Topic: [INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA) - page 6. (Read 139675 times)

Hati-hati! terhadap malicious version dari Ledger Connect Kit* yang digunakan untuk menghubungkan Ledger ke dApps.

Meskipun pihak Ledger meng-claim telah menghapus malicious version tersebut, namun saat ini user disarankan untuk tidak berinteraksi dulu dengan dApps apapun, hingga ada update informasi selanjutnya dari pihak Ledger.

Jika pada saat transaksi, ada perbedaan antara tampilan di hardware Ledger dengan yang tertera di komputer atau smartphone, sebaiknya transaksi tersebut dibatalkan.




https://x.com/Ledger/status/1735291427100455293?s=20



https://x.com/Ledger/status/1735298142118072512?s=20

---

* Mengenai Ledger Connect Kit, antara lain bisa dilihat disini: https://github.com/LedgerHQ/connect-kit.

Saya pernah nemu juga di group telegram, kelihatannya mereka ini cerdik dengan pake video anak-anak gaza yang terluka, lalu setelahnya ada alamat btc dan eth untuk donasi. Namun ketika saya cek di chain abuse [1], itu alamat sudah banyak direport sebagai scam dan donasi palsu, ya harus hati-hati, kemaren-kemaren juga ada dompet donasi buat ukraina, dan donasi covid palsu. Namanya mental scamer, pasti akan dapat memanfaatkan momen untuk ngemis crypto dengan sibol donasi.

Baiknya sebelum donasi, dicek dulu apakah alamat tersebut pernah direport scam pakai tool di bawah.

[1]. https://www.chainabuse.com

Oh, saya kira IP address-nya yang dilaporkan, yang turunannya terhubung dengan beberapa phishing website.

Seingat saya dulu pernah menggunakan situs report phishing page dari Google tersebut ketika me-report website phishing Electrum palsu.
Saya belum tahu persis apakah link tersebut bisa untuk mereport beberapa page situs web phishing sekaligus dengan alasan serupa, ataukah cukup dengan satu page dan di kolom "additional details.." baru kemudian dicantumkan IP address sebagaimana yang dimaksud agan Chikito di atas.

---

Kalau tindak lanjut dari report, setahu saya memang perlu bukti kuat dan jika banyak report yang masuk dengan alasan serupa kemungkinan bisa lebih cepat di proses.
Lebih kurang mirip dengan kasus recovery akun youtube salah satu channel yang terkena hijacked, cara pelaporan dan detail lainnya seperti apa: Youtube Kami Dibajak (Hijacked): Ini Cara Kami Memperolehnya Kembali (lihat menit ke-3:25 tips agar laporan dalam kasus tersebut cepat direspon).

---

Btw, sekedar mengingatkan untuk berhati-hati terhadap situs scam yang "mengatasnamakan donasi untuk Palestina"
Beberapa temuan di media X dan website terkait ini bisa dilihat antara lain di:
https://www.bleepingcomputer.com/news/security/palestine-crypto-donation-scams-emerge-amid-israel-hamas-war/

Contoh website scam berkedok penipuan donasi Palestina menggunakan Cryptocurrency (Bitcoin, Ethereum, USDT):
https://aidgaza.xyz/donate/ (website ini sudah tidak bisa diakses), namun arsipnya bisa dilihat di sini: https://archive.ph/TxeJo.

Untuk mereport phising website, masih di google yang sama [1].
Sedangkan untuk mereport IP beserta aplikasinya, saya belum pernah. Akan tetapi, untuk mereport hanya IP address yang terdeteksi sering melakukan Scam, pernah. Yaitu di sini [2]. Itu juga terkadang lama bro, kita harus sering follow up dan mungkin perlu direport berulang-ulang baru bisa musnah semua website beserta IP addressnya. Dan, itu juga masih tergantung kebijakan mereka, karena yang mengontrol juga manusia, bisa saja kita anggap phising, tapi belum tentu juga oleh mereka, kecuali kalau operatornya AI yang punya kemampuan menganalisa secara tepat.

