Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 5. (Read 136184 times)

Quote post agan Luzin yang masih mencantumkan link form tersebut juga mestinya agan edit agar unclickable (saya lihat post aslinya sudah di edit), contoh menjadi:
https://forms.gle/6wCnBnc3QaLgv2aP9

Airdrop tersebut nampaknya memang scam, bahkan sudah beredar cukup lama. Berikut ini beberapa diskusi di website komunitas pengguna Brave:
- https://community.brave.com/t/report-malicious-scam-website-that-claim-to-give-free-bat/511172
- https://community.brave.com/t/1400-bat-aidrop-scam-or-not/529530

Kalau di Brave mungkin yang agan maksud itu safe browsingnya dari Google. Biasanya filter iklan yang mereka punya juga bisa memblokir situs yang dinilai phishing, tapi balik lagi semua itu tergantung di database mereka ada atau tidak. Kalau agan pake uBlock origin misalnya bisa masukin filter list sendiri yang mengandung website aneh-aneh akan diblokir semua, dan bisa agan edit juga. Yang jelas kewaspadaan individual itu paling penting untuk mengamankan diri dari serangan phising, tool cek website dan yang lain hanya sebagai alat sekunder saja.

Btw agan bisa filter manual di setingan e-mail. Sejauh ini ane pake protonmail dan setiap phishing yang masuk otomatis masuk ke spam, hanya satu atau dua e-mail aneh saja yang biasanya lolos. Seiring berjalannya waktu domain" aneh atau template yang dipake scammer untuk menyerang via e-mail juga bisa difilter otomatis (balik lagi ke database dan algoritma yang dipake).

Nampaknya memang form, tapi saya lebih milih save aja. Karena sebagai antisipasi maka saya bawa ke forum buat diskusi.


Sebenarnya udah curiga kalau ada email-email airdrop atau tidak jelas langsung saya hapus saja. Baru tau kalau ada web onlinepenyedia cek phising. Baru saja saya search di google ada beberapa saya coba 2 https://easydmarc.com/tools/phishing-url dan https://checkphish.bolster.ai/.

Coba telusuri dan hasilnya

Gan jika google form itu di anggap berbahaya, mungkin jangan dibuat menjadi tautan langsung gan. Siapa tau malah ke klik, tapi kalo link itu mengarah pada google form si harusnya aman gan, selama kita enggak memberikan informasi pribadi atau mengunduh sesuatu dari email tersebut.

Ane juga ga berani klik link itu, siapa tau juga memang berbahaya. Kalo ga salah ada web yang bisa menganalisa kemanan sebuah situs, tapi ane lupa apa nama situsnya. Ane pake brave dan keknya ga ada program kaya gitu, jadi ini fix email scam terlepas apa tujuan dari sang pengirim email tsb

Adakah yang dapet email dari Brave? kalau dibukak lebih lanjut ternyata dari [email protected]. Nampaknya kalau dilihat dari email nya ini mencurigakan, kemungkinan besar Phishing. Karena sangat menggiurkan juga ada Airdrop 1400BAT dengan registrasi nya di "ht*ps://forms.gle/6wCnBnc3QaLgv2aP9", tapi saya ga berani bukak link ini. Cuma saya klik kanan salin link saja. BTW ada yang mau analisis  .

Btw ada yang organisasinya make Ivanti Connect? Barusan ane cek berita kabarnya ada masalah kemanan yang cukup besar yang sudah dieksploitasi oleh beberapa aktor tertenteu[1]. Hacker katanya masih bisa mengakses koneksi agan meskipun sudah melakukan factory reset, jadinya harus install ulang, revoke passwords dst di semua device kalau mau sepenuhnya aman. Agak kaget juga dengan vulnerability di aplikasi yang kayaknya cukup populer di kalangan pekerja negara. Gimana dengan VPN pasaran ya? Kalau agan make VPN pastikan paham dengan risikonya, meskipun agan beli yang mahal sekalipun.

