Kelompok phishing asal Tiongkok, yang sebelumnya dikenal menyebarkan pesan SMS penipuan tentang paket tersesat atau biaya tol yang belum dibayar, kini menawarkan taktik baru. Bertepatan dengan musim belanja liburan, mereka menyediakan kit phishing untuk membuat situs web e-commerce palsu namun meyakinkan secara massal. Situs-situs ini dirancang untuk mengubah data kartu pembayaran pelanggan menjadi dompet digital dari Apple dan Google. Para ahli menyebut, kelompok phishing yang sama juga kini menggunakan umpan SMS yang menjanjikan pengembalian pajak yang belum diklaim dan poin hadiah seluler.
Selama seminggu terakhir, ribuan nama domain didaftarkan untuk situs web penipuan yang mengklaim menawarkan kesempatan kepada pelanggan T-Mobile untuk mengklaim sejumlah besar poin hadiah. Domain phishing ini disebarkan melalui pesan penipuan yang dikirim via layanan iMessage Apple atau layanan pesan RCS yang setara secara fungsional di ponsel Google.
Layanan pemindaian situs web urlscan.io menunjukkan ribuan domain phishing ini telah disebarkan hanya dalam beberapa hari terakhir. Situs web phishing ini hanya akan terbuka jika diakses menggunakan perangkat seluler, dan mereka meminta nama, alamat, nomor telepon, serta data kartu pembayaran pengunjung untuk mengklaim poin tersebut.
Jika data kartu diserahkan, situs tersebut kemudian akan meminta pengguna untuk membagikan kode satu kali (OTP) yang dikirim via SMS oleh lembaga keuangan mereka. Kenyataannya, bank mengirimkan kode tersebut karena para penipu baru saja mencoba mendaftarkan detail kartu korban yang telah di-phishing ke dalam dompet digital dari Apple atau Google. Jika korban juga memberikan kode satu kali tersebut, para phisher kemudian dapat menautkan kartu korban ke perangkat seluler yang mereka kendalikan secara fisik.
Penelusuran lebih lanjut dari domain phishing T-Mobile di urlscan.io mengungkap penipuan serupa yang menargetkan pelanggan AT&T.
Ford Merrill, seorang peneliti keamanan di SecAlliance, sebuah perusahaan CSIS Security Group, menyatakan bahwa beberapa kelompok kejahatan siber asal Tiongkok yang menjual platform phishing-as-a-service telah menggunakan umpan poin seluler ini selama beberapa waktu, namun penipuan ini baru-baru ini menargetkan konsumen di Amerika Serikat.
“Skema penukaran poin ini belum terlalu populer di AS, tetapi sudah ada di wilayah lain seperti Uni Eropa dan Asia sejak lama,” kata Merrill.
Peninjauan domain lain yang ditandai oleh urlscan.io sebagai terkait dengan sindikat phishing SMS Tiongkok ini menunjukkan bahwa mereka juga memalsukan otoritas pajak negara bagian AS, memberitahu penerima bahwa mereka memiliki pengembalian pajak yang belum diklaim. Sekali lagi, tujuannya adalah untuk memancing informasi kartu pembayaran dan kode satu kali pengguna.
WASPADA TERHADAP PENIPUAN
Banyak domain phishing SMS atau “smishing” dengan cepat ditandai oleh pembuat peramban sebagai berbahaya. Namun, Merrill mengatakan bahwa salah satu area pertumbuhan yang berkembang untuk kit phishing ini, yaitu toko e-commerce palsu, jauh lebih sulit dideteksi karena mereka tidak menarik perhatian dengan mengirim spam ke seluruh dunia.
Merrill menjelaskan bahwa kit phishing Tiongkok yang sama, yang digunakan untuk menyebarkan penipuan pesan pengiriman ulang paket, dilengkapi dengan modul yang memudahkan penyebaran cepat sejumlah toko e-commerce palsu namun meyakinkan. Toko-toko palsu ini biasanya diiklankan di Google dan Facebook, dan konsumen sering kali menemukannya saat mencari penawaran produk tertentu secara online.
Dengan toko e-commerce palsu ini, pelanggan memberikan kartu pembayaran dan informasi pribadi mereka sebagai bagian dari proses pembayaran normal, yang kemudian diikuti dengan permintaan kode satu kali yang dikirim oleh lembaga keuangan Anda. Situs belanja palsu tersebut mengklaim bahwa kode itu diperlukan oleh bank pengguna untuk memverifikasi transaksi, padahal kode tersebut dikirim karena para penipu segera mencoba mendaftarkan data kartu yang diberikan ke dalam dompet digital.
