Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 12. (Read 136203 times)

Mungkin kasusnya sama dengan fenomena hacking dengan mengirim gambar di WA yang pernah trending dulu om, memanfaatkan eksploit ketika aplikasi WA/Android pada umumnya membaca file gambar atau audio. Terlepas ini bug app atau Android itu sendiri, paling aman ya menghindari membuka file dari orang asing daripada gambling dengan kemungkinan file yang dikirim malware atau bukan.

Saya coba cari update terbaru sepertinya masih simpang siur. Ada yang bilang bug atau fitur yang dieksploitasi oleh hacker tersebut sudah diatasi, ada juga yang bilang tidak.

Agak kecewa juga dengan Telegram mengenai paywall filter pesan ini, karena saya rasa ini bukan hal yang seharusnya opsional tapi wajib mengingat penyebaran malware sangat mudah dilakukan. Untungnya fitur nonaktifkan auto-download masih free jadi masih bisa diakali. Kalau fitur itu juga dijadikan paywall saya rasa waktunya pindah dari Telegram tiba.

Maksud saya ketika ada yang mengirimi link, baik itu di telegram, email atau lainnya terutama dari orang asing atau bahkan orang yang kita kenal sekalipun yang mem-forward link dari orang lain lagi, setidaknya lebih aware untuk tidak terlalu "kepo" ingin tahu itu isinya apa, terlebih kalau kita tidak merasa meminta atau memerlukan link tersebut.

Salah satu pesan yang masih saya ingat dari Michael Gillespie* (id-ransomware.malwarehunterteam.com) perihal link-link semacam itu adalah:



* Dulu pernah konsultasi mengenai masalah ransomware *.grovat yang menyerang PC ditempat kerja saya (https://bitcointalksearch.org/topic/m.50516790).

---

Saya pribadi sebenarnya rada kurang yakin kalau Voice Message yang dikirim melalui telegram bisa sampai sejauh itu ketika di tap untuk didengarkan bisa menyebarkan virus. Namun jika memang sampai benar ada yang demikian saya kira akan banyak user telegram non premium yang bakal kena, karena tidak bisa mengatur opsi restrict receiving voice messages. Mungkin solusinya (bagi user non-premium) ya tinggal langsung di delete saja jika mendapat lagi message serupa itu.

Kebetulan saya belum mematikan auto-download yang ada di Telegram saya om, dan sudah terlanjur terbaca pesannya, kemudian saya sudah mencari file yang dikirim ke saya itu di storage, tapi tidak ketemu juga, waduh gawat ini .


Tentang mekanisme juga sebenarnya saya masih bingung, apa harus di dengar ya voice note-nya baru bisa masuk virus/malware tersebut. Saya juga sudah bertanya kepada orang yang share mengenai hal ini di grup telegram, tapi tidak ada balasan yang cukup memuaskan.


Sip, sudah saya implementasikan om, thanks in advance.

Agan harus terbiasa untuk tidak membuka file dari orang yang tidak dikenal baik di Tele atau media lainnya. Modus operandi scammer relatif sama, hanya medianya saja yang berubah. Kalau agan sudah punya habit yang baik mengenai perlindungan dari kiriman user yang tidak dikenal dan aneh, hampir pasti agan terhindar dari phishing dengan model seperti ini. Tentu saja, itu hanya bisa meminimalisir risiko, jadi tetap waspada saja.

Kalau agan pake Tele, mungkin bisa dinonaktifkan juga opsi auto-download file medianya, jadi bisa menghindari salah klik di file manajer agan. Kadang di Tele sudah agan blok/hapus tapi bisa saja filenya sudah terdownload, jadi file malwarenya masih ada di HP dan sewaktu-waktu bisa saja jadi masalah ketika HP agan dipinjam keluarga, misalnya. Atau agan sendiri sedang teledor dan malah mengklik file tersebut.

Cara mematikannya tinggal klik Settings -> Data and Storage -> matikan semua opsi di bagian automatic media download, autoplay media, opsi save to gallery (kalau mau benar-benar menghindari download file di Tele secara otomatis termasuk gambar, dst).

