA

Pelaku ancaman yang canggih memiliki akses ke data ponsel melalui afiliasi atau operasi mereka sendiri, sehingga mereka tidak perlu mencari penyedia layanan exploit SS7.

Selengkapnya : Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Scammers

Cookies Settings