[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[vv181]

Sejak beberapa hari lalu beredar email scam yang berisi peringatan akan adanya data breach (sekitar 3 April 2022 pengguna Trezor ada yang melaporkan perihal malicious phishing attack).
~
Informasi tersebut di atas pertama kali saya dapati di forum Trezor: https://forum.trezor.io/ ;
Nampaknya berawal mula dari sini:

MailChimp have confirmed that their service has been compromised by an insider targeting crypto companies.

We have managed to take the phishing domain offline. We are trying to determine how many email addresses have been affected. 1/

Belakangan ini juga saya mendapatkan email resmi dari salah satu exchange mengenai peringatan breach Mailchimp ini Om.

We are contacting you because one of our email marketing vendors, Mailchimp, has informed us of a security breach they experienced that may have resulted in the exposure of your email address and name to a malicious actor.
~snip~

Saya kira imbasnya hanya berpengaruh pada exchange terkait. Ternyata berdasar artikel Techcrunch: Mailchimp says an internal tool was used to breach hundreds of accounts, dampak akun Mailchimp yang kena retas mencapai 300~. Selain phising domain di atas, bagi agan-agan yang  suka memakai satu email untuk berbagai keperluan cryptocurrency, dll, harap berhati-hati mengenai phising email yang mungkin menargetkan agan.

~Mailchimp CISO Siobhan Smyth said the company became aware of the intrusion on March 26 after it identified a malicious actor accessing a tool used by the company’s customer support and account administration teams. ~
~
But not quickly enough, as hackers viewed approximately 300 Mailchimp accounts, and successfully exported audience data from 102 of those, the company said. Mailchimp declined to say exactly what data was accessed but told TechCrunch that the hackers targeted customers in the cryptocurrency and finance sectors.

[1715523737]

1715523737

[1715523737]

1715523737

[Chikito]

~

Belakangan ini juga saya mendapatkan email resmi dari salah satu exchange mengenai peringatan breach Mailchimp ini Om.

Mailchimp ini sepertinya pihak ke-3 dari Trezor dan Exchange sebagai marketing email ke kostumer. Pihak pertama (i.e. Trezor) cuma mengekspor CSV atau Excel data-data kostumer, nama, alamat dan nomor telepon ke Mailchimp, lalu secara otomatis akan mengirimkan pemberitahuan newslater ke kostumer. Kalau data rahasia di Mailchimp terungkap ya kasusnya sama kayak Ledger tempo hari.

Kemungkinan kedepan pasti third party yang lain kayak netcore, AWeber, Mailget dan yang lainnya akan jadi target hacker berikutnya, karena untuk menghacking Pihak pertama (i.e. Trezor dan exchange) itu sulit minta ampun.

[Husna QA]

Mailchimp ini sepertinya pihak ke-3 dari Trezor dan Exchange sebagai marketing email ke kostumer. Pihak pertama (i.e. Trezor) cuma mengekspor CSV atau Excel data-data kostumer, nama, alamat dan nomor telepon ke Mailchimp, lalu secara otomatis akan mengirimkan pemberitahuan newslater ke kostumer. Kalau data rahasia di Mailchimp terungkap ya kasusnya sama kayak Ledger tempo hari.

Setahu saya juga demikian, Mailchimp merupakan pihak ke-3 yang dalam kasus di atas newsletter database-nya berhasil diretas.

Asumsi saya yang bocor adalah email karena lebih ke hanya 'menyebar' newsletter ke user, tidak sampai ke detail alamat ataupun nomor telepon user sebagaimana yang terjadi pada kebocoran data konsumen Ledger, kecuali bila dalam contoh kasus di atas Trezor atau pihak pertama lainnya tidak memfilter lagi data konsumen yang dishare ke Mailchimp.

Dari yang saya ketahui Trezor akan menghapus data konsumennya setelah 90 hari.

Trezor customer order data is purged after 90 days. The data contained in this leak originates from a separate database secured by a third party.

[Husna QA]

Sebagaimana yang saya asumsikan sebelumnya pada kasus malicious phishing attack yang menarget user Trezor (diantaranya menggunakan phishing domain: noreply@trezor.us), exchange dan pihak lainnya terkait pencurian data dari Mailchimp (mailing provider) tidak sampai ke detail alamat ataupun no telepon konsumen. Tadi malam saya mendapat email dari Trezor (noreply@trezor.io) bahwa data-data yang dicuri meliputi:

- Email address
- IP address
- Perkiraan lokasi berdasarkan internet provider yang digunakan

dan untuk saat ini user Trezor tidak akan menerima email lagi dari Trezor melalui Mailchimp. Dan mengingat cakupan serangannya luas, jadi tetap hati-hati terhadap serangan phising lainnya yang bisa jadi dari sumber yang sama melalui media atau merk lainnya.