Menurut Merrill, hanya selama proses pembayaran toko-toko palsu ini akan mengambil kode berbahaya yang mengungkap sifat penipuan mereka. Hal ini membuat sulit untuk menemukan toko-toko ini hanya dengan memindai web secara massal. Selain itu, sebagian besar pelanggan yang membayar produk melalui situs-situs ini tidak menyadari bahwa mereka telah ditipu sampai berminggu-minggu kemudian, ketika barang yang dibeli tidak kunjung tiba.
“Situs e-commerce palsu ini sulit ditangani karena banyak di antaranya dapat beroperasi tanpa terdeteksi,” kata Merrill. “Mereka bisa bertahan berbulan-bulan tanpa ditutup, sulit ditemukan, dan umumnya tidak ditandai oleh alat penjelajahan aman.”
Untungnya, melaporkan umpan dan situs web phishing SMS ini adalah salah satu cara tercepat untuk mengidentifikasi dan menutupnya. Raymond Dijkxhoorn adalah CEO dan anggota pendiri SURBL, sebuah daftar blokir yang banyak digunakan untuk menandai domain dan alamat IP yang diketahui digunakan dalam pesan yang tidak diminta, phishing, dan distribusi malware. SURBL telah membuat situs web bernama smishreport.com yang meminta pengguna untuk meneruskan tangkapan layar dari setiap pesan smishing yang diterima.
“Jika [sebuah domain] tidak terdaftar, kami dapat menemukan dan menambahkan pola baru serta menonaktifkan domain-domain lain yang cocok,” kata Dijkxhoorn. “Cukup ambil tangkapan layar dan unggah. Alat ini akan melakukan sisanya.”
Merrill mengatakan bahwa beberapa minggu terakhir setiap tahun biasanya terjadi peningkatan besar dalam aktivitas smishing, terutama skema pengiriman ulang paket yang memalsukan Layanan Pos AS atau perusahaan pengiriman komersial.
“Setiap musim liburan, ada ledakan aktivitas smishing,” katanya. “Semua orang terburu-buru, panik berbelanja online, kurang memperhatikan dari yang seharusnya, dan mereka berada dalam kondisi pikiran yang lebih rentan untuk menjadi korban phishing.”
BELANJA ONLINE ALA PROFESIONAL KEAMANAN
Seperti yang kita lihat, mengadopsi strategi belanja dengan hanya membeli dari pedagang online yang menawarkan harga terendah bisa jadi seperti bermain Russian Roulette dengan dompet Anda. Bahkan orang yang berbelanja terutama di toko online ternama pun bisa menjadi korban penipuan jika mereka tidak waspada terhadap penawaran yang terlalu bagus untuk menjadi kenyataan (misalnya, penjual pihak ketiga di platform tersebut).
Jika Anda tidak tahu banyak tentang pedagang online yang menjual barang yang ingin Anda beli, luangkan beberapa menit untuk menyelidiki reputasinya. Jika Anda berbelanja dari toko online yang baru, risiko Anda ditipu meningkat secara signifikan. Bagaimana Anda mengetahui usia situs yang menjual gadget impian dengan harga terendah? Salah satu cara mudah untuk mendapatkan gambaran cepat adalah dengan melakukan pencarian WHOIS dasar pada nama domain situs tersebut. Semakin baru tanggal “pembuatan” situs, semakin besar kemungkinan itu adalah toko fiktif.
Jika Anda menerima pesan yang memperingatkan tentang masalah dengan pesanan atau pengiriman, kunjungi situs e-commerce atau pengiriman secara langsung, dan hindari mengklik tautan atau lampiran, terutama pesan yang memperingatkan konsekuensi mengerikan jika Anda tidak bertindak cepat. Para phisher dan penyebar malware biasanya memanfaatkan situasi darurat untuk menciptakan alarm palsu yang sering kali menyebabkan penerima lengah sementara.
Namun, bukan hanya penipu murni yang dapat mengganggu belanja liburan Anda: Seringkali, barang yang diiklankan dengan diskon lebih besar dari toko online lain mengimbanginya dengan membebankan biaya pengiriman dan penanganan yang jauh lebih tinggi dari biasanya.
Jadi, berhati-hatilah dengan apa yang Anda setujui: Pastikan Anda tahu berapa lama barang akan dikirim, dan Anda memahami kebijakan pengembalian toko. Selain itu, perhatikan biaya tambahan tersembunyi, dan waspadai mengklik “ok” begitu saja selama proses pembayaran.
Yang terpenting, pantau dengan cermat laporan bulanan Anda. Jika saya seorang penipu, saya pasti akan menunggu hingga musim liburan untuk memasukkan banyak tagihan tidak sah pada kartu curian, sehingga pembelian palsu akan terkubur di tengah banyaknya transaksi sah lainnya. Itulah mengapa penting untuk meninjau tagihan kartu kredit Anda dengan cermat dan segera membantah setiap tagihan yang tidak Anda otorisasi.
Sumber: krebsonsecurity.com