Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 14. (Read 156103 times)

Mirip dengan kasus pada WhatsApp voice message beberapa waktu lalu*, namun itu berupa phishing, artinya lebih cenderung diarahkan ke link lain yang intinya menjebak user untuk mengklik link yang sudah disusupi malware (JS/Kryptic trojan).

* https://www.bleepingcomputer.com/news/security/whatsapp-voice-message-phishing-emails-push-info-stealing-malware/

---

Sederhananya jangan asal klik/buka link sembarangan. Di Telegram sendiri setahu saya untuk user biasa, settingan Privacy -> Voice Messages, defaultnya Everybody**, dengan kata lain siapa saja bisa mengirimi voice message ke kita.

** untuk membatasi siapa saja yang bisa mengirimi voice message mesti upgrade ke Telegram Premium.

Malam semuanya, disini saya hanya ingin sedikit menyampaikan informasi terkait scam yang saat ini sedang happening di Telegram, karena Telegram merupakan salah satu dari beberapa media sosial penting para crypto enthusiast, jadi saya rasa saya harus menyampaikan informasi ini walaupun kurang mendetail.

Beberapa waktu belakangan ini, ada banyak sekali orang-orang di Telegram yang dikirimi pesan oleh anonim, pesan itu berisikan Voice Note a.k.a VN. Dari beberapa orang yang sudah mendengar VN tersebut, mereka mengaku kalau setelah mendengar VN itu, aplikasi Telegram mereka seketika mati. Selain itu, ada juga yang berasumsi kalau kemungkinan hal-hal penting di handphone seperti password juga akan didapatkan oleh hacker tersebut.

Berikut penampakan pesan yang saya dapatkan hari ini (per tanggal 28 Desember):


Saya tidak tahu apakah pesan yang diberikan merupakan untuk tujuan marketing atau hal lain, yang pasti setelah kabar tentang scam voice note ini sampai ke saya, saya tidak berani untuk mendengar voice note dan bahkan klik link yang ada pada voice note itu.

Sedikit rant, saya sering melihat berita LastPass mengalami masalah security[1] dan privacy[2-3]. Bahkan menurut Wikipedia[1], LastPass sudah mengalami masalah security sebanyak 7 (tujuh) kali. Saya sarankan pengguna LastPass pindah secepatnya karena menurut saya LastPass tidak memiliki komitmen serius untuk melindungi data pengguna.



[1] https://en.wikipedia.org/wiki/LastPass#Security_issues
[2] https://www.forbes.com/sites/daveywinder/2021/02/27/how-to-stop-lastpass-tracking-you-in-3-easy-steps
[3] https://www.cnet.com/tech/services-and-software/lastpass-in-privacy-hot-seat-over-web-trackers

Informasi buat pengguna LastPass, atau yang ingin menggunakan LastPass, kemaren baru ada update terkait security incident yang mereka alami beberapa lalu. Lengkapnya bisa dilihat di: https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

Singkatnya, hacker berhasil mendapatkan informasi personal user seperti e-mail, backup vault (dalam kondisi terenkripsi), dan informasi sejenis lainnya. Kalau agan mendapatkan e-mail, sms, telepon phishing atau model phishing yang lain, bisa jadi sumber leak datanya berasal dari sini. Hacker juga bisa mencoba untuk membruteforce backup agan, yang berarti kalau master password agan lemah password" yang agan simpan di LastPass bisa dibobol. Upaya terbaik untuk mengatasi hal ini adalah mengubah master password plus password situs" penting yang agan miliki secepat mungkin sehingga kalau mereka berhasil mengcrack vault agan, password agan sudah tidak berguna lagi.

Ke depannya agan juga bisa pindah ke manager lain seperti Keepass atau Bitwarden kalau agan perlu self-hosted manager yang bisa merangkap sebagai server password sekaligus. Agan butuh device khusus yang bisa menjalankan docker kalau agan pilih opsi yang kedua, jadi jangan lupa dipelajari juga. Ane sendiri pindah ke Keepass karena kejadian kaya gini bukan yang pertama kali dialami di LastPass, dan jasa cloud password manager juga mungkin punya kelemahan yang sama.

Mungkin karena sekarang ini zaman dimana persebaran file-file yang menyerupai dokumen berekstensi .pdf dan .xls marak terjadi karena seringnya transaksi atau pengiriman dokumen dari pegawai/karyawan melalui chat sosmed seperti WA dan Telegram sehingga ini sebuah kesempatan bagus untuk menyisipkan virus dan malware.