Sumber: noreply@trezor.io (Update on the Mailchimp data breach and what happened with your data).

[Chikito]

- IP address
- Perkiraan lokasi berdasarkan internet provider yang digunakan

Kedua hal di atas memang berkaitan erat, apalagi jika pakai provider tertentu dimana jika kita check di situs myip dan sebagainya, akan terlihat jelas nama perusahaannya.



Tapi kalau untuk lokasi, jika berdasarkan provider saya yakin akan banyak salahnya, karena sebagai contoh seperti posisi saya sekarang ini beda dengan map IP. kalau di berdasarkan map IP, posisi saya ada di Bandung, padahal bukan di sana, tapi berada di seberang pulau jawa, karena memang, kartu saya ini belinya di bandung.

[Husna QA]

Tapi kalau untuk lokasi, jika berdasarkan provider saya yakin akan banyak salahnya, karena sebagai contoh seperti posisi saya sekarang ini beda dengan map IP. kalau di berdasarkan map IP, posisi saya ada di Bandung, padahal bukan di sana, tapi berada di seberang pulau jawa, karena memang, kartu saya ini belinya di bandung.

ISP di Indonesia rata-rata menggunakan Dynamic IP Address untuk user pada umumnya, jadi untuk lokasi yang di lacak berdasar IP address kemungkinan memang bisa berubah-rubah, contoh sederhana bisa dilihat di https://bitcointalk.org/myips.php lokasi saya saat login di Bitcointalk hari ini terdeteksi di Jakarta, padahal saya tidak berdomisili di sana.

btw, yang justru menurut saya perlu diwaspadai adalah email palsu dan link yang tercantum didalamnya yang dibuat semirip mungkin baik alamat email maupun isinya yang seolah resmi dari Trezor atau lainnya yang terkena imbas dari diretasnya Mailchimp, sementara saya lihat di situsnya Mailchimp mereka mengklaim:

Over 13 million businesses rely on Mailchimp to create and send engaging emails that reach the right people, -snip-

target phising yang cukup luas, dan bisa saja beberapa diantaranya ada yang sudah kena.

[Husna QA]

Google Chrome Is Under Attack: Update Right Now
Judul di atas bersumber dari tulisan pada link berikut yang terbit 5 Juli 2022: https://www.howtogeek.com/815926/google-chrome-is-under-attack-update-right-now/

Seperti yang tertera disana, Chrome yang dilaporkan diserang adalah versi Windows dan Android.

The latest security hole in WebRTC has an exploit that’s circulating in the wild -snip-
The zero-day security hole involves a buffer overflow in WebRTC, a real-time communication standard supported in all major browsers. It’s used for building audio and video communication applications on websites.

Tingkatan dari bug tersebut termasuk keparahan tinggi yang memungkinkan kendali atas PC user diambil situs web jahat.

Google sendiri sudah menyediakan update untuk Chrome desktop dan Andorid per 4 Juli 2022 lalu (jadi disarankan untuk segera update ke versi terbaru terutama bagi pengguna yang tidak mengaktifkan otomatis update):
- https://chromereleases.googleblog.com/2022/07/stable-channel-update-for-desktop.html
- https://chromereleases.googleblog.com/2022/07/chrome-for-android-update.html

Untuk browsing internet di laptop atau PC saya biasanya menggunakan Firefox, namun di smartphone memang seringnya menggunakan google Chrome.
Nah untuk yang di smartphone ini beberapa kali saya coba update melalui play store namun selalu gagal padahal memory penyimpanan masih ada sekitar 1,5Gb lebih. Jadi untuk sementara ini menghindari dulu menggunakan chrome di HP untuk browsing maupun login di forum Bitcointalk.