Menurut saya, buka-membuka sesuatu di Internet adalah suatu hal yang sangat sulit di hindari khususnya di masyarakat kita. Apalagi terhadap fenomena yang baru seperti voice note yang saya jabarkan pada postingan sebelumnya. Selain itu terkait Telegram, dari pengamatan saya, publik Indonesia sendiri tidak begitu mempedulikan fitur premium yang Telegram tawarkan (termasuk saya sendiri), mungkin karena biaya yang terbilang lumayan perbulannya atau karena hal lainnya. Jadi akan sangat sulit untuk menghindari fenomena voice note yang saat ini sedang happening.


Semua orang pasti berhati-hati dalam melakukan suatu hal atau beraktivitas di suatu medium om, namun yang menjadi masalah besar saat ini adalah cara-cara baru yang dimiliki oleh entitas jahat, kadang cara-cara baru ini berada diluar pengetahuan orang-orang sehingga mereka akan dengan mudah terjebak. Contohnya saja saya, jika saya tidak mendapatkan pemberitahuan terlebih dahulu dari teman saya, sudah tentu saya akan klik voice note yang dikirimkan ke saya .

Telegram itu salah satu tempat sarang penyamun, tempat dimana phising, scam dan aktifitas negatif berkumpul di sana, karena hampir rata-rata para penggunanya gampang untuk dimanipulasi, gampang untuk dicuci otaknya dan gampang diambil duitnya. Jadi saya tidak heran kalau hacker akan sangat gampang menyusupi virus dan malware dengan berkedok voice, lalu dengan mudah untuk mengontrol HP pemilik.

Saya kira VN itu tidak begitu rumit, cara kerjanya hampir sama kayak virus lainnya yaitu KLIK, Baik itu voice, dokumen, file lagu, bahkan file Film MP4 pun banyak dipakai untuk berkamuflase supaya gampang di klik pengguna. Apa pun itu jika pengguna mengkilik otomatis virus akan masuk dan mengontrol HP pengguna, Voice itu hanya kamuflase supaya pengguna penasaran untuk mengklik, sama kayak file PDF yang dikirim melalu email dan WA.

jadi hati-hati saja, apa lagi pemula yang baru meranjak yang sering gabung ke group-group telegram gak karuan, karena para penyamun rata-rata ngumpul di sana semua, mereka tahu apa yang bikin penasaran untuk diklik supaya mudah nyusupin virus.

Mirip dengan kasus pada WhatsApp voice message beberapa waktu lalu*, namun itu berupa phishing, artinya lebih cenderung diarahkan ke link lain yang intinya menjebak user untuk mengklik link yang sudah disusupi malware (JS/Kryptic trojan).

* https://www.bleepingcomputer.com/news/security/whatsapp-voice-message-phishing-emails-push-info-stealing-malware/

---

Sederhananya jangan asal klik/buka link sembarangan. Di Telegram sendiri setahu saya untuk user biasa, settingan Privacy -> Voice Messages, defaultnya Everybody**, dengan kata lain siapa saja bisa mengirimi voice message ke kita.

** untuk membatasi siapa saja yang bisa mengirimi voice message mesti upgrade ke Telegram Premium.

Malam semuanya, disini saya hanya ingin sedikit menyampaikan informasi terkait scam yang saat ini sedang happening di Telegram, karena Telegram merupakan salah satu dari beberapa media sosial penting para crypto enthusiast, jadi saya rasa saya harus menyampaikan informasi ini walaupun kurang mendetail.

Beberapa waktu belakangan ini, ada banyak sekali orang-orang di Telegram yang dikirimi pesan oleh anonim, pesan itu berisikan Voice Note a.k.a VN. Dari beberapa orang yang sudah mendengar VN tersebut, mereka mengaku kalau setelah mendengar VN itu, aplikasi Telegram mereka seketika mati. Selain itu, ada juga yang berasumsi kalau kemungkinan hal-hal penting di handphone seperti password juga akan didapatkan oleh hacker tersebut.

