Waspada Jingle Thief Cloud Ritel Jadi Target Utama

Waspada Jingle Thief Cloud Ritel Jadi Target Utama – Para peneliti keamanan siber baru-baru ini menyoroti aktivitas kelompok kriminal siber berbahaya yang dijuluki Jingle Thief.

Kelompok ini secara khusus menargetkan lingkungan komputasi awan (cloud) yang digunakan oleh perusahaan ritel dan layanan konsumen dengan satu tujuan utama, penipuan kartu hadiah (gift card fraud) secara besar-besaran.

Nama “Jingle Thief” (Pencuri Lonceng Natal) adalah julukan yang diberikan karena pola serangan mereka yang sering bertepatan dengan musim perayaan dan liburan, ketika permintaan kartu hadiah sedang tinggi.

Dari Phising ke Pencurian Kartu Hadiah

Aksi Jingle Thief sangat terencana dan memanfaatkan celah keamanan digital modern, khususnya pada layanan berbasis cloud seperti Microsoft 365.

1. Pencurian Kredensial (Phising/Smishing)

Langkah awal Jingle Thief adalah mencuri kredensial (nama pengguna dan kata sandi) karyawan. Mereka menggunakan teknik phising (melalui email palsu) dan smishing (melalui SMS palsu).

Sangat Bertarget

Serangan mereka sangat disesuaikan untuk setiap korban. Mereka melakukan pengintaian terlebih dahulu sebelum mengirim halaman login phising yang sangat meyakinkan, sering kali menyerupai halaman login Microsoft 365 yang asli.

2. Berdiam Diri dan Pengintaian Ekstensif

Setelah mendapatkan kredensial yang dicuri, Jingle Thief akan segera masuk ke lingkungan cloud perusahaan. Kelompok ini terkenal karena mampu mempertahankan akses dalam jangka waktu lama, terkadang lebih dari satu tahun.

Selama berada di dalam sistem, mereka melakukan pengintaian ekstensif untuk memetakan seluruh lingkungan cloud, terutama mencari:

• Alur kerja penerbitan kartu hadiah.
• Dokumentasi internal, spreadsheet, atau sistem yang digunakan untuk mengeluarkan atau melacak kartu hadiah.
• Informasi terkait VPN, SharePoint, dan OneDrive.

3. Skema Peluasan Akses (Lateral Movement)

Untuk memperluas kendali mereka di dalam organisasi, Jingle Thief melakukan beberapa trik kotor:

• Mereka menggunakan akun karyawan yang telah dibobol untuk mengirim email phising ke karyawan lain di dalam perusahaan. Email internal ini sering menyamar sebagai notifikasi layanan IT atau pembaruan tiket, membuatnya terlihat sangat sah.
• Mereka membuat aturan kotak masuk (inbox rules) otomatis untuk meneruskan email sensitif ke alamat di bawah kendali mereka, dan kemudian segera memindahkan email terkirim ke folder “Item Terhapus” untuk menutupi jejak.
• Dalam beberapa kasus, mereka bahkan mendaftarkan aplikasi otentikator jahat untuk melewati perlindungan Multi-Factor Authentication (MFA), memastikan akses mereka tetap ada meskipun kata sandi korban diatur ulang.

4. Penerbitan Kartu Hadiah Palsu Skala Besar

Setelah menemukan alur kerja penerbitan kartu hadiah, Jingle Thief akan menggunakannya untuk menerbitkan kartu hadiah bernilai tinggi secara tidak sah melalui berbagai program.

Minim Jejak

Mereka bekerja dengan hati-hati untuk memastikan tindakan ini meninggalkan log dan jejak forensik sesedikit mungkin.

Mengapa Kartu Hadiah Begitu Menarik bagi Penjahat?

Kartu hadiah (gift card) menjadi komoditas panas di dunia kejahatan siber karena beberapa alasan kunci:

1. Kartu hadiah dapat dengan mudah dijual kembali di pasar gelap (gray markets) dengan harga diskon untuk mendapatkan uang tunai.
2. Berbeda dengan kartu kredit atau debit yang terhubung ke nama dan rekening bank, kartu hadiah dapat ditukarkan hanya dengan PIN atau kode, membutuhkan informasi pribadi yang minimal.
3. Sifat anonim ini membuat penipuan kartu hadiah sangat sulit untuk diselidiki oleh pihak keamanan perusahaan.

Kelompok Jingle Thief ini dikaitkan dengan kelompok kriminal yang dikenal sebagai Atlas Lion dan Storm-0539, yang diyakini berasal dari Maroko dan aktif setidaknya sejak akhir tahun 2021.

Mereka dikenal karena motif finansial mereka dan kemampuan beradaptasi dalam menargetkan sistem pembayaran di perusahaan ritel besar.

Tindakan Pencegahan untuk Bisnis dan Individu

Mengingat Jingle Thief berfokus pada penyalahgunaan identitas daripada penyebaran malware kustom, pertahanan terbaik ada pada penguatan identitas dan lingkungan cloud.

Untuk Perusahaan Ritel dan Layanan Konsumen:

1. Terapkan MFA yang lebih ketat, seperti yang berbasis FIDO2 atau otentikator yang terikat pada perangkat, yang lebih sulit di-bypass daripada hanya SMS.
2. Lakukan pelatihan rutin yang menyimulasikan serangan phising dan smishing yang sangat bertarget, yang meniru komunikasi IT internal.
3. Waspadai aktivitas login yang tidak biasa (misalnya dari lokasi geografis baru) atau upaya pendaftaran perangkat baru (Entra ID) atau aplikasi otentikator baru.
4. Audit log pada sistem penerbitan kartu hadiah secara berkala untuk mencari transaksi bervolume tinggi atau transaksi yang tidak biasa.

Untuk Pengguna Umum dan Karyawan

1. Jika Anda menerima email atau SMS yang meminta login Microsoft 365, atau yang menyamar sebagai notifikasi IT internal, jangan klik tautan. Verifikasi melalui saluran komunikasi resmi perusahaan (misalnya, hubungi Helpdesk IT secara langsung).
2. Penipu sering menggunakan bahasa yang menimbulkan rasa urgensi (“Akun Anda akan ditutup jika tidak segera login”). Tetap tenang dan verifikasi sebelum bertindak.
3. Ingatlah bahwa kartu hadiah (atau hadiah uang tunai) yang dikirim atas nama lembaga resmi (seperti BI atau OJK di Indonesia) sering kali adalah penipuan. Lembaga tersebut tidak pernah meminta uang tebusan atau biaya administrasi untuk pencairan hadiah.

Serangan Jingle Thief menunjukkan bahwa penjahat siber kini beralih menargetkan celah dalam proses bisnis di lingkungan cloud. Keamanan identitas dan kesadaran karyawan adalah kunci untuk melindungi perusahaan dari kerugian finansial yang masif.

Sumber berita: 

WeLiveSecurity