[vv181]

Google sendiri sudah menyediakan update untuk Chrome desktop dan Andorid per 4 Juli 2022 lalu (jadi disarankan untuk segera update ke versi terbaru terutama bagi pengguna yang tidak mengaktifkan otomatis update)

Chrome ini browser berbasis Chromium. Tidak menutup kemungkinan letak bug WebRTC-nya berasal dari Chromium itu sendiri, yang di mana digunakan juga sebagai dasar sistem dari berbagai browser seperti Brave, Microsoft Edge, Opera, dll[1]. Barangkali ada pengguna browser-browser tersebut, tidak ada ada salahnya untuk mengecek dan meng-update versi browsernya ke yang terbaru.

[1] https://en.wikipedia.org/wiki/Chromium_(web_browser)#Browsers_based_on_Chromium

[Chikito]

Jadi untuk sementara ini menghindari dulu menggunakan chrome di HP untuk browsing maupun login di forum Bitcointalk.

Saya baru baca ini jadi teringat kalau browser chrome di tablet saya matikan otomatis update, entah bermasalah atau tidak, minggu lalu pernah buka bitcointalk pakai tablet tersebut (tidak pernah log out alias Always stay logged in). Jadi jika sangat vulnerable begini, apakah mungkin chrome di tablet saya itu akan otomatis update? (tabletnya jarang berada di tangan saya, kebanyakan dipake balita youtube-an). Soalnya di PC saya saat ini walau semua saya offkan, tetap update otomatis menjadi Versi 103.0.5060.114.

[Husna QA]

Saya baru baca ini jadi teringat kalau browser chrome di tablet saya matikan otomatis update, entah bermasalah atau tidak, minggu lalu pernah buka bitcointalk pakai tablet tersebut (tidak pernah log out alias Always stay logged in). Jadi jika sangat vulnerable begini, apakah mungkin chrome di tablet saya itu akan otomatis update? (tabletnya jarang berada di tangan saya, kebanyakan dipake balita youtube-an). Soalnya di PC saya saat ini walau semua saya offkan, tetap update otomatis menjadi Versi 103.0.5060.114.

Chrome di smartphone saya terakhir kali mau diupdate ke versi terbaru setelah melihat report kasus di atas malah tidak bisa; Akhirnya update yang sebelumnya saya hapus, dan barusan saya coba clear cache namun tetap saja tidak bisa di update juga. Jadinya untuk app Chrome di android saya disable dan browser diganti dengan Firefox android. Akun Bitcointalk pun sudah di-logout dari sana.

Rada aneh juga jika settingan update di PC nya off tapi tetap otomatis terupdate ke versi tersebut di atas. Atau mungkin ada pengaturan lain yang terlewat?
Btw, saya lihat barusan di Google Play, tanggal 19 Juli 2022 kemarin sudah ada lagi update untuk Chrome Android. Mungkin untuk aplikasi tertentu yang cukup krusial, sebaiknya otomatis update-nya diaktifkan. DWYOR

[Chikito]

Rada aneh juga jika settingan update di PC nya off tapi tetap otomatis terupdate ke versi tersebut di atas. Atau mungkin ada pengaturan lain yang terlewat?

Kemungkinan memang sangat rentan, jadinya walau di-disable akan tetap otomatis update. Itu terjadi di PC saya satunya (OS windows 7), sedangkan di windows 10 yang saya pakai sekarang, untuk update saya harus manual ke chrome://settings/help dulu, artinya tidak otomatis update kayak di windows 7.

btw kenapa chrome di produk apple (ios dan macOS) tidak diserang ya? Padahal pengguna aktif produk apple sudah 1,8 milyar.

[Husna QA]

btw kenapa chrome di produk apple (ios dan macOS) tidak diserang ya? Padahal pengguna aktif produk apple sudah 1,8 milyar.

Kemungkinan untuk di perangkat Apple yang menggunakan OS seperti iOS atau macOS pangsa pasar Chrome belum sebanyak jika dibandingkan dengan di perangkat Windows dan Android terlebih di perangkat Apple ada browser Safari, yang jika merujuk ke statistik di link berikut: https://gs.statcounter.com/browser-market-share saat ini bahkan penggunanya berada diperingkat ke-2 setelah Chrome.



Kemudian dari yang saya baca, sasaran virus/malware lebih banyak targetnya adalah ke OS yang banyak penggunanya.

Malware popularity

If an OS is only used by very few people, it’s much less likely that the OS will be attacked. However, if usage of the OS grows – so that it achieves mass distribution – the OS will attract the attention of malware creators that will see an opportunity to gain from attacking the OS.

Popular OSs and applications… lead to popular malware

In effect, the more popular an operating system or an application is – the more often it’s likely to be prone to computer virus attacks.

