[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[Husna QA]

Info:
ada lagi situs Phising yang tampilannya menyerupai dengan forum bitcointalk.org, yaitu:
fonstavka.com  situs lain yang juga sebelumya pernah ada yang membahas bitcointalk.to

Note:
di fonstavka.com, saya coba amati situsnya agak lambat ketika dibuka.
post yang baru saja saya buat ini pun nampak sama persis.


----


Setelah saya mencoba membukanya, bahkan metamask pun tidak memberikan warning saat mengakses situs web tersebut.

Bila ada situs web yang diyakini 100% adalah situs phising, ada beberapa tips agar kita bisa memblok/menutup akses ke web tersebut di browser kita.
Jika suatu saat tanpa sengaja kita membukanya, maka browser tidak bisa membukanya.

- Masukkan daftar situs web yang sudah diketahui phising tersebut kedalam daftar di software firewall (aktifkan/install terlebih dulu software firewall)
- Bisa juga dengan cara manual dengan memodifikasi file host di komputer
 
  Mac OS: Pada Menu bar Finder klik Go, Go to Folder (atau shorcut Command+Shift+G)
  kemudian ketik /private/etc klik Go kemudian buka file hosts dengan menggunakan Text Editor

  Windows: buka Windows Explorer, C:\Windows\System32\drivers\etc  kemudian buka file hosts dengan menggunakan Teks Editor

  Linux  Buka aplikasi Terminal kemudian ketikan perintah "sudo nano /etc/hosts"

Contoh: tambahkan teks berikut pada bagian bawah file hosts (backup terlebih dulu file hosts yang originalnya)

0.0.0.0 fonstavka.com
0.0.0.0 bitcointalk.to

Save file host hasil edit tersebut.

Maka browser tidak bisa mengakses situs web yang kita blok tersebut (baik menggunakan firewall atau pun mengedit file hosts secara manual.

Referensi:
https://bitcointalk.org/index.php?topic=5126419.msg50387727#msg50387727
https://bitcointalk.org/index.php?topic=5126419.msg50394743#msg50394743

[pandukelana2712]

~snip~

Saya sempat berfikir itu adalah mirror website.
Tujuan utama dari penciptaan mirror website sendiri adalah untuk mengurangi traffic website utama. Tapi sayangnya, lebih banyak digunakan untuk pencurian informasi data pengguna website tersebut.
Meninjau dari nama website tersebut, "fonstavka" terdeteksi dari bahasa Bulgaria yg berarti "funds" [english].
Jadi saya berfikir situs tersebut digunakan untuk menyasar pengguna yang asal Bulgaria yg kebetulan search kata fonstavka di google.


Btw trims utk share cara block website tsb.

[pandukelana2712]

merujuk pada thread PHISHING SITE! BITBLENDR (missing e) - Added bitcoin scam address, ada situs web yang memanfaatkan kecerobohan pengguna bitcoin mixer transaction.

Phising websitenya adalah bitblendr.io website: https://bitblendr.io/ (tanpa huruf "e")
Sedangkan website asli adalah bitblender.io website: https://bitblender.io/index.html

Well, dengan sedikit merubah/menghilangkan satu huruf/karakter pd website address, kita akan masuk pada phissing website.

Ada baiknya kita melakukan bookmark pada suatu situs yg telah kita anggap aman, supaya kita terhindar dari kegiatan phissing semacam kejadian https://bitcointalk.org/index.php?topic=5127363.0. Dimana user tersebut kehilangan 0.5 BTC (hampir setara dg Rp. 30 juta).

edited : request by Rolls Royce

[roycilik]

@pandukelana2712 Mungkin lebih baik phising site tersebut jangan di buat clickable om, supaya ndak di akses orang lain
kejadian seperti di atas adalah kesalahan dari user, kasian juga yang jadi korban hanya bisa pasrah, ndak bisa mendapatkan kembali dana tersebut

[pandukelana2712]

jangan di buat clickable om, supaya ndak di akses orang lain

Use code? kalok default, semua yg berawalan http dan https akan bersifat link clikable.
Tapi website tidak menyebarkan malware dan sejenisnya; tapi dia akan melakukan pencurian BTC jika ada user yg mengirim pd alamat tsb.