Kalau saya sejak setahun lewat sudah stop pengiriman file-file kerjaan kayak word, excel dan PDF melalui WA, karena harus kerja 2x, disamping itu juga WA itu tidak ada pemindaian virus, oleh karena itu sampai sekarang, jika staff saya mau ngirim file word, excel dan sejenisnya saya sarankan lewat GDrive sehingga bisa langsung dibuka 1x dan biasanya ada pemindaian virus otomatis oleh aplikasi drive.

Google memang tidak bisa diandalkan untuk memfilter iklan yang mereka bikin sendiri. Walau beberapa kali ada update atau janji kalau filter iklan bakal lebih baik, scammer masih bisa memanfaatkan fitur mereka. Cara paling sederhana adalah menonaktifkan iklan dengan ad bloker (yang AFAIK kena nerf di manifest chrome terbaru, jadi browser berbasis chrome mungkin perlu update) atau pake search engine yang lain.

Btw dari berita yang beredar kabarnya scammer akhir" juga aktif nyebarin file excel lewat Telegram untuk mencuri kripto. Seperti yang dikabarkan di sini[1]. Beritanya menyebutkan negara tertentu sebagai dalang dibalik aktivitas ini, tapi terlepas itu benar atau tidak, kasus penyebaran malware lewat grup Telegram dengan file tertentu tampaknya mulai lebih sering terjadi lagi.

[1] https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick

Phising-phising seperti ini pernah banyak saya temukan sejak saya buka thread ini beberapa tahun lalu, namun tetap segala upaya pelaporan dan pemblokiran tidak mampu menghalangi scammer pindah dan membuat phising baru. Bahkan, setelah diblokir mereka akan bikin domain dan alamat baru dengan menggunakan IP yang sama, karena begitu mudahnya untuk mengkloning sebuah website.

Namanya HP sejuta umat, dimana memproduksinya bisa menggunakan biaya seminimal mungkin, produsen tentu tidak begitu memperhatikan celah keamanan sebuah HP apalagi intinya yaitu chipset, tidak hanya mediatek, Qualcomm (snapdragon) juga rentan terhadap serangan [1]. Makanya banyak yang pindah ke A15 bionic.

[1]. https://www.teknoreview.net/2021/05/30-chip-qualcomm-rawan-kena-hack.html

Hal-hal tersebut sebenarnya sering terjadi, situs-situs phishing seperti itu biasanya ada dibarisan atas karena mereka menggunakan fasilitas iklan di Google.
Membantu melaporkannya ke Google mungkin bisa saja dilakukan, tapi saya pribadi rada skeptis modus seperti itu akan hilang begitu saja.
Contoh informasi serupa sebelumnya, Web phishing yang menyamar sebagai Trezor Wallet: https://bitcointalksearch.org/topic/m.55824440

Saya sendiri sudah lama menggunakan ad blocker (uBlock origin) untuk menghindari munculnya link-link serupa itu saat browsing, sehingga ketika mencari dengan kata kunci bip 39 pun tidak muncul fake link dari Ian Coleman BIP 39:

Pada beberapa kasus pelaporan proyek melalui Whatsapp saya harus menyertakan file foto (jpg) dalam format document-send, dimana file foto/gambar tidak terkompresi otomatis oleh system WA.
Beberapa dari kita kadang tidak mengerti tentang file-extension, mereka akan menganggap sama extensi .jpg .apk .png .css dan lain-lainnya (karena kebanyakan gak mau ribet mempelajari tentang itu, asal hape menyala mereka bisa bahagia). Terutama kalangan ibu-ibu dan lanjut usia.

Kebayang penipunya punya pengetahuan seperti bang Chikito, pasti akan seperti ini:

---

Sedikit tambahan tentang ponsel, Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri mengatakan bahwa beberapa ponsel dengan chipset MediaTek rentan terhadap pembayaran palsu
Sumber: https://banten.hallo.id/lifestyle/pr-564293413/waspada-ponsel-asal-china-rentan-dibobol-hacker-ini-daftar-tipenya

Tanggapan dari produsen hape tersebut adalah:
Benarkah? Klo melihat di google kayaknya T11 dijual di Indonesia juga.