[1]. https://safebrowsing.google.com/safebrowsing/report_phish/?hl=en
[2]. https://www.abuseipdb.com/

Ya, ada beberapa metode scan di https://www.virustotal.com, dan yang bisa dikatakan lebih mengena adalah scan ke file aplikasinya langsung.
Tadi sempat terpikirkan juga ke arah sana, namun saya sendiri belum mengetahui lebih jauh bagaimana cara mengekstrak file installer aplikasi yang sudah di download dari AppStore (file .ipa). Kalau di Android dulu pernah menggunakan aplikasi semacam APK Share & Backup, sehingga bisa mendapatkan file .apk yang sudah diinstall.

---

Terima kasih atas informasi link-nya. Tadi saya baru baca sepintas pada bagian "How Mitmproxy works", dan link lanjutan yang diarahkan ke sini:
https://blog.heckel.io/2013/07/01/how-to-use-mitmproxy-to-read-and-modify-https-traffic-of-your-phone/

Sepertinya, melakukan pemindaian pada URL tidak sama dengan melakukannya pada file executeable (.exe, .apk), musik, gambar, dan sebagainya[1][2]. Jadi, alamat IP yang digunakan oleh aplikasi tersebut tidak bisa dideteksi. Pada kasus hasil pindai di atas, yang kedeteksi adalah IP dari situs websitenya itu sendiri.

[1] https://support.virustotal.com/hc/en-us/articles/115002092429-I-asked-for-a-URL-scan-but-the-file-located-at-the-given-URL-was-not-enqueued-for-antivirus-scanning
[2] https://support.virustotal.com/hc/en-us/articles/115002092509-Some-URL-scanner-detects-a-given-URL-but-its-corresponding-antivirus-solution-does-not-detect-the-downloaded-file-or-vice-versa


Untuk mengetahui alamat IP dari server atau situs phising dari aplikasi terkait memang harus dianalisa terlebih dahulu. Salah satu cara yang bisa dilakukan adalah dengan memanfaatkan teknik MITM(Man-in-the-middle ), contoh pada: [3]. Cara kerja teknik tersebut memungkinkan untuk mengintersepsi jaringan, sehingga alamat IP apa saja yang aplikasi tersebut akses, akan bisa diketahui.

[3] https://medium.com/testvagrant/intercept-ios-android-network-calls-using-mitmproxy-4d3c94831f62

Saya coba telusuri salah satu aplikasi wallet phishing: Samourai wallet Management

Berikut ini link di AppStore: https://apps.apple.com/id/app/samourai-wallet-management/id6470392373
Detail informasi hasil scan via https://www.virustotal.com/:
- https://www.virustotal.com/gui/url/6b3556445b76503a9ffc5e8c2aad7027a3a240fb6f4958a759d21a3b6904106f/detection (Statusnya Clean)
- https://www.virustotal.com/gui/url/6b3556445b76503a9ffc5e8c2aad7027a3a240fb6f4958a759d21a3b6904106f/details (Serving IP Address: 104.96.192.27)
- https://www.virustotal.com/gui/ip-address/104.96.192.27/relations (relate IP tersebut cenderung ke domain-domain resmi apple)

Berikut ini link website developer-nya: https://wallet.samourai.finance/
Detail informasi hasil scan via https://www.virustotal.com/:
- https://www.virustotal.com/gui/url/b05bb52e031a1e843e211ba2bc88eb8348384d4f7e387f8f3fa586a7a7263b9f/detection (Statusnya Clean)
- https://www.virustotal.com/gui/url/b05bb52e031a1e843e211ba2bc88eb8348384d4f7e387f8f3fa586a7a7263b9f/details (Serving IP Address: 15.204.166.238)
- https://www.virustotal.com/gui/ip-address/15.204.166.238/relations (Ada beberapa domain, yang saya belum begitu familiar dengannya)

Saya coba cek sebagian domain yang relate dengannya, disana tidak terdapat aplikasi wallet phishing serupa yang lain.
Pertanyaannya, bagaimana cara mereport sekaligus dengan menggunakan IP address dari website aplikasi phishing tersebut, apakah dengan mencantumkannya juga saat me-report aplikasinya ke pihak AppStore, ataukah me-report ke salah satu atau beberapa Security vendor untuk di analisa?

---

Note: Website aplikasi Samourai wallet yang asli: https://samouraiwallet.com/.