PS:
Menurut saya postingan saya udah cukup jelas keterangannya (kecuali jika orang Indonesia tidak bisa berbahasa Indonesia)  , dan ditambah tampilan masing-masing website dari om Anwar.

[roycilik]

jangan di buat clickable om, supaya ndak di akses orang lain

Use code? kalok default, semua yg berawalan http dan https akan bersifat link clikable.
Tapi website tidak menyebarkan malware dan sejenisnya; tapi dia akan melakukan pencurian BTC jika ada user yg mengirim pd alamat tsb.

https://bitblendr.io
kadang orang juga punya rasa penasaran

[abhiseshakana]

- snip -

Kelihatannya permasalahan virus Grovat pada PC (kantor) Om husna udah beres neh ?? Karena dengar-dengar si pembuat virus tersebut menawarkan decryption tool & Private key utk mengatasi file-file yg terenkripsi dengan biaya sebesar $490 s/d $980 dalam bentuk Bitcoin. Dan rata-rata Ransomware dengan model serangan enkripsi data menggunakan algoritma cryptography.

Mungkin jika berkenan bisa disharing disini untuk solusi mengatasi virus grovat tersebut. Dan jika sekiranya belum beres mungkin juga bisa disharing disini tentang metode penyebaran virus tersebut dan gejala-gejalanya seperti apa.

[abhiseshakana]

Tampaknya public server electrum sedang terkena DDOS, sehingga menyebabkan synchronize wallet electrum ke jaringan menjadi susah (pindah-pindah server). Untuk menjaga hal-hal yg tidak diinginkan (contoh : wallet electrum anda terkoneksi dengan server yg tidak dikenal dan meminta anda untuk melakukan update yg terindikasi phising scam), maka yang perlu agan lakukan adalah :

- Tidak menjalankan wallet electrum sampai kondisi server normal
- Jika terpaksa harus menggunakan electrum matikan dulu "select server automatically" (matikan sambungan internet sebelum menjalankan electrum)
- Pilih server yang masih bisa Up secara manual - list server bisa dilihat disini https://1209k.com/bitcoin-eye/ele.php (Dwyor)
- Buat server electrum sendiri (tutorial bisa dilihat disini https://github.com/chris-belcher/electrum-personal-server) (Dwyor)


Sumber : https://twitter.com/ElectrumWallet/status/1114987055736655873

[Husna QA]

....
Mungkin jika berkenan bisa disharing disini untuk solusi mengatasi virus grovat tersebut. Dan jika sekiranya belum beres mungkin juga bisa disharing disini tentang metode penyebaran virus tersebut dan gejala-gejalanya seperti apa.

Entah dari mana awal mulanya, tiba-tiba beberapa file gambar ataupun file-file desain seperti format Psd, Ai, Jpeg dan lainnya berubah/ada tambahan ekstension diakhir nama filenya



Virus menyerang terutama pada windows 10 yang belum diupdate, untuk windows 7 setelah melakukan update OS agak lumayan lebih tahan terhadap virusnya, namun sifatnya sementara saya kira.

Saya coba browsing ternyata ada kasus serupa yang beberapa waktu lalu juga terkena dampak virus tersebut.


Diantara solusi yang coba kami lakukan antara lain,
- Mencabut koneksi LAN terhadap PC/server yang suspect terkena virus tersebut.
- Meng-Update OS.
- Backup segera file-file penting yang masih belum terkena virus.
- Terpaksa menghapus file yang sudah terkena (berubah ekstensi file nya).
- Memasang Antivirus terbaru, dalam hal ini teknisi di kantor saya merekomendasikan Kaspersky Anti Virus (KAV).
Referensi link yang mungkin bisa bermanfaat untuk mempelajari cara kerja virus ini dan bagaimana diantara solusi untuk me-remove nya:
https://www.google.com/amp/s/howtoremove.guide/remove-grovat-file-virus/amp/

Credit to om Royan

[joniboini]

Situs Forkdelta Palsu

Alamat: forkdelta.io
Status: Sudah diblacklist oleh Metamask, tapi Google Safe Browsing masih belum.
Saran: Gunakan Metamask kalau agan sering mengunjungi forkdelta biar ga kena phishing (sekalipun metamasknya ga ada addressnya/kosongan).