Berikut penampakan pesan yang saya dapatkan hari ini (per tanggal 28 Desember):


Saya tidak tahu apakah pesan yang diberikan merupakan untuk tujuan marketing atau hal lain, yang pasti setelah kabar tentang scam voice note ini sampai ke saya, saya tidak berani untuk mendengar voice note dan bahkan klik link yang ada pada voice note itu.

Sedikit rant, saya sering melihat berita LastPass mengalami masalah security[1] dan privacy[2-3]. Bahkan menurut Wikipedia[1], LastPass sudah mengalami masalah security sebanyak 7 (tujuh) kali. Saya sarankan pengguna LastPass pindah secepatnya karena menurut saya LastPass tidak memiliki komitmen serius untuk melindungi data pengguna.



[1] https://en.wikipedia.org/wiki/LastPass#Security_issues
[2] https://www.forbes.com/sites/daveywinder/2021/02/27/how-to-stop-lastpass-tracking-you-in-3-easy-steps
[3] https://www.cnet.com/tech/services-and-software/lastpass-in-privacy-hot-seat-over-web-trackers

Informasi buat pengguna LastPass, atau yang ingin menggunakan LastPass, kemaren baru ada update terkait security incident yang mereka alami beberapa lalu. Lengkapnya bisa dilihat di: https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

Singkatnya, hacker berhasil mendapatkan informasi personal user seperti e-mail, backup vault (dalam kondisi terenkripsi), dan informasi sejenis lainnya. Kalau agan mendapatkan e-mail, sms, telepon phishing atau model phishing yang lain, bisa jadi sumber leak datanya berasal dari sini. Hacker juga bisa mencoba untuk membruteforce backup agan, yang berarti kalau master password agan lemah password" yang agan simpan di LastPass bisa dibobol. Upaya terbaik untuk mengatasi hal ini adalah mengubah master password plus password situs" penting yang agan miliki secepat mungkin sehingga kalau mereka berhasil mengcrack vault agan, password agan sudah tidak berguna lagi.

Ke depannya agan juga bisa pindah ke manager lain seperti Keepass atau Bitwarden kalau agan perlu self-hosted manager yang bisa merangkap sebagai server password sekaligus. Agan butuh device khusus yang bisa menjalankan docker kalau agan pilih opsi yang kedua, jadi jangan lupa dipelajari juga. Ane sendiri pindah ke Keepass karena kejadian kaya gini bukan yang pertama kali dialami di LastPass, dan jasa cloud password manager juga mungkin punya kelemahan yang sama.

Mungkin karena sekarang ini zaman dimana persebaran file-file yang menyerupai dokumen berekstensi .pdf dan .xls marak terjadi karena seringnya transaksi atau pengiriman dokumen dari pegawai/karyawan melalui chat sosmed seperti WA dan Telegram sehingga ini sebuah kesempatan bagus untuk menyisipkan virus dan malware.

Kalau saya sejak setahun lewat sudah stop pengiriman file-file kerjaan kayak word, excel dan PDF melalui WA, karena harus kerja 2x, disamping itu juga WA itu tidak ada pemindaian virus, oleh karena itu sampai sekarang, jika staff saya mau ngirim file word, excel dan sejenisnya saya sarankan lewat GDrive sehingga bisa langsung dibuka 1x dan biasanya ada pemindaian virus otomatis oleh aplikasi drive.

Google memang tidak bisa diandalkan untuk memfilter iklan yang mereka bikin sendiri. Walau beberapa kali ada update atau janji kalau filter iklan bakal lebih baik, scammer masih bisa memanfaatkan fitur mereka. Cara paling sederhana adalah menonaktifkan iklan dengan ad bloker (yang AFAIK kena nerf di manifest chrome terbaru, jadi browser berbasis chrome mungkin perlu update) atau pake search engine yang lain.

