Perampokan Data Pengguna PayPal

Sebuah phising kit baru ditemukan menargetkan pengguna PayPal dan mencoba mencuri sejumlah besar informasi pribadi dari para korban yang mencakup dokumen dan foto identitas, sebuah perampokan data pengguna PayPal.

Lebih dari 400 juta individu dan perusahaan menggunakan PayPal sebagai solusi pembayaran online. Jumlah yang sangat besar dan menggiurkan.

Kit ini di-host di situs web WordPress yang sah yang telah diretas, yang memungkinkannya untuk menghindari deteksi hingga tingkat tertentu.

Login yang lemah

Peneliti keamanan menemukan setelah pelaku serangan menanamnya di honeypot WordPress mereka. Pelaku menargetkan situs web yang tidak diamankan dengan baik

Langkah selanjutnya peretas memaksa login mereka menggunakan daftar pasangan kredensial umum yang ditemukan secara online.

Mereka menggunakan akses ini untuk menginstal plugin manajemen file yang memungkinkan pengunggahan phising kit ke situs yang dilanggar.

Diketahui bahwa salah satu metode yang digunakan phising kit untuk menghindari deteksi adalah dengan merujuk silang alamat IP ke domain milik sekumpulan perusahaan tertentu, termasuk beberapa perusahaan di industri keamanan siber.

Para peneliti memperhatikan bahwa pembuat phising kit berusaha membuat halaman penipuan terlihat profesional dan meniru situs PayPal asli sebanyak mungkin.

Salah satu aspek yang mereka amati adalah pelaku menggunakan htaccess untuk menulis ulang URL agar tidak diakhiri dengan ekstensi file PHP. Ini menambah penampilan yang lebih bersih dan lebih halus yang memberikan legitimasi.

Selain itu, semua elemen antarmuka grafis dalam formulir ditata sesuai dengan tema PayPal, sehingga halaman phishing memiliki tampilan yang tampak autentik.

Proses pencurian data

Mencuri data pribadi korban dimulai dengan memberi mereka tantangan CAPTCHA, sebuah langkah yang menciptakan rasa legitimasi.

Setelah tahap ini, korban diminta untuk masuk ke akun PayPal mereka menggunakan alamat email dan kata sandi mereka, yang secara otomatis dikirimkan ke pelaku.

Tapi ini belum semua, meskipun dengan dalih “aktivitas tidak biasa” terkait dengan akun korban, pelaku meminta informasi verifikasi lebih lanjut.

Di halaman berikutnya, korban akan diminta untuk memberikan sejumlah rincian pribadi dan keuangan yang mencakup data kartu pembayaran bersama, kode verifikasi kartu, alamat fisik, nomor jaminan sosial, nama gadis ibu.

Tampaknya phising kit dibuat untuk merampok data pengguna PayPal. Mereka tidak hanya meminta data kartu seperti biasanya dikumpulkan dalam penipuan phising.

Alat phising satu ini juga meminta nomor jaminan sosial, nama gadis ibu, dan bahkan nomor PIN kartu untuk transaksi di ATM.

Perampokan data pengguna PayPal

Mengumpulkan informasi sebanyak itu bukan ciri khas phising kit. Namun, yang satu ini melangkah lebih jauh dan meminta korban untuk menautkan akun email mereka ke PayPal.

Perilaku Ini akan memberi pelaku token yang dapat digunakan untuk mengakses konten dari alamat email yang diberikan.

Selanjutnya pelaku kemudian meminta korban untuk mengunggah dokumen identitas resmi mereka untuk mengkonfirmasi identitas mereka.

Dokumen yang diterima adalah paspor, ID nasional, atau SIM dan prosedur pengunggahan dilengkapi dengan instruksi khusus, seperti yang diminta PayPal atau layanan resmi dari penggunanya.

Penjahat dunia maya dapat menggunakan semua informasi ini untuk berbagai kegiatan ilegal mulai dari apa pun yang terkait dengan pencurian identitas hingga pencucian uang.

Atau untuk membuat akun perdagangan cryptocurrency, mendaftarkan perusahaan dan mempertahankan anonimitas saat membeli layanan hingga mengambil alih rekening perbankan atau mengkloning kartu pembayaran.

Mengunggah dokumen pemerintah dan mengambil selfie untuk memverifikasinya adalah sesuatu yang lebih besar daripada hanya kehilangan informasi kartu kredit.

ini dapat digunakan untuk membuat akun cryptocurrency dengan nama korban. untuk mencuci uang, menghindari pajak, atau memberikan anonimitas untuk kejahatan dunia maya lainnya.

Kerentanan phising kit

Meskipun phising kit tampak canggih, peneliti menemukan bahwa fitur unggah filenya dilengkapi dengan kerentanan yang dapat dieksploitasi untuk mengunggah shell web dan mengendalikan situs web yang disusupi.

Mengingat sejumlah besar informasi yang diminta, penipuan mungkin tampak jelas bagi sebagian pengguna. Namun, peneliti percaya bahwa elemen social engineering khusus inilah yang membuat kit ini berhasil.

Mereka menjelaskan bahwa verifikasi identitas adalah hal yang normal akhir-akhir ini dan ini dapat dilakukan dengan berbagai cara.

Penggunaan tantangan captcha menandakan dari awal bahwa verifikasi tambahan mungkin diharapkan. Dengan menggunakan metode yang sama seperti layanan yang sah, pelaku memantapkan kepercayaan korban.

Pengguna disarankan untuk memeriksa nama domain halaman yang meminta informasi sensitif. Mereka juga dapat membuka halaman resmi layanan, dengan mengetiknya secara manual di browser, untuk memeriksa apakah verifikasi identitas sudah dilakukan.

Sumber: Bleeping Computer