Sumber: https://bitcointalk.org/index.php?topic=5129308.msg50531045#msg50531045

[Husna QA]

Maaf mau nanya, kalau situs berikut ini bisa dikategorikan resmi/aman atau tidak ya?
Karena disitu tertera

'The official Indonesian URL of ForkDelta exchange'

http://forkdelta.id

 
https://etherscamdb.info/domain/Forkdelta.id

[riritsurya1202]

Maaf mau nanya, kalau situs berikut ini bisa dikategorikan resmi/aman atau tidak ya?

Sejauh yang saya tahu tidak ada Forkdelta versi Indonesia om, ataupun versi lokal lainnya. Tidak pernah ada pemberitahuan tentang FD versi bahasa Indonesia. Saya yakin situs tersebut adalah situs phising lainnya. Sepertinya harus disubmit report ke Metamask ataupun Google Safe Browsing supaya ditandai sebagai situs phising.

[Husna QA]

Situs Forkdelta Palsu

Alamat: forkdelta.io
Status: Sudah diblacklist oleh Metamask, tapi Google Safe Browsing masih belum.
-snip-
Sumber: https://bitcointalk.org/index.php?topic=5129308.msg50531045#msg50531045

Untuk forkdelta.io, saya sudah melaporkan ke pihak google, tinggal menunggu direview oleh Tim dari Google, terkait laporan situs phishing tersebut.

... Gambarnya mungkin bisa dikecilkan om? ...

Update
height=500px saya rubah menjadi 350px

[elda34b]

Untuk forkdelta.io, saya sudah melaporkan ke pihak google, tinggal menunggu direview oleh Tim dari Google, terkait laporan situs phishing tersebut.

Gambarnya mungkin bisa dikecilkan om? Agak berat untuk fakir miskin macam ane karena laptop udah tua dan kuota tipis. Saya juga udah submit ke Google tentang Forkdelta palsu ini, tapi selama Metamask udah mendeteksi bisa lebih aman dikit lah.

[icobest360]

Berbagi info bermanfaat itu Indah (siapa tahu ada beberapa teman yg mungkin blm mengetahui agar terhindar dari phising dan menjaga aset crypto kita dg aman)

Serangan hacker tdk pernah berhenti dan akan terus tersebar dg berbagai cara, salah satunya menciptakan serangan phising pd link2/website untuk mengelabuhi korbanya.

Kitapun harus ekstra berhati hati, agar bisa terhindar dari phising (semoga selalu aman saja).

Akhirnya pada suatu artikel, menemukan tool/plugin yg bisa mendeteksi sebuah situs/link phising

CARA MENGETAHUI SITUS/LINK PHISING
Berupa tool plugin bernama "CryptoNite"

Sekilas tentang Cryptonite: Plugin Cryptonite diciptakan oleh MetaCert, yang tujuanya adalah Mereka ingin membantu orang merasa aman saat membuka link. Jadi, mereka membangun sebuah alat yang dapat melindungi orang dari link berbahaya. Mereka juga menyediakan API sehingga perusahaan lain dapat membangun solusi keamanan untuk melindungi orang dari tautan berbahaya.

CARA KERJANYA
Add-on menempatkan perisai MetaCert pada toolbar. Bila tidak aktif, tamengnya hitam. Saat Anda mengunjungi situs web atau akun media sosial yang telah “Diverifikasi oleh MetaCert” perisai berubah menjadi hijau. Jadi, saat Anda mengunjungi SingularDTV.com atau MyEtherWallet.com perisai akan berubah menjadi hijau. Situs phishing yang baru online mucul di setiap jam sehingga sulit untuk mengejar ketinggalan.

Berikut detail pemberitahuan dari mereka :


Hijau = Verified
Hitam = tidak diketahui
Peringatan = Phishing Scam

Tonton video berdurasi 70 detik di bawah ini untuk mengetahui cara kerjanya


BARANGKALI ADA YANG BERMINAT PLUGIN INI, DOWNLOADNYA di sini: https://chrome.google.com/webstore/detail/cryptonite-by-metacert/keghdcpemohlojlglbiegihkljkgnige?hl=en



Sekian info ini semoga bermanfaat buat semuanya demi menjaga aset dan data berharga kita tetap aman.

sumber

[wumBowo]

Hanya membagikan informasi
buat yang sekiranya pengen belajar lebih lanjut mengenai bagaimana bentuk phishing dan cara-caranya oknum ini melakukan berbagai aksinya bisa coba quiz pembelajaran phishing yang dimiliki oleh Binance.
Meskipun hanya fokus di dalam ruang lingkup Binance, menurut ane quiz-nya sangat layak buat dicoba karena tetap bisa diterapkan secara umum dan selain kita menjawab  kita juga diajak untuk menelaah berbagai gambar yang diberikan di dalam tiap-tiap pertanyaan sehingga informasi yang masuk lebih mudah dipelajari dan dipahami.