Kalau saya lihat si scammer ini menggunakan 1 pancing dengan banyak umpan, artinya mereka tebar banyak fake dan phising aplikasi dengan metode yang sama dalam satu waktu. Case-nya hampir sama dengan phising di website, dan biasanya muaranya akan tetap pada IP yang sama. Dulu itu, ketika saya masih aktif nyari-nyari website phising [1]. Mereka ini kadang cuma ganti domain saja, sedangkan server dan VPS-nya tetap pakai IP yang sama, sehingga kalau mau report tuh aplikasi IOS di atas, sekalian saja report juga IP addressnya, sehingga sekali tebas bisa membunuh sekaligus aplikasi yang dilisted.

[1]. Phishing Cryptocurrency Site

Barusan saya coba lihat di AppStore, betul aplikasi Electrum palsu tersebut sudah tidak ada lagi:



Untuk beberapa wallet palsu serupa lainnya, nampaknya memang masih ada. Kemungkinan belum ada yang melaporkannya atau perlu beberapa laporan lebih banyak untuk menguatkan bukti kalau aplikasi tersebut termasuk phishing. Hati-hati terhadap aplikasi wallet seperti ini:

---

Diantara user yang mengklaim sebagai salah satu korban dari aplikasi Electrum palsu:

---

Baru saya lihat di App Store, nampaknya sekarang aplikasi Electrum palsu tersebut sudah dihapus, Namun, untuk aplikasi lainnya masih tetap tersedia.

---

Tidak ada sistem yang sempurna, mereka sudah punya sistem otomasi untuk mengecek aplikasi yang akan dimuat di App Store. Tapi, ya itu, setiap sistem tidak bisa selalu mendeteksi 100% aplikasi malware yang masuk. Entah dari sisi malware-nya sendiri yang makin canggih, ataupun aplikasi cerdik seperti kasus ini. Toh, bisa dibilang, aplikasi pada kasus ini aplikasi yang simpel. Cukup siapkan kolom input untuk pengguna, lalu kirim datanya ke server.

Dalam contoh tersebut, tidak ada yang sifatnya merusak, sehingga ya memang mungkin sulit untuk mendeteksi aplikasi serupa.

Good Job, satu langkah kecil yang bisa memberikan perubahan.
Sekelas AppStore juga kudu Notice sama banyak aplikasi gak jelas, dan mereka kudu menyeleksi setiap aplikasi yang mau di Up ke AppStore.
Perangkatnya aja mahal masak gak bisa Detek aplikasi phising kayak gini.

---

Semua sudah saya terapkan mulai dari Antivirus menggunakan Bitdefender + Kaspersky yang di lengkapi dengan Plugin Web adblock serta Plugin AdBloker Ultimate yang akan menyeleksi iklan-iklan Pop-up dan iklan lainnya yang tiba-tiba muncul.

Pakek Antivirus Kaspersky dalam beberapa tahun terakhir sudah cukup banyak pemblokiran website phising dan website yang cukup rentan untuk di kunjungi.

Saya pribadi sudah melaporkan aplikasi wallet Electrum palsu tersebut ke pihak Apple (https://reportaproblem.apple.com/) dengan menyertakan link tweet dari developer Electrum yang asli mengenai aplikasi palsu tersebut: https://twitter.com/ElectrumWallet/status/1724006226785140935.

---

Langkah pencegahan awalnya antara lain dengan memasang Antivirus baik di PC atau smartphone-nya, dan ditambah pula dengan memasang ad-blocker untuk meminimalisir munculnya jebakan website phishing seperti itu.

Kalo masih ada dan masih bisa di download, berarti masih ada saja yang kejebak Aplikasi palsu atau aplikasi phising kayak gini.
Apa kalo kita report akan ditinjau oleh AppStore atau gak ada tanggapan?

Biasanya ada beberapa FeedBack dari orang lain yang mengatakan bahwa ini adalah aplikasi berbahaya dll seperti Feedback yang ada di Playstore
Semakin banyak feedback negatif dan report maka akan lebih cepat di notice sama developer AppStore agar segera dihapus.

Mau menuju situs resmipun juga kudu hati-hati kalo sekarang om, kadang yang buat situs phising sekarang lebih pintar.
Ngiklan di google dan di pencarian Muncul paling atas, dan tampilan situs Phising dan domainnya hampir sama.