Btw dari berita yang beredar kabarnya scammer akhir" juga aktif nyebarin file excel lewat Telegram untuk mencuri kripto. Seperti yang dikabarkan di sini[1]. Beritanya menyebutkan negara tertentu sebagai dalang dibalik aktivitas ini, tapi terlepas itu benar atau tidak, kasus penyebaran malware lewat grup Telegram dengan file tertentu tampaknya mulai lebih sering terjadi lagi.

[1] https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick

Phising-phising seperti ini pernah banyak saya temukan sejak saya buka thread ini beberapa tahun lalu, namun tetap segala upaya pelaporan dan pemblokiran tidak mampu menghalangi scammer pindah dan membuat phising baru. Bahkan, setelah diblokir mereka akan bikin domain dan alamat baru dengan menggunakan IP yang sama, karena begitu mudahnya untuk mengkloning sebuah website.

Namanya HP sejuta umat, dimana memproduksinya bisa menggunakan biaya seminimal mungkin, produsen tentu tidak begitu memperhatikan celah keamanan sebuah HP apalagi intinya yaitu chipset, tidak hanya mediatek, Qualcomm (snapdragon) juga rentan terhadap serangan [1]. Makanya banyak yang pindah ke A15 bionic.

[1]. https://www.teknoreview.net/2021/05/30-chip-qualcomm-rawan-kena-hack.html

Hal-hal tersebut sebenarnya sering terjadi, situs-situs phishing seperti itu biasanya ada dibarisan atas karena mereka menggunakan fasilitas iklan di Google.
Membantu melaporkannya ke Google mungkin bisa saja dilakukan, tapi saya pribadi rada skeptis modus seperti itu akan hilang begitu saja.
Contoh informasi serupa sebelumnya, Web phishing yang menyamar sebagai Trezor Wallet: https://bitcointalksearch.org/topic/m.55824440

Saya sendiri sudah lama menggunakan ad blocker (uBlock origin) untuk menghindari munculnya link-link serupa itu saat browsing, sehingga ketika mencari dengan kata kunci bip 39 pun tidak muncul fake link dari Ian Coleman BIP 39:

Pada beberapa kasus pelaporan proyek melalui Whatsapp saya harus menyertakan file foto (jpg) dalam format document-send, dimana file foto/gambar tidak terkompresi otomatis oleh system WA.
Beberapa dari kita kadang tidak mengerti tentang file-extension, mereka akan menganggap sama extensi .jpg .apk .png .css dan lain-lainnya (karena kebanyakan gak mau ribet mempelajari tentang itu, asal hape menyala mereka bisa bahagia). Terutama kalangan ibu-ibu dan lanjut usia.

Kebayang penipunya punya pengetahuan seperti bang Chikito, pasti akan seperti ini:

---

Sedikit tambahan tentang ponsel, Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri mengatakan bahwa beberapa ponsel dengan chipset MediaTek rentan terhadap pembayaran palsu
Sumber: https://banten.hallo.id/lifestyle/pr-564293413/waspada-ponsel-asal-china-rentan-dibobol-hacker-ini-daftar-tipenya

Tanggapan dari produsen hape tersebut adalah:
Benarkah? Klo melihat di google kayaknya T11 dijual di Indonesia juga.


Kemudian saya mencari sumber informasi tekhnisnya, saya menemukannya disini: https://research.checkpoint.com/2022/researching-xiaomis-tee/


Edit Source:
1. https://www.mi.co.id/id/redmi-note-8-pro/
2. https://www.gsmarena.com/xiaomi_redmi_note_8_pro-9812.php
3. https://www.mi.co.id/id/product/xiaomi-11t/
4. https://www.gsmarena.com/xiaomi_11t-11099.php

---

---

Barusan baca tentang [Warning]: Fake Ian Coleman BIP 39 by Dave1.

Mohon bantuannya untuk melaporkan hal tersebut kepada team Google: https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en

Untuk lebih jelasnya, mungkin bisa di diskusikan di thread tersebut.