[1] https://www.bleepingcomputer.com/news/security/cisa-cautions-against-using-hacked-ivanti-vpn-gateways-even-after-factory-resets/

Pembuat aplikasi semacam ini tidak pernah bosan mencoba menemukan bug untuk lolos dari proses seleksi aplikasi di playstore, pasti salah satu strateginya sudah berhasil dengan memanfaatkan script yang tidak terdeteksi dari pemeriksaan system atau human sehingga script di itu dapat di aktifkan untuk menjalankan malware setelah aplikasi sudah di aproved dan di publish di playstore, meskipun system security-nya sudah di upgrage tapi hanya memperkecil kemungkinan adanya bug, dan yang namanya sistem tetap ada bug walaupun ruang lingkup untuk penggunaan bug sudah terbatas karena sistem security sudah bekerja optimal untuk mendeteksi ancaman dari malware.

Bukan hanya human dan system yang harus diperhatikan tapi aspek lain yang membuat lolosnya aplikasi yang mengandung malware. Biasanya si pembuat aplikasi itu sudah paham celah dan lubang untuk menyisipkannya ke playstore, mungkin sudah pernah dan berulang kali melakukan sebelumnya, tapi ya baru ketahuan sekarang-sekarang ini karena mungkin google sudah upgrade system security-nya, sedangkan si pembuat aplikasi masih pakai system malware yang lama.

Padahal pihak playstore sudah menerapkan sistem seleksi dan pemeriksaan yang ketat sesuai aturan pada pedoman konten tetapi ada pihak yang tidak bertangung jawab yang meng-submit beberapa aplikasi dari akun yang berbeda sehingga ada beberapa aplikasi yang lolos dari proses seleksi yang telah di terapkan pihak playstore, seharusnya pihak playstore meningkatkan sistem mereka untuk mengurangi potensi hal yang sama terjadi lagi di masa depan, tapi yang namanya "human erorr" dan sistem eror juga tidak bisa dipungkiri bisa saja penyebab lolosnya aplikasi malware dikarenakan ada puluhan bahkan ratusan aplikasi yang diperiksa dalam sehari, jadi yang menjadi catatan bahwa kita harus memiliki pengetahuan untuk memeriksa aplikasi sebelum menginstal pada ponsel kita, ada beberapa tips sederhana untuk mengetahui aplikasi resmi pada playstore :
- pastikan anda mengakses link playstore dari sumber web resmi, dipastikan 100% aplikasinya aman dari virus.
- pastikan juga memeriksa nama akun yang mengunggah aplikasi dari sumber yang terpercaya karena ada beberapa aplikasi tiruan yang di unggah dari akun baru atau akun palsu yang meniru nama penggunggah aplikasi resmi.
- jangan pernah menginstal .apk dari sumber manapun karena aplikasi yang telah diperiksa keamanan hanya tersedia di store resmi.
- biasakan membaca ulasan aplikasi.

Ane rasa bisa kombinasi ketiganya atau malah lebih sih om. Sejauh ini berita kaya gini juga ga sedikit, jadi sudah pasti filter dari Google sendiri kurang. Di sisi lain berita aplikasi phishing yang menyerupai apps terkenal biasanya cepat ditanggapi, bisa jadi report dari usernya lebih banyak sehingga Google lebih sigap dalam merespons. Dalam hal aplikasi yang tidak begitu terkenal dan report dari user kurang, ga ada inisiatif dari pihak Google sendiri untuk memfilter apps yang bersangkutan. Yang jelas mau ada report atau kontribusi dari user, Google sendiri harus cepat berbenah mengatasi hal tersebut.

Artinya aplikasi yang mengandung malware tersebut sudah sekitar dua tahun di Playstore; Dan dalam kurun waktu tersebut saya baca pada link di atas sudah di download sekitar 1400 kali.
Apa hal tersebut karena kurangnya report dari pengguna yang terdampak, atau memang mereka tidak begitu menyadarinya atau memang filter yang kurang ketat dari Google untuk aplikasi yang bisa tampil di PlayStore?

Kalau aplikasinya berisi malware, sekelas google tentunya memliki filter untuk mendeteksi ini, atau minimalnya sudah punya kerjasama dengan pengembang software keamanan semisal anti virus/malware sebelum benar-benar aplikasinya terdaftar di PlayStore (namun entah kebijakannya terlalu loggar atau bagaimana sehingga aplikasi tersebut muncul sekian lama disana).

