Eksploitasi Aplikasi Berkirim Pesan

Platform berkirim pesan sangat popular di kalangan pengguna internet karena memudahkan orang-orang untuk saling terhubung. Karena selain bisa digunakan untuk berkirim pesan, aplikasi semacam ini juga bisa digunakan juga untuk menelpon atau panggilan video tanpa dikenakan biaya, sehingga tentu saja memiliki pengguna dalam jumlah besar.

Dengan besarnya pengguna platform ini, maka tidak heran jika mengundang minat para penjahat dunia maya untuk datang. Meskipun bukan suatu hal yang baru, tapi masih banyak yang belum tahu platform berkirim pesan bisa menjadi sarana serangan siber. Seperti pada kasus terbaru yang melibatkan Facebook Messenger, WhatsApp dan Telegram.

Facebook Messenger

Seperti yang terjadi baru-baru ini dimana para peneliti telah menemukan operasi phising skala besar yang menyalahgunakan Facebook dan Messenger untuk memikat jutaan pengguna ke halaman phising, menipu mereka agar memasukkan kredensial akun mereka dan melihat iklan.

Operator operasi phising menggunakan akun curian untuk mengirim pesan phising lebih lanjut ke teman-teman mereka, menghasilkan pendapatan yang signifikan melalui komisi iklan online.

Operasi phising tersebut mencapai puncaknya pada April-Mei 2022 tetapi telah aktif setidaknya sejak September 2021.

Dari hasil investigasi, dengan melacak pelaku ancaman dan pemetaan serangan diketahui bahwa salah satu halaman phising yang teridentifikasi menghosting tautan ke aplikasi pemantauan lalu lintas (whos.amung.us) yang dapat diakses publik tanpa autentikasi.

Skala penyebaran

Meskipun tidak diketahui bagaimana operasi awalnya dimulai, diketahui korban tiba di halaman arahan phising dari serangkaian pengalihan yang berasal dari Facebook Messenger.

Karena semakin banyak akun Facebook yang dicuri, pelaku ancaman menggunakan alat otomatis untuk mengirim tautan phising lebih lanjut ke teman akun yang disusupi, menciptakan pertumbuhan besar-besaran dalam akun yang dicuri.

Akun pengguna akan disusupi dan dalam mode otomatis, pelaku akan masuk ke akun itu dan mengirimkan tautan ke teman pengguna melalui Facebook Messenger.

Sementara Facebook memiliki langkah-langkah perlindungan untuk menghentikan penyebaran URL phising, pelaku menggunakan trik untuk melewati perlindungan ini.

Pesan phising menggunakan layanan pembuatan URL yang sah seperti litch.me, famous.co, amaze.co, dan funnel-preview.com, yang akan menjadi masalah untuk diblokir karena aplikasi yang sah menggunakannya.

Setelah menemukan bahwa mereka dapat memperoleh akses yang tidak diautentikasi ke halaman statistik kampanye phising, para peneliti menemukan bahwa pada tahun 2021, 2,7 juta pengguna telah mengunjungi salah satu portal phising. Angka ini naik menjadi 8,5 juta pada tahun 2022, mencerminkan pertumbuhan besar-besaran dari kampanye phising.

Dengan menyelam lebih dalam, para peneliti mengidentifikasi 405 nama pengguna unik yang digunakan sebagai pengidentifikasi kampanye, masing-masing memiliki halaman phising Facebook yang terpisah. Halaman phising ini memiliki tampilan halaman mulai dari hanya 4.000 tampilan hingga jutaan, dengan satu tampilan halaman mencapai 6 juta.

Para peneliti percaya bahwa 405 nama pengguna ini hanya mewakili sebagian kecil dari akun yang digunakan untuk kampanye.

Setelah korban memasukkan kredensial mereka di halaman arahan phising, babak baru pengalihan dimulai, membawa mereka ke halaman iklan, formulir survei, dll.

Pelaku ancaman menerima pendapatan rujukan dari pengalihan ini, yang diperkirakan mencapai jutaan USD pada skala operasi tersebut.

Phising WhatsApp

Hanya dalam beberapa hari satu sama lain, para peneliti memberikan peringatan tentang kampanye phising terhadap dua platform perpesanan global yang populer, Telegram dan WhatsApp.

Akun WhatsApp menjadi sasaran serangan phising yang mencoba mengelabui pengguna agar melakukan panggilan ke nomor “**67*< 10 digit nomor > atau *405 * <10 digit angka >”. Hanya beberapa menit kemudian, perangkat akan keluar dari WhatsApp dan peretas akan memiliki kendali penuh atas akun tersebut.

Ternyata, menekan angka-angka itu meneruskan panggilan korban ke nomor yang dikendalikan oleh pelaku ancaman.

Di backend, peretas memicu proses pendaftaran WhatsApp untuk nomor Anda dan memilih opsi untuk mengirim OTP melalui panggilan telepon. Karena ponsel Anda aktif, OTP akan masuk ke ponsel peretas, dan saat itu terjadi maka itu akhir dari WhatsApp Anda.

Serangan phising Telegram

Demikian juga, serangan phising baru-baru ini terhadap pengguna platform blogging yang berfokus pada privasi Telegram, telah melonjak baru-baru ini. Penjahat dunia maya mencari cara untuk memanen kredensial Microsoft 365 dan menjalankan penipuan cryptocurrency.

Telegram memungkinkan pengguna untuk mengatur halaman web tanpa registrasi, dan Telegram menghapus pesan terkirim setelah dibaca, membantu pelaku melakukan penipuan mereka secara anonim. Dengan situasi seperti demikian, para peneliti mengatakan Telegram dengan cepat menggantikan web bawah tanah sebagai platform pilihan bagi penjahat dunia maya.