Link menuju quiznya : https://www.binance.vision/quiz/phishing

Ini Contoh Screenshoot salah satu pertanyaan dari quiz-nya

[Husna QA]

Barusan saya mendapatkan pesan melalui email seperti berikut ini:



Saya hanya melihat sepintas yang mengirim Apple Support tanpa meneliti lagi email addressnya.
Karena tidak merasa memesan apa-apa, maka saya coba membatalkan pesanan yang menurut email tersebut menggunakan Apple ID milik saya, dengan membuka link dokumen (pdf) seperti berikut:



Setelah saya klik link yang ada, saya diarahkan ke website berikut:



Tanpa curiga, saya input dara Apple ID milik saya, kemudian diarahkan ke window berikutnya, seperti berikut:




Sampai disini akhirnya saya curiga, dan benar saja, email tersebut bukan email resmi dari Apple.
Berikut tampilan resmi dari website Apple Inc.  (perhatikan tulisan hijau di sebelah website address):



Tampila fake website sebelumnya sepintas mirip dengan website resmi tersebut.
Tips berdasarkan pengalaman yang saya dapatkan barusan tersebut diatas:
- Perhatikan dengan teliti Address Email yang mengirimi pesan, jadi jangan hanya melihat nama di depannya saja.
- Jika terlanjur membuka website tersebut, dan anda merasa asing/belum pernah berinteraksi dengan web tersebut sebelumnya, coba tes dengan menggunakan data palsu (contoh email dan juga password 'ngasal'), jika tetap login maka bisa dipastikan website tersebut phising.
Tadi saya tes langsung dengan menggunakan email dan pasword 'ngasal', eh kok bisa masuk/login.. kan aneh..
- Jangan mudah mengisikan data-data kartu kredit/debit yang dimiliki, periksa dibeberapa link lain tentang reputasi web tersebut.
- Jika sudah terlanjur input data, dan bila masih memungkinkan, segera lakukan blokir/rubah password, dll. yang intinya untuk mencegah kejadian yang tidak diinginkan berikutnya.

[panjay]

Yup spekulasi tentang virus itu ternyata datang dari AV xD.
Wih ngerih tuh data data kena sandra, jadi tingkat lanjutnya gimana tuh om? bayar kah?
Setau ane ransomware bisa datang dari link phising, kemungkinan ada teman sekanto yang klik link yang ga aman yang memungkinkan masuk ke OS nya lalu menyebar pakai network. (Mungkin ada yang lebih paham bisa jelaskan disini)
Penyimpanan yang aman sih tinggal bentuk penyimpanan offline di bandingkan online.
Ya mungkin pakai HDD, FlashDisk bisa jadi alternatif

- Gak bayar om haha, mau di format kayaknya pc ane, datanya masih ada di tempat lain cuman gak di update aja. Soal recovery entah deh, di tempat ane kenanya .bufas ..

- Iaks, backup memang koenci sih haha.


Eh ia apa ada saran AV? ane baca di atas kayaknya KAV ya?

Ada hal-hal yang harus diperhatikan gak sih sebagai pengguna cryptocurrency untuk menghindari virus terutama ransomware?

[Husna QA]

-snip-
Soal recovery entah deh, di tempat ane kenanya .bufas ..

Untuk recovery atau men-decrypt file yang terkena ransomware, coba gunakan tool STOPDecrypter buatan @demonslay335 aka Michael Gillespie:
https://twitter.com/demonslay335/status/1068517307650064384?lang=en
-edit-
Beberapa hari yang lalu saya berkomunikasi dengan beliau via Twitter, konsultasi mengenai ransomware *.ferosas (yang menyerang PC kantor).