Lain hal jika aplikasinya adalah berupa aplikasi Phishing yang mana dari sisi aplikasinya sendiri tidak mengandung malware/virus, contoh aplikasi fake Electrum: 'Electrum Wallet Management' yang beberapa waktu lalu bahkan ada di AppStore.

Kalau masih ada yang hobi install aplikasi dengan nama plesetan di Play Store atau store lainnya, sebaiknya segera dihentikan. Berita terakhir yang ane baca mengungkap kalau rata-rata aplikasi kaya gitu disusupi malware yang bisa merekam data yang agan kirim seperti pesan teks, riwayat browser, dst. Bukan tidak mungkin file wallet dan sejenisnya juga menjadi target[1]. Yang paling mengecewakan adalah aplikasi dengan malware ini hanya dihapus dari Google Play Store sekitar tahun lalu, padahal penyebaran udah mulai ada sejak 2021. Entah ini menunjukkan ada progress filtering di Google Play atau malah tidak sama sekali.

[1] https://www.bleepingcomputer.com/news/security/more-android-apps-riddled-with-malware-spotted-on-google-play/

Ada beberapa berita yang menarik dalam beberapa minggu terakhir. Buat yang pake Mac dan sering download aplikasi crack, sepertinya harus segera berhenti atau nyari alternatif aplikasi gratis kalau emang butuh download aplikasi baru. Aplikasi crack ada yang disusupi dengan malware yang memang dibuat untuk menarget pengguna kripto[1]. Prinsipnya ketika diinstall bakal mengedit beberapa file system agar bisa terus berjalan dibelakang layar dan download beberapa script lain untuk melakukan serangan atas device yang agan pakai. Beberapa wallet yang jadi serangan antara lain Bitcoin Core dan Exodus yang bakal meminta detail wallet ulang ketika berhasil teirnfeksi. Kabar baiknya ada list aplikasi hasil crack yang sudah dipastikan mengandung malware ini[2]. Tapi tetap saja ga menjamin aplikasi crack agan benar-benar ga ada malwarenya juga.

[1] https://www.bleepingcomputer.com/news/security/cracked-macos-apps-drain-wallets-using-scripts-fetched-from-dns-records/
[2] https://securelist.com/new-macos-backdoor-crypto-stealer/1117789

Agak heran juga kalau perusahaan kaya Ledger nge-hire orang yang ga paham tentang phishing, atau ga mengadakan edukasi sedikitpun terkait hal tersebut. Ya mau dispekulasikan kaya gimana juga kejadiannya udah terjadi, semoga aja ga keulang deh. Kalau melihat beberapa kejadian belakangan sih ini bukan yang paling mengherankan, ada juga developer yang kena scam karena mendownload software tertentu, padahal dia harusnya cukup tahu masalah kaya gini[1]. Balik lagi kebanyakan faktornya ya karena lengah, jadi hati-hati aja buat agan" lainnya.

Ini juga ada kabar exploit terbaru yang katanya bisa merecovery otentikasi Google untuk menghack akun orang[2]. Makin banyak aja faktor yang bisa dipakai untuk menyerang pengguna, walau hal ini belum dikonfirmasi oleh Google sejauh yang ane baca. Kalau beneran ada kelemahan kaya gini, orang yang sering pake fitur sinkronisasi akun Google patut hati-hati meskipun memanfaatkan 2FA. Jangan sampai download aplikasi yang aneh" dan selalu verifikasi apps yang mau agan gunakan baik di PC ataupun HP.

[1] https://www.bleepingcomputer.com/news/security/blockchain-devs-wallet-emptied-in-job-interview-using-npm-package/
[2] https://www.bleepingcomputer.com/news/security/malware-abuses-google-oauth-endpoint-to-revive-cookies-hijack-accounts/

Kalau karyawan inti seperti pada bagian pengembangan software kecil kemungkinannya tidak memiliki pengetahuan tentang phishing atau hal yang lebih bahaya dari sekedar phishing.*
Entah kalau yang dibagian 'front office', jika merujuk pada kasus marketing data breach (https://www.ledger.com/addressing-the-july-2020-e-commerce-and-marketing-data-breach).

