[INFO] Informasi Phishing, Malware, Virus Dst (WAJIB BACA)

[joniboini]

Berikut beberapa berita terkait malware yang menurut ane cukup menarik dalam beberapa minggu terakhir:
1. Malware Wpeeper yang menyerang pengguna Android dengan menyamar sebagai apps lain dimana penyebarannya dilakukan melalui appstore pihak ketiga[1]. Tidak jelas targetnya pengguna kripto atau bukan, tapi dari hasil analisis mereka punya kemampuan untuk mengambil data yang ada di device kita jadi tidak menutup kemungkinan file wallet juga termasuk didalamnya. Hati-hati buat yang sering make appstore pihak ketiga, jangan lupa verifikasi app yang mau agan download.
2. Dropbox mengalami security breach lagi di platform esignaturenya. Kalau agan sering pake Dropbox buat tanda-tangan dokumen, sebaiknya segera dicek dan ganti semua data sensitif agan (password dst) karena bisa jadi hacker masih menyimpan datanya (walau dari pihak Dropbox katanya sudah direset secara default)[2]. Data yang kemungkinan diambil dari data breach ini meliputi info pengguna, password yang sudah ter-hash, token login, dst.

[1] https://www.bleepingcomputer.com/news/security/new-wpeeper-android-malware-hides-behind-hacked-wordpress-sites/
[2] https://www.bleepingcomputer.com/news/security/dropbox-says-hackers-stole-customer-data-auth-secrets-from-esignature-service/

[Chikito]

Berikut beberapa berita terkait malware yang menurut ane cukup menarik dalam beberapa minggu terakhir:
1. Malware Wpeeper yang menyerang pengguna Android dengan menyamar sebagai apps lain dimana penyebarannya dilakukan melalui appstore pihak ketiga[1]. Tidak jelas targetnya pengguna kripto atau bukan, tapi dari hasil analisis mereka punya kemampuan untuk mengambil data yang ada di device kita jadi tidak menutup kemungkinan file wallet juga termasuk didalamnya. Hati-hati buat yang sering make appstore pihak ketiga, jangan lupa verifikasi app yang mau agan download.

Bisa jadi peringatan bagi user yang sering nyimpen private key dan seed di notepad atau catatan di Hapenya. Kalau memang mendesak, semaksimal mungkin gunakan password atau PIN di file dan folder catatan/notepad yang menyimpan catatan yang sensitif di atas.

2. Dropbox mengalami security breach lagi di platform esignaturenya. Kalau agan sering pake Dropbox buat tanda-tangan dokumen, sebaiknya segera dicek dan ganti semua data sensitif agan (password dst) karena bisa jadi hacker masih menyimpan datanya (walau dari pihak Dropbox katanya sudah direset secara default)[2]. Data yang kemungkinan diambil dari data breach ini meliputi info pengguna, password yang sudah ter-hash, token login, dst.

Dalam hal ini, password untuk sign tanda tangan elektroniknya juga kena masalah?, soalnya ada juga teman kantor yang pakai dropbox untuk tanda tangan elektronik.

[joniboini]

Dalam hal ini, password untuk sign tanda tangan elektroniknya juga kena masalah?, soalnya ada juga teman kantor yang pakai dropbox untuk tanda tangan elektronik.

Dari yang ane pahami, sepertinya password yang dimaksud ini adalah password akun penggunanya, alias password login. Ane ga tahu kalau ada password khusus untuk tanda tangan yang beda dengan password login karena ane bukan pengguna Dropbox, tapi emang lebih aman buat ganti password aja gan. Belum tentu juga data yang dishare sama Dropbox ini transparan, jadi ga ada salahnya buat lebih berhati-hati lagi. Ane baca di komen juga ada yang belum dapet notif dari Dropbox, dan baru tahu dari berita yang beredar.

[Husna QA]

Dalam hal ini, password untuk sign tanda tangan elektroniknya juga kena masalah?, soalnya ada juga teman kantor yang pakai dropbox untuk tanda tangan elektronik.

Dari yang ane pahami, sepertinya password yang dimaksud ini adalah password akun penggunanya, alias password login. -snip-

Bukankah di dropbox ada fitur two-factor authentication (2FA) kan ya? Kalaupun misalkan password memang diduga 'bocor' sekalipun, mestinya masih mesti melewati fitur tersebut lebih dulu untuk sign in.

Mengenai layanan sign e-signature Dropbox ini, saya baca pada tulisan respon dari Dropbox* mengenai kasus tersebut di https://sign.dropbox.com/blog/a-recent-security-incident-involving-dropbox-sign, ternyata user yang mengaktifkan 2FA pun mesti mereset ulang kecuali yang menggunakan metode sms.

*

When we became aware of this issue, we launched an investigation with industry-leading forensic investigators to understand what happened and mitigate risks to our users. 

Based on our investigation, a third party gained access to a Dropbox Sign automated system configuration tool. The actor compromised a service account that was part of Sign’s back-end, which is a type of non-human account used to execute applications and run automated services. As such, this account had privileges to take a variety of actions within Sign’s production environment. The threat actor then used this access to the production environment to access our customer database.

In response, our security team reset users’ passwords, logged users out of any devices they had connected to Dropbox Sign, and is coordinating the rotation of all API keys and OAuth tokens. We reported this event to data protection regulators and law enforcement.

Customers who use an authenticator app for multi-factor authentication should reset it. Please delete your existing entry and then reset it. If you use SMS you do not need to take any action.