The number of malicious programs created for Windows, Linux and Mac OS closely correlates to the market share that each of these operating systems has achieved.

[Husna QA]

Kebocoran data ribuan perusahaan di Indonesia dan Cabang perusahaan luar yang ada di Indonesia

Beberapa waktu lalu saya membaca di forum https://breached.to (gunakan Tor browser untuk membukanya) ada yang menjual dokumen rahasia dari sejumlah perusahaan yang ada di Indonesia, dan data yang berhasil diretas lumayan besar juga (sekitar 347 GB).


Sumber: https://breached.to/Thread-Selling-347GB-Confidential-documents-of-21-7K-Indonesia-Companies-Foreign-Companies-branch

Saya sendiri sudah mencoba download dan melihat beberapa contoh data yang di share-nya.

 

Mirisnya, dari beberapa media lain yang saya baca (https://www.reddit.com/r/indonesia/comments/wrwehl/indonesian_pln_data_17_million/), data-data pelanggan PLN juga kena (https://breached.to/Thread-Selling-INDONESIAN-PLN-DATA-17-MILLION <- Saya lihat thread nya yang ini sudah tidak ada lagi).


Apa kabar UU tentang Perlindungan Data Pribadi?
Pelajaran yang bisa diambil, gunakan enkripsi terhadap data-data penting yang kita miliki meskipun saya pribadi masih pesimis karena bisa saja data bocor malah dari pihak/lembaga lain yang kita terpaksa mau tidak mau harus memberikan data ke mereka.

[Chikito]

Pelajaran yang bisa diambil, gunakan enkripsi terhadap data-data penting yang kita miliki meskipun saya pribadi masih pesimis karena bisa saja data bocor malah dari pihak/lembaga lain yang kita terpaksa mau tidak mau harus memberikan data ke mereka.

Ini kalau saya tebak hackernya ngambil dari PLN Mobile karena memang untuk mendaftar diperlukan KYC poto KTP dan profing langsung ke kamera ponsel.

Sepengetahuan saya, website dan aplikasi-aplikasi milik pemerintah dan BUMN juga rentan, karena pernah saya lihat adik saya (bekerja di salah Instansi pemerintah) sedang membuka website resmi tanpa SSL.

tapi mau bagaimana lagi SDM mereka kurang rata-rata kurang handal dan kerjaan mereka itu tidak pernah fokus, diharuskan multi talenta, ngurus IT iya, ngurus PR iya, kadang juga harus membereskena kerjaan pimpinan yang bukan tupoksinya.

[vv181]

Kebocoran data ribuan perusahaan di Indonesia dan Cabang perusahaan luar yang ada di Indonesia

Mirisnya, dari beberapa media lain yang saya baca (https://www.reddit.com/r/indonesia/comments/wrwehl/indonesian_pln_data_17_million/), data-data pelanggan PLN juga kena

Insiden lainnya yang tidak berselang lama muncul juga itu ada kebocoran data history browser dari ISP Indihome dan juga dari BIN. Untuk insiden-insiden keamanan tersebut apakah berasal dari kebocoran ribuan data itu?

Pelajaran yang bisa diambil, gunakan enkripsi terhadap data-data penting yang kita miliki meskipun saya pribadi masih pesimis karena bisa saja data bocor malah dari pihak/lembaga lain yang kita terpaksa mau tidak mau harus memberikan data ke mereka.

Ini kalau saya tebak hackernya ngambil dari PLN Mobile karena memang untuk mendaftar diperlukan KYC poto KTP dan profing langsung ke kamera ponsel.

Menurut saya kemungkinan di mana letak celah keamanannya terlalu banyak, belum bisa dipastikan begitu saja. Untuk dari instansi-instansi terkait juga saya belum mendapatkan informasi mengenai pernyataan resminya.

[Husna QA]

Insiden lainnya yang tidak berselang lama muncul juga itu ada kebocoran data history browser dari ISP Indihome dan juga dari BIN. Untuk insiden-insiden keamanan tersebut apakah berasal dari kebocoran ribuan data itu?

Kalau saya lihat di https://hastebin.de/opodejosas.properties yang datanya termasuk bocor adalah PT Telekomunikasi Indonesia, entah data Indihome termasuk didalamnya juga atau terpisah (asumsi saya termasuk juga karena Indihome salah satu unit usahanya Telkom).