*

Sepengetahuan saya Ledger memiliki Program Bug Bounty, dan jika memang laporan hasil penelitiannya valid akan ada reward dengan payment-nya menggunakan Bitcoin bukan berupa Dollar US. Lebih detailnya bisa dilihat di sini: https://donjon.ledger.com/bounty/

Mungkin para karyawan/pekerja di ledger tidak dilengkapi bekal ilmu terkait phising, istilahnya tidak pernah di-diklat-kan untuk meningkatkan kompentensi karyawan. Kalau paham kan pasti tahu detail terkait, apa lagi mereka -mereka ini berkecimpung dalam dunia IT dimana hal-hal seperti itu sudah sering terjadi di tiap detik online.

Saya lihat Ledger sendiri punya Campaign [1] untuk meminimalisir phising, artinya saat ini tidak cukup efektif berjalan jika masih banyak yang sejenis di luar sana. Mungkin ada baiknya, setiap laporan/campaign yang masuk itu ada imbalan atau setidaknya dibayar beberapa $ biar orang itu tertarik melaporkan. Kalau cuma report (tanpa imbalan) orang pada malas, apa lagi jika phising tersebut tidak kena pada dirinya.

[1]. https://www.ledger.com/phishing-campaigns-status#help-us

Udah ada beberapa kritik terkait hal di atas juga om. Sebelum Ledger ngasih tahu lebih detail gimana phishibg itu bisa terjadi, bisa dibilang pekerja tersebut lengah dan terkena serangan phishing begitu saja. Faktornya mungkin bisa banyak sih, mulai e-mail yang tidak terfilter, ga jeli mengecek domain dst. Kemaren ane juga hampir kena phishing karena salah satu e-mail tidak terfilter dengan benar. Walau harusnya kalau udah jadi pekerja Ledger familiar dengan berbagai model phishing sih. Gak terlalu heran kalau perusahaan besar kaya gitu kadang masih kecolongan juga. Wong nerapin filter iklan yang bagus saja masih ga bisa[1].

[1] https://www.bleepingcomputer.com/news/security/crypto-drainer-steals-59-million-from-63k-people-in-twitter-ad-push/

Ledger Connect Kit 1.1.8* sudah dirilis beberapa hari yang lalu, dan jangan lupa clear cache pada browser-nya terlebih dulu sebagaimana saran di atas jika sebelumnya pernah menggunakan Connect Kit versi dibawahnya.

*

---

Ada hal yang membuat saya heran (perihal standarisasi terhadap pencegahan serangan phishing) setelah membaca penjelasan dari Ledger terkait adanya eksploitasi pada DApps (pihak ketiga) yang menggunakan Ledger Connect Kit, meskipun 40 menit kemudian Ledger dan WalletConnect bisa mengatasi masalah tersebut:

Sekedar tambahan info, vulnerarbility di atas ditemukan di connectkit versi 1.1.7 ke bawah. Kalau agan sering konek dengan berbagai dapps (terlepas wallet yang agan pakai), ada kemungkinan browser agan meng-cache versi tersebut. Sebelum berinteraksi dengan dapps agan harus clear cache lebih dulu supaya connectkit yang dipakai adalah versi yang paling baru. Udah ada beberapa korban yang menggunakan berbagai jenis wallet yang kena serangan tersebut karena lupa menghapus cache beberapa hari yang lalu. Be safe people.

Hati-hati! terhadap malicious version dari Ledger Connect Kit* yang digunakan untuk menghubungkan Ledger ke dApps.

Meskipun pihak Ledger meng-claim telah menghapus malicious version tersebut, namun saat ini user disarankan untuk tidak berinteraksi dulu dengan dApps apapun, hingga ada update informasi selanjutnya dari pihak Ledger.

Jika pada saat transaksi, ada perbedaan antara tampilan di hardware Ledger dengan yang tertera di komputer atau smartphone, sebaiknya transaksi tersebut dibatalkan.




https://x.com/Ledger/status/1735291427100455293?s=20



https://x.com/Ledger/status/1735298142118072512?s=20

---

* Mengenai Ledger Connect Kit, antara lain bisa dilihat disini: https://github.com/LedgerHQ/connect-kit.