Sekarang bener-bener harus teliti sebelum masuk website atau kalo mau download aplikasi apapun.
Iklan-iklan yang muncul di web makin banyak, apalagi kalo udah keinfeksi ADware, makin tambah amburadul.

Saya coba lihat semua aplikasi yang disebutkan agan vv181 di atas di AppStore, dan ternyata kesemuanya masih ada di sana;
Untuk Electrum Wallet palsu, ketika membuka pertama kali, nama developer yang muncul tertera "CHEETAH TOURS LTD" kemudian setelah sekian detik lantas berubah menjadi "Electrum Wallet Experience"; Berikut ini screenshot wallet Electrum palsu tersebut yang saya ambil barusan, dan saya coba download (hanya penasaran, tidak untuk ditiru, DWYOR) untuk melihat apa saja menu yang di "arahkan" oleh scammer tersebut:

     

     

Seperti yang diduga sebelumnya, dari beberapa tombol menu yang saya coba buka, kesemuanya mengarahkan user untuk mengetikkan Mnemonic atau Private key di Aplikasi tersebut, bahkan ketika saya tap tombol Ledger Wallet.
Kalau di Electrum asli (versi desktop), ketika di connect ke hardware wallet (Ledger, Trezor, dll) bahkan menu untuk export private key itu tidak berfungsi.

---

Tetap berhati-hati terhadap aplikasi palsu, dan pastikan download dari situs resminya.

Informasi untuk pengguna iOS untuk selalu berhati-hati menggunakan aplikasi yang berkaitan dengan cryptocurrency, dikabarkan di dalam App Store terdapat aplikasi Electrum palsu.[1] Bukan hanya itu, terdapat beberapa aplikasi tiruan lainnya yang mengatasnamakan wallet lainnya.

Sebagai contoh:
LUMI WALLET MANAGEMENT
SAMOURAIWALLET MANAGEMENT
JAXX LIBERTY TRADE
JAXX LIBERTY WALLET MANAGEMENT
FANTOM WALLET MANAGEMENT
AAVE PROTOCOL ASSETS TRADE

Isunya, aplikasi tersebut meminta private key atau seed phrase lalu hasil input dari pengguna dikirim ke server mereka.[2] Tim Electrum-nya sendiri sudah mengetahui dan telah mengeluarkan peringatan tentang beredarnya aplikasi palsu tersebut.[3]

[1] https://nitter.net/oscpacey/status/1723758796806263043#m
[2] https://nitter.net/oscpacey/status/1723758811310068107#m
[3] https://nitter.net/ElectrumWallet/status/1724006226785140935#m

Sampai sekarang akun LinkedIn cuman jadi pajangan, Sering gak dibuka cuman kalo ada event2 airdrop yang butuh LinkeIn baru deh dibuka.
Memang banyak sih developer atau Freelancer yang punya bidang di crypto pakek LinkeIn untuk Portofolio mereka dan bahkan Lengkap dengan Biodata asli.
Jadi gak heran mereka menargetkan untuk menyerang Jaringan Sosial LinkedIn.

Sekarang hacker-hacker makin brutal, makin canggih karena teknologi juga mendukung.

"Empat tahun lalu, sebuah laporan PBB memperkirakan bahwa peretas negara Korea Utara, termasuk BlueNoroff, telah mencuri sekitar $2 miliar dalam setidaknya 35 serangan siber yang menargetkan bank dan bursa mata uang kripto di lebih dari selusin negara."

Padahal ini sudah 4 tahun yang lalu, bisa dapet $2miliar hanya dalam 35 serangan.
Apalagi jika mereka melakukan banyak serangan sekarang, hasilnya bakal lebih banyak lagi.

Kadang sering dapet Inbox  di Facebook, Telegram, Instagram dll dari orang-orang gak dikenal berupa Link dan bebrerapa file.
Apalagi di email, makin banyak spam.

Tindakan cepatnya yaitu langsung hapus dan blokir gak usah dibuka.

Btw, kata Microsoft grup hacker Korea Utara sedang berusaha untuk melakukan serangan baru di jaringan sosial LinkedIn untuk menyerang mereka yang bekerja di perusahaan" kripto. Model serangannya mengirimkan malware lewat fitur messaging di media sosial yang dijadikan platform serangan[1]. Agak unik juga karena targetnya dikhususkan ke pekerja perusahaan kripto, walau ane yakin model serangan ini bisa digunakan juga untuk user lain atau bahkan di platform lain. Kalau agan punya akun sosmed, jangan lupa buat blokir dan hindari klik file" aneh dari user yang ga dikenal.