Kemudian saya mencari sumber informasi tekhnisnya, saya menemukannya disini: https://research.checkpoint.com/2022/researching-xiaomis-tee/


Edit Source:
1. https://www.mi.co.id/id/redmi-note-8-pro/
2. https://www.gsmarena.com/xiaomi_redmi_note_8_pro-9812.php
3. https://www.mi.co.id/id/product/xiaomi-11t/
4. https://www.gsmarena.com/xiaomi_11t-11099.php

---

---

Barusan baca tentang [Warning]: Fake Ian Coleman BIP 39 by Dave1.

Mohon bantuannya untuk melaporkan hal tersebut kepada team Google: https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en

Untuk lebih jelasnya, mungkin bisa di diskusikan di thread tersebut.

Agak ekstrim juga sih gan kalau sampai mereka dilarang (apalagi kalau mereka sering pakai), paling tepat ya edukasi plus dikasih info kalau scam kaya gini sering terjadi dan mereka harus tanya agan dulu sebelum instal/download/klik apapun yang aneh". Bisa juga pasang app yang bisa filter siapa sender/caller yang nelpon ke hp agan, walau hal ini juga berisiko membuka privasi keluarga agan sebenarnya. Ane biasanya bilang ke keluarga kalau ada kebutuhan penting nunggu sms dari nomor yang terdaftar saja, jangan langsung terima telpon aneh". Walau banyak yang ga pakai kripto banyak juga spam kripto yang masuk ke nomor mereka.

Alternatifnya pake HP jadul saja biar mereka memanfaatkan sms banking, walau kebanyakan keluarga ane biasanya lebih memilih datang langsung ke bank/ATM kalau ada kebutuhan, jadi aplikasi mbanking dan sejenisnya malah ga kepakai.

Jangan kaget dengan kegaptekan orang gan, apalagi kalau mereka cuma sering lihat/follow berita di sosmed. Kadang malah jadi salah paham, dikira instal .apk terlepas dari sumber apapun adalah virus. Keluarga ane banyak yang gaptek dan tiap ada pesan bermedia sering langsung diklik tanpa diperiksa dulu itu file apaan. Beruntung ga kena spam sejenis yang dishare agan dewo di atas.

Sebenarnya udah move on ke proton tapi ya buat daftar-daftar yang baru, sedangkan yang lama kalau mau change email juga ribet verif sana sini, ya karena merepotkan, jadi email lama masih dipake.

Hacker sudah semaking canggih, tanpa ba bi bu mereka langsung masuk ke inti serangan yaitu OTP.
Kalau menurut saya sih zaman hari gini, kalau istri, saudara, kerabat dekat yang agak agak gaptek mending jangan diinstalin aplikasi mbangking biar ketika dapat phising kayak gitu hackernya kena apk not found atau via sms ya?

ya sebenarnya gak juga orang IT pun paham kalau pesan itu mau nipu, karena ngirim poto yang seharusnya file .jpg, png atau jpeg tapi ngirim .apk

Mungkin mirip dengan kejadian bang Luzin dan bang Chikito.
Tetapi ini menggunakan samaran apk yang dikirim oleh seseorang yang menyamar sebagai pengantar paket toko online (JnT, spx, JNE, dkk)

Kurang lebih seperti ini contohnya:


Jika bukan orang yang dekat ama IT, kemungkinan akan langsung klik apk tersebut.
Dan ketika korban tidur / istirahat, maka pelaku akan menjalankan aplikasi perbankan mobile.
Ketika ada kode OTP melalui SMS, pelaku akan melihat pesan tersebut dan menghapusnya setelah mencatat kodenya.

Bahkan OTP korban bisa terbaca dilayar pelaku, karena apapun kegiatan hape korban akan terpantau oleh pelaku (remote admin).

Kemaren saya juga sempet dapat WA ada lowongan kerja part time gaji 3-5 juta dan ada link tautan. Saya sudah print screen tapi lupa save. Saya abaikan saja karena pernah baca di media sosial, bahwa dari link pesan WA mereka bisa mengguras Rekening Bank.

Teman salah satu Medsos dan Excahnger juga, yang dikirim ke no WA Istrinya. Dia mendapat WA tracking paket setelah diklik tidak ada permintaan memasukan sandi dll. Tapi setelah itu dapet sms OTP BRI dan kemudian ada notif uang keluar dari rekening.