Agak ekstrim juga sih gan kalau sampai mereka dilarang (apalagi kalau mereka sering pakai), paling tepat ya edukasi plus dikasih info kalau scam kaya gini sering terjadi dan mereka harus tanya agan dulu sebelum instal/download/klik apapun yang aneh". Bisa juga pasang app yang bisa filter siapa sender/caller yang nelpon ke hp agan, walau hal ini juga berisiko membuka privasi keluarga agan sebenarnya. Ane biasanya bilang ke keluarga kalau ada kebutuhan penting nunggu sms dari nomor yang terdaftar saja, jangan langsung terima telpon aneh". Walau banyak yang ga pakai kripto banyak juga spam kripto yang masuk ke nomor mereka.

Alternatifnya pake HP jadul saja biar mereka memanfaatkan sms banking, walau kebanyakan keluarga ane biasanya lebih memilih datang langsung ke bank/ATM kalau ada kebutuhan, jadi aplikasi mbanking dan sejenisnya malah ga kepakai.

Jangan kaget dengan kegaptekan orang gan, apalagi kalau mereka cuma sering lihat/follow berita di sosmed. Kadang malah jadi salah paham, dikira instal .apk terlepas dari sumber apapun adalah virus. Keluarga ane banyak yang gaptek dan tiap ada pesan bermedia sering langsung diklik tanpa diperiksa dulu itu file apaan. Beruntung ga kena spam sejenis yang dishare agan dewo di atas.

Sebenarnya udah move on ke proton tapi ya buat daftar-daftar yang baru, sedangkan yang lama kalau mau change email juga ribet verif sana sini, ya karena merepotkan, jadi email lama masih dipake.

Hacker sudah semaking canggih, tanpa ba bi bu mereka langsung masuk ke inti serangan yaitu OTP.
Kalau menurut saya sih zaman hari gini, kalau istri, saudara, kerabat dekat yang agak agak gaptek mending jangan diinstalin aplikasi mbangking biar ketika dapat phising kayak gitu hackernya kena apk not found atau via sms ya?

ya sebenarnya gak juga orang IT pun paham kalau pesan itu mau nipu, karena ngirim poto yang seharusnya file .jpg, png atau jpeg tapi ngirim .apk

Mungkin mirip dengan kejadian bang Luzin dan bang Chikito.
Tetapi ini menggunakan samaran apk yang dikirim oleh seseorang yang menyamar sebagai pengantar paket toko online (JnT, spx, JNE, dkk)

Kurang lebih seperti ini contohnya:


Jika bukan orang yang dekat ama IT, kemungkinan akan langsung klik apk tersebut.
Dan ketika korban tidur / istirahat, maka pelaku akan menjalankan aplikasi perbankan mobile.
Ketika ada kode OTP melalui SMS, pelaku akan melihat pesan tersebut dan menghapusnya setelah mencatat kodenya.

Bahkan OTP korban bisa terbaca dilayar pelaku, karena apapun kegiatan hape korban akan terpantau oleh pelaku (remote admin).

Kemaren saya juga sempet dapat WA ada lowongan kerja part time gaji 3-5 juta dan ada link tautan. Saya sudah print screen tapi lupa save. Saya abaikan saja karena pernah baca di media sosial, bahwa dari link pesan WA mereka bisa mengguras Rekening Bank.

Teman salah satu Medsos dan Excahnger juga, yang dikirim ke no WA Istrinya. Dia mendapat WA tracking paket setelah diklik tidak ada permintaan memasukan sandi dll. Tapi setelah itu dapet sms OTP BRI dan kemudian ada notif uang keluar dari rekening.



Sumber

Saran ane agan pindah provider aja ke Proton atau Tutanota untuk email yang sensitif, setidaknya sampai saat ini e-mail ane di platform tersebut bisa mefilter dengan baik kalau ada pesan spam. Privasinya juga bisa dibilang lebih baik daripada Gmail. Spam fiter phishing kripto setidaknya sejauh yang ane rasain lebih oke.