[1] https://www.bleepingcomputer.com/news/security/microsoft-bluenoroff-hackers-plan-new-crypto-theft-attacks/

Terkait benar atau tidak tentang malware yang menyerang Baim wong tersebut, kita sebagai pengguna smartphone juga harus perlu lebih waspada,
Karena siapapun bisa saja kenak malware tersebut dan yang paling penting, memperhatikan himbauan yang sudah di share di forum ini.
Minimal paham dan mengerti bagaimana proses penipuan, penyebaran malware dan bagaimana malware itu bekerja.

Susah orang percaya jika bersangkutan itu suka bikin konten, apa lagi isu yang diangkat itu memang sudah viral dan sudah banyak yang kena. Istilahnya itu, mengambil kesempatan dalam kesempitan, apa lagi nama dia itu sudah agak tenggelam dibanding beberapa waktu lalu, banyak konten yang sudah dia bawakan namun tidak begitu banyak penonton di luar subscribe, nah dengan bikin konten kena malware yang sedang viral, dia berharap nama dia akan naik karena faktor dikasihani orang tadi.

Ya kalau memang disengaja seperti ini, bisa jadi memang "nyari hasil yang lebih besar", dia juga membiarkan virus yang sudah diklik bekerja di HP-nya, kayak memang dia sudah setingkan seperti itu.

Terkait benar atau tidak, Baim juga gak mempublis ke youtube soal kehilangan uang karena malware Via WA dan hanya melakukan klarifikasi di reel IG.nya saja.
Mungkin agar tidak menimbulkan banyak keresahan dan tidak terkesan hanya sebagai konten saja.
Tapi kali ini kayaknya gak sampai harus cari banyak penonton, toh penonton dan subscribernya udah banyak.

Benar-benar kehilangan gara-gara satu klik atau tidak, itu bisa saja terjadi karena satu klik bisa mengijinkan semua OTP dilihat dan pelaku bisa ngubek-ngubek semua akun termasuk  Akun dan rekening bank.

Bukan tanpa OTP, pasti akan ada OTP yang dilakukan.
Lagipula Baim juga terlalu membiarkan kejadian tersebut hingga berhari-hari dan itu bis ajadi kesempatan scamer buat nguras duit di ATM.nya dan beberapa akun E-Walletnya.

Sekarang Limit transfer Bank bahkan bisa sampek milyaran tergantung Jenis Kartu dan bank apa yang digunakan.

Limit transfer BCA Platinum (Tahapan)
- Limit transfer melalui internet banking: Rp 500 juta.
- Limit transfer melalui myBCA: Rp 300 juta.

Limit transfer BRI Britama Bisnis Premium
- Limit transfer BRI ke BRI di internet banking: Rp 5 miliar
- Limit RTGS di internet banking: Rp 1 miliar

Limit transfer BNI lewat Mobile Banking
- Limit transfer ke BNI: Rp 200 juta/hari dan Rp 100 juta/ transaksi
- Limit transfer antarbank: Rp 200 juta/hari dan Rp 50 juta/transaksi

Limit transfer BNI lewat Internet Banking
- Limit transfer antar BNI: Rp 1 miliar
- Limit tranfer antarbank: Rp 25 juta

Limit transfer Mandiri Kartu ATM Prioritas
- Limit transfer antar Bank Mandiri: Sesuai saldo.
- Limit transfer antarbank: Rp 50 juta
- Limit belanja Debit EDC: Sesuai saldo.

Limit transfer Mandiri di Mobile Banking (Livin' by Mandiri)
- Limit transfer antar Bank Mandiri: Rp 300 juta/hari/transaksi
- Limit transfer antarbank: Rp 250 juta/hari dan Rp 50 juta/transaksi
- Limit transfer antarbank via BI FAST: Rp 250 juta/hari/transaksi
- Limit transfer SKN: Rp 200 juta/hari

Selengkapnya:
https://money.kompas.com/read/2022/12/25/234556326/limit-transfer-bca-bri-bni-dan-mandiri-berdasarkan-jenis-kartu-atm