Sumber

Saran ane agan pindah provider aja ke Proton atau Tutanota untuk email yang sensitif, setidaknya sampai saat ini e-mail ane di platform tersebut bisa mefilter dengan baik kalau ada pesan spam. Privasinya juga bisa dibilang lebih baik daripada Gmail. Spam fiter phishing kripto setidaknya sejauh yang ane rasain lebih oke.

Kemungkinan dari sana, soalnya istri saya juga dapat email serupa yang bahkan hanya dipakai untuk merchant online shopee dan tokped. Dan, kedua email tersebut dari provider sama yaitu google. sayangnya saya hanya bisa menfilter spam dengan memblok nama pengirim dimana jika masih sama akan terblok otomatis, namun jika berbeda pengirim file yang sama maka akan tetap muncul di inbox.

Setahu ane Tokped dan beberapa platform merchant Indo (dan lembaga perbankan/BUMN) beberapa kali mengalami data leak. Sempat ada berita data" ini dijual di darknet beberapa bulan lalu, dan mungkin bukan yang pertama atau terakhir kalinya. Ane juga dapet e-mail serupa di e-mail pribadi ane. Solusinya yang ada hanya filter mereka sebagai spam ke depannya (mungkin provider e-mail agan bakal secepatnya menambah filter otomatis untuk e-mail" sejenis ini, tapi ga tahu kapan).

Sudah 2x ini saya dapat email seperti di atas yang dapat saya yakini jika kita klik link dan file yang disematkan itu akan kena virus atau malware.
Padahal, email saya itu sangat pribadi dan hanya saya daftarkan untuk hal-hal yang sangat penting seperti daftar exchange ber-KYC, untuk akun bank, daftar PLN, indihome, tokped dan e-wallet.

Kalau saya baca dan cari-cari, file-file berekstensi PDF mulai ramai dipakai karena mungkin anggapan mereka dapat mengelabuhi dan mereka leluasa menyusupi virus seperti: Snake keylogger (mencuri data-data pribadi di handphone, password, pin dll)

[1]. https://www.republika.co.id/berita/rcfclm368/waspada-penyebaran-malware-baru-dari-file-pdf

Kalau khusus untuk apk di Google/Android, setidaknya ada beberapa hal yang bisa dilakukan:
1. Pastikan publishernya sesuai dengan perusahaan yang agan kenal. Misalnya Tokopedia perusahaannya Tokopedia. Biasanya bisa dicek kok developernya siapa dan link webnya dst. Kalau appnya Tokopedia misalnya tapi developernya beda bisa jadi itu malware.
2. Check link download appnya dari web resmi apk terkait. Misalnya mau download Electrum cek di webnya dulu sama ga link apknya dengan yang agan mau download.
3. Kalau agan make F-Droid atau mau install apk open source, bisa lihat source codenya dulu kalau agan bisa verifikasi sendiri atau build sendiri biar lebih aman.
4. Bikin post di forum atau sosmed lain buat nanya apakah apk yang mau agan download aman atau tidak, kalau agan masih ragu juga, dan semacamnya.

Malware yang berhubungan dengan duit pasti gak bakal ada habisnya, sudah kayak jamur di musim hujan, kalau pun dibinasakan satu akan tumbuh seribu, karena memang peluang ngasilin duitnya gede dibanding dengan inject virus yang lain. Ya salah satu solusinya ke pengguna itu sendiri, dengan memberikan semacam warning oleh google di playstore khususnya untuk aplikasi menyangkut uang, misal;

"Hati-hati resiko malware atau virus jika mendownload aplikasi ini" dsb

Lebih tepatnya Mas Joni

Yup, tentunya bukan hanya melihat atau bahkan langsung percaya begitu saja terhadap rating yang ada. Fake rating seringkali ada juga yang membagus-baguskan suatu produk diluar kenyataannya bahkan ada juga yang malah menawarkan jasa seperti ini: https://belifollowers.com/produk/android-app-rating-play-store/. Melihat hasil review itu hanya langkah kecil yang mungkin bisa dilakukan sebagai gambaran awal sebelum lanjut dengan cara lainnya untuk lebih memastikan app nya aman atau tidak, termasuk sebelumnya sudah lebih dulu mengamankan device semisal dengan anti virus.

---

Saya kurang tahu persis kebijakan Google seperti apa dalam menangani kasus aplikasi yang seperti itu, termasuk jika ada yang mereport, minimalnya harus sampai jumlah berapa agar aplikasi di play store tersebut ditinjau ulang.