Namun sebelumnya hapus terlebih dulu virus-nya,
Untuk ransomware, KAV masih belum maksimal mendeteksinya (pengalaman dari PC Kantor), kalau mau gunakan tambahan khusus Kaspersky^® Anti-Ransomware Tool for Business.
https://www.kaspersky.com/anti-ransomware-tool.

Bitdefender Total Security (Pengalaman Om Abhie pakai Bitdefender, hingga saat ini komputer dan device beliau masih aman).
https://www.bitdefender.com/

[ryzaadit]

-snip-

Dikarenakan kejadian member Telegram dari bitcointalk-id yang terkena phising site ini, saya jadi mencoba  website tersebut untuk mengetahui bagaimana cara phising site tersebut bekerja, jadi begini hasilnya :

How Phising Work :

• Tampilan Website

Jika dilihat dari gambar diatas, tampilan site sama persis seperti aslinya hal yang membedakan disini hanyalah domain saja seperti yang om @Husna QA post. Tapi kalau dilihat lebih seksama bakal ada perbedaan lainnya (Akan saya jelaskan di akhir post). Next Post !

• Login Phase

Sama seperti tampilan website disini belum ada hal yang mencurigakan, akan tetapi di phase ini akan menunjukan bagaimana caranya phising bekerja.  disini saya akan mencoba menggunakan data ngasal ketika melakukan input ke website phising.

[1] Ketika saya melakukan login, di Login Section tidak terdapat Captcha Verification. Disini kita sudah melihat perbedaannya, biasanya ketika melakukan login dibitcointalk akan selalu ada captcha kecuali kita melakukan login dengan Key Captcha untuk melakukan login tanpa Captcha. Sesudah saya menginput data yang saya isikan ngasal di site phising, phising site langsung melakukan redirect ke website aslinya tanpa ada pemberitahuan respon apakah password / username salah. Phising site seolah - olah ingin membuat user tersebut merasa password yang dia masukan salah padahal sebenernya benar hanya saja ketika melakukan login website langsung ke redirect ke yang aslinya. Jadi phising site langsung merekam data yang pertama kali diinput entah itu benar / salah.

[2] Website Bitcointalk Asli : Perbedaannya dengan yang palsu, Bitcointalk Asli memiliki Captcha Verification di login phase mereka walau yang palsu mungkin saja bisa menambahkan hal ini tapi bisa juga untuk mengetahui perbedaannya . Next Step !

[3] Ketika data dimasukan, bitcointalk yang asli akan menunjukan result

That username does not exist.

Berbeda sekali dengan yang palsu tanpa menunjukan hasil apapun, dikarenakan langsung redirect ke website yang asli.


Cara melihat perbedaan :
Selain dari domain dan apabila belum mengikuti saran dari om @Husna QA, kita bisa melihat beberapa hal yang bisa dijadikan patokan untuk mengidentifikasi phising site.

• 1. Domain.
  Untuk hal ini pasti sudah tahu semua.
• 2. Tanggal Forum
  Terjadi perbedaan yang sangat signifikan dalam tanggal forum, gambar diatas menunjukan bahwa phising site tidak memiliki waktu forum yang uptodate. Terjadi perbedaan waktu dengan jarak waktu 1 bulan apabila kita bandingkan dengan yang asli.
• 3. Thread Board.
  Dikarenakan jarak waktu yang berbeda, hal ini membuat thread yang ditampilkan juga thread yang lama jadi tidak uptodate dengan yang asli.
• 4. Informasi suatu account bitcointalk.
  Ketika saya mengunjungi profil om @dbshck waktu forum langsung berubah kembali, walau tidak uptodate perbedaan informasi waktu di section ini hanyalah 3 hari dengan real time waktu forum kita. Jadi kunci utama untuk case kali ini adalah waktu forum, bisa saja phising site tidak bisa membuat real time waktu dengan yang aslinya.
• 5. Menggunakan fitur Login Forever.
  Apabila kita menggunakan fitur ini maka tidak mungkin account bitcointalk kita akan logout secara otomatis kecuali apabila terjadi pergantian informasi data account & menghapus data cache browser yang kita gunakan. Apabila ada yang menggunakan fitur ini tapi harus melakukan login kembali ke bitcointalk harap check terlebih dahulu sebelum melakukan login.

Stay safe everyone!