Kamis, 12 Juli 2018

Penipuan Phishing mengatasnamakan Bukalapak: Case 2

Beberapa hari yang lalu teman penulis menghubungi penulis lagi karena mendapatkan pesan dari seseorang dengan nama TIM POLICY di toko online Buk*lapak. Akun itu mengirimkan gambar yang isinya mengatakan bahwa akun teman penulis telah disalahgunakan.

Pesan phising yang didapat teman penulis

Ini merupakan kasus ke sekian yang penulis tangani. Penulis juga pernah membahas mengenai kasus seperti ini di tulisan penulis sebelumnya.

Analysis
Halaman login palsu

Pelaku cukup cerdik dengan mengirim pesan waktu dini hari. Mereka ingin memanipulasi perasaan pengguna. Sehingga ketika pengguna membuka akunnya pertama kali pada hari itu, mereka akan kaget mendapat pesan seperti itu, lalu mereka akan langsung panik, dan dari panik itu pengguna tanpa pikir panjang akan langsung membuka  link itu tanpa melihat bahwa link itu palsu. Jika pengguna terjebak, maka username dan passwordnya yang dimasukkan pada website palsu itu akan dikirim ke pelaku dan pelaku dengan bebas melakukan aksinya di dalam akun yang menjadi target.
Penulis mencoba mencari tahu sedikit lebih banyak mengenai website tersebut. Penulis mengakses dari perangkat handphone penulis, begitu terbuka, terlihat halaman login palsu Buk*lapak. Tampilannya nyaris mirip dengan yang asli, tapi masih banyak kekurangan di sana sini yang untuk pengguna awam pun seharusnya bisa membedaka dengan yang asli.
Penulis tidak berhenti di situ, penulis berusaha mencari lewat website WHOIS untuk mengetahui mengenai website ini lebih dalam.
Penelusuran WHOIS 1

Melalui penelusuran WHOIS ditemukan bahwa website ini dihosting di H*stingceria mulai 22 Juni 2018 dan diperbarui terakhir 10 Juli 2018.
Penulis masuk ke website resmi hosting ini. Penulis melihat perusahaan Hosting ini hanya menyediakan jasa hosting berbayar seperti gambar di bawah ini.

Tarif berbayar H*stingceria


Menjadi aneh untuk penulis, mengapa bisa website palsu seperti kasus ini dihosting di sini. Penulis tidak mengetahui apakah pelaku membayar untuk hosting di sini atau mereka menghack website ini untuk membuat website palsu di atas.

Who is the attacker?
Penulis melakukan WHOIS yang lebih mendalam terhadap website ini dengan mencari dari website WHOIS lain untuk menelusuri lebih banyak info mengenai website ini. Penulis menemukan:

Info mengenai website palsu 1
1. Memang benar website ini dihosting server penyedia hosting h*stingceria.

Info mengenai website palsu 2


2. Website palsu itu diregistrasi atas nama Koko James. Penulis menduga nama itu adalah pelaku pembuat website dan pelaku pembuat serangan ini. Namun penulis tidak mengetahui apakah itu nama asli atas samaran. Data di atas juga termasuk Negara pembuat, kota pembuat. Melalui informasi itu penulis bisa menyimpulkan pelaku berasal dari Indonesia.

PING jawaban website palsu



3.Ketika tulisan ini dibuat, website ini masih aktif terbukti dengan masih ada balasan respon PING yang dilakukan ke website itu.
Kemudian, penulis melaporkan hasil temuan penulis ini kepada teman penulis. Penulis juga menyarankan teman penulis melaporkan ke tim toko online itu, melaporkan ke Google Safe Browsing dan melaporkan ke penyedia hosting untuk menonaktifkan website itu agar meminimalisir korban yang berjatuhan.

Kesimpulan
Penulis menyimpulkan melalui kasus di atas bahwa itu merupakan salah satu kasus phishing. Phishing merupakan salah satu metode yang digunakan penjahat siber untuk memperoleh kresedensial pengguna. Yang biasanya target utama pelaku adalah menguras saldo pada dompet toko online milik pengguna yang menjadi taget.

Penulis selalu menyarankan:
1. Jangan langsung panik jika mendapat pesan seperti di atas siapapun pengirimnya, cek dulu apakah website yang diberikan sama dengan website resmi. Jika tidak, abaikan saja pesan itu.
2. Cek apakah anda notifikasi pada email anda tentang penyalahgunaan akun yang resmi dari toko online anda. Biasanya toko online akan mengirimkan notifikasi penyalahgunaan hanya via email, bukan mengontak anda secara langsung via pesan.
3. Harap cek link di address bar browser anda, apakah link tersebut berubah atau tidak dari link yang awal anda klik, setelah halaman website itu terbuka. Jika berubah, langsung tutup halaman itu pada browser anda.
4. Setelah terbuka, cek juga apakah link di address bar itu sama dengan website resmi toko online itu. Jika tidak sama, tutup langsung browser anda.
5.Ubah password/kata sandi secara rutin minimal 1 tahun sekali. Gunakan kombinasi angka, huruf dan tanda baca, serta minimal 8 digit agar sulit untuk dibobol.
6.Jangan beritahukan password kepada siapapun.
7.Gunakan Otentifikasi 2 Langkah yang tersedia di masing-masing toko online. Dengan otentifikasi 2 langkah ini, setiap kali anda login ke akun anda, toko online akan mengirimkan SMS berisi kode ke nomor ponsel terdaftar anda terlebih dahulu, setelah menerima kode, kode itu akan anda isikan pada kolom permintaan kode di halaman toko online itu, setelah diisikan ke sana, maka anda baru benar-benar login ke akun anda. Ini untuk memastikan bahwa hanya anda yang dapat login ke akun anda.
8.Laporkan akun yang tidak dikenal atau palsu ke toko online yang bersangkutan. Agar tidak jatuh korban lebih banyak.
9.Laporkan ke Google SafeBrowsing tentang link login palsu agar tidak ada korban lain.
10.Gunakan antivirus yang selalu diperbarui setiap hari untuk memblokir link-link berbahaya.


11.Selalu perbarui sistem operasi anda dengan pembaruan dari vendor yang keluar setiap bulan. Jika anda pengguna Windows, perbarui Windows anda dengan pembaruan resmi dari Microsoft yang keluar setiap bulan untuk meminimalisir celah masuk dari hacker.

Sekian penjelasan penulis. Semoga bermanfaat.


Catatan: Jika anda ingin menyalin/melakukan copy-paste artikel di atas harap sertakan link halaman website ini.