Sementara itu untuk data BIN, saya tidak menemukannya pada link tersebut di atas maupun pada link yang ini:
https://hastebin.de/oteyucukup.properties

[Chikito]

Pelajaran yang bisa diambil, gunakan enkripsi terhadap data-data penting yang kita miliki meskipun saya pribadi masih pesimis karena bisa saja data bocor malah dari pihak/lembaga lain yang kita terpaksa mau tidak mau harus memberikan data ke mereka.

Ini kalau saya tebak hackernya ngambil dari PLN Mobile karena memang untuk mendaftar diperlukan KYC poto KTP dan profing langsung ke kamera ponsel.

Menurut saya kemungkinan di mana letak celah keamanannya terlalu banyak, belum bisa dipastikan begitu saja. Untuk dari instansi-instansi terkait juga saya belum mendapatkan informasi mengenai pernyataan resminya.

Menurut Kemenkominfo, [1]. ada 3 hal penting yang harus diterapkan oleh Penyelenggara Sistem Elektronik seperti PLN, dan lainnya yaitu: teknologi, SDM dan Manajemen. Kalau lemah salah 1 saja bisa membuat kebobolan seperti yang sudah-sudah. Dan, seperti yang sudah kita ketahui bersama (rahasia umum) dari semua tiap instansi atau badan punya kekurangan apa lagi menyangkut SDM handal, minimnya gaji dan penghasilan diterima juga membuat potensial person yang mau bergabung jadi malas, jadi Mending nyari duit di luar.

[1]. https://www.cnnindonesia.com/teknologi/20220823091342-192-837887/kominfo-akan-dalami-dugaan-kebocoran-data-indihome-dan-pln

[Husna QA]

Menurut Kemenkominfo, [1]. ada 3 hal penting yang harus diterapkan oleh Penyelenggara Sistem Elektronik seperti PLN, dan lainnya yaitu: teknologi, SDM dan Manajemen. Kalau lemah salah 1 saja bisa membuat kebobolan seperti yang sudah-sudah. -snip-

Maaf post bulan lalu saya quote. Karena hari ini dari informasi yang saya baca di channel telegram @bjorkanism, dia mengupload data yang cukup personal dari Menteri Kominfo*. Salah satu hal yang cukup ironis jika dikaitkan dengan hal penting apa saja yang mesti diterapkan seperti disarankan oleh Kemenkominfo sebagaimana disebutkan agan Chikito diatas.

*


Data saya sedikit blur-kan, meskipun sebenarnya bisa saja dilihat dengan jelas melalui channel telegram diatas.
Informasi hasil phishing lainnya dari akun yang sama disalah satu deep web yang cukup menjadi tanda tanya (buat saya pribadi) karena menyangkut kebocoran dokumen yang dikirim ke Presiden RI termasuk diantaranya yang dari lembaga sekelas BIN.


https://breached.to/Thread-Transactions-of-Letters-and-Documents-to-the-President-of-Indonesia-679K

[Chikito]

Salah satu hal yang cukup ironis jika dikaitkan dengan hal penting apa saja yang mesti diterapkan seperti disarankan oleh Kemenkominfo sebagaimana disebutkan agan Chikito diatas.

Terkadang memang disodorkan bener, (kalau melihat lemahnya sistem) atau sengaja disuruh hack dengan maksud tertentu. Soalnya sudah masuk tahun politik, segala sesuatu dan dinamika terjadi secara spontan apa lagi ini menyangkut hal-hal yang berbau kampanye dan pamoritas suatu badan misalnya komimfo, menterinya kan dari nasdem, apa lagi dijelaskan bener biodata menterinya secara lugas, arti kata sekali mendayung 2 3 pulau terlampaui. imo

[Luzin]

Barusan baca di Board  Beginners & Help ada jenis virus baru bernama Erbium yang mengincar pengguna crypto. Threadnya di  Beginners & Help berjudul [Warning]: Erbium new crypto password stealer malware. Kalau saya tidak salah menerjemahkan virus ini disisipkan dalam aplikasi gratisan beserta crack, sepertinya hampir sama dengan metode phising yang sudah ada. Target mereka menyerang Autentikator dan wallet. Sedangkan untuk pesebaran sementara terdeteksi belum sampai di indonesia, tapi kita tetap harus waspada.

And so far this is the countries that have been affected by this malware:

Sumber lain secara lengkap bisa di baca di: https://blog.cluster25.duskrise.com/2022/09/15/erbium-stealer-a-new-infostealer