[Chikito]

Dalam hal ini, password untuk sign tanda tangan elektroniknya juga kena masalah?, soalnya ada juga teman kantor yang pakai dropbox untuk tanda tangan elektronik.

Dari yang ane pahami, sepertinya password yang dimaksud ini adalah password akun penggunanya, alias password login. Ane ga tahu kalau ada password khusus untuk tanda tangan yang beda dengan password login karena ane bukan pengguna Dropbox, tapi emang lebih aman buat ganti password aja gan. Belum tentu juga data yang dishare sama Dropbox ini transparan, jadi ga ada salahnya buat lebih berhati-hati lagi. Ane baca di komen juga ada yang belum dapet notif dari Dropbox, dan baru tahu dari berita yang beredar.

Kalau saya dulu pernah pakai e-sign di aplikasi Privy ada password khusus lagi sebelum kita menandatangani sebuah dokumen. Kalau kena yang ini bisa bahaya juga, apa lagi kalau disposisi-nya atasan atau pejabat yang memang penting dalam hal sangkut pautnya dengan uang. Tapi ya kalau ada yang bermasalah dengan aplikasi lain, biasanya akan ada peringatan juga untuk pemakai yang lain untuk lebih berhati-hati soal ini.

[Husna QA]

-snip-

Kalau saya dulu pernah pakai e-sign di aplikasi Privy ada password khusus lagi sebelum kita menandatangani sebuah dokumen. Kalau kena yang ini bisa bahaya juga, apa lagi kalau disposisi-nya atasan atau pejabat yang memang penting dalam hal sangkut pautnya dengan uang. Tapi ya kalau ada yang bermasalah dengan aplikasi lain, biasanya akan ada peringatan juga untuk pemakai yang lain untuk lebih berhati-hati soal ini.

Dari yang saya baca, yang dicuri justru database informasi lainnya seperti: username, email, nomor telepon, password, dll.
https://www.kaspersky.com/blog/dropbox-sign-breach/51159/

Sementara itu, dari klaimnya Dropbox, tidak ditemukan tanda-tanda akses tidak sah ke konten akun user, seperti dokumen dan perjanjian, ataupun informasi pembayaran:

Dropbox claims that it found no signs of unauthorized access to the contents of user accounts, that is – documents and agreements, as well as payment information.

Meskipun Dropbox Sign ini terpisah dengan Dropbox cloud, tapi kalau misal data-data login yang digunakan user sama juga, maka hemat saya perlu diperbaharui juga informasi yang di cloud-nya apalagi jika disana disimpan data-data yang bersifat penting.

[joniboini]

Meskipun Dropbox Sign ini terpisah dengan Dropbox cloud, tapi kalau misal data-data login yang digunakan user sama juga, maka hemat saya perlu diperbaharui juga informasi yang di cloud-nya apalagi jika disana disimpan data-data yang bersifat penting.

Memang lebih baik lebih berhati-hati dan jangan terlalu percaya sama corporate speak, istilah yang dipakai kan "no signs have been found", yang bisa diartikan juga bisa aja udah diakses tapi ga ada lognya aja.

Btw akhir" ini banyak juga kasus ransomware atau databreach di berbagai perusahaan. Tapi yang mungkin patut difollow-up lebih lanjut sama pengguna individu kayak ane adalah fitur" kayak peningkatan Google Play Protect yang diklaim bakal lebih baik dalam mengantisipasi dan mengatasi serangan malware[1]. Sekilas ane baca banyak fitur yang cukup okelah, walau beberapa juga bersifat sebagai notifikasi doang jadi ga jelas apakah bisa menangkal serangan dari jaringan yang tidak terenkripsi atau tidak.

[1] https://www.bleepingcomputer.com/news/google/android-15-google-play-protect-get-new-anti-malware-and-anti-fraud-features/

[joniboini]

Mungkin beberapa user udah familiar dengan model serangan phishing lewat iklan Google, cuma entah kenapa akhir-akhir ini sampai ada report mengenai serangan yang dikhususkan untuk admin jaringan[1]. Ga berhubungan dengan kripto secara langsung, tapi aplikasi kayak Putty dan Winscp ane rasa cukup populer sebagai opsi untuk mengelola SSH, jadi kalau agan sering make ini ada baiknya lebih hati-hati. Siapa tahu yang kerja dan sering berhubungan dengan jaringan LAN kantor atau perlu konek SSH pastikan download aplikasi yang bener, daripada kehilangan data karena dicolong sama ransomware.

[1] https://www.bleepingcomputer.com/news/security/ransomware-gang-targets-windows-admins-via-putty-winscp-malvertising/

[Chikito]

Mungkin beberapa user udah familiar dengan model serangan phishing lewat iklan Google, cuma entah kenapa akhir-akhir ini sampai ada report mengenai serangan yang dikhususkan untuk admin jaringan[1]. Ga berhubungan dengan kripto secara langsung, tapi aplikasi kayak Putty dan Winscp ane rasa cukup populer sebagai opsi untuk mengelola SSH,

Saya inget dulu waktu mining crypto pake VPS ngeremotenya pakai putty, entah kalau sekarang masih banyak gak yang pakai aplikasi tersebut. Kalau iya ya berbahaya, bisa-bisa (kalau dipakai mining) segala usahanya bisa diambil hacker semua jika tahu semua detil password dan segala hal. Kalau saya baca sekilas link ngedownload putty-nya sudah disusupi Trojan, ya semacam phising gitu, situs yang diberikan palsu bukan link putty yang asli.