Waspada! Email Phishing Berkedok PT Pos Indonesia, Kredensial Kartu Kredit Jadi Target Utama
Ilustrasi - Pekerja melakukan pemilahan barang yang akan dikirim melalui PT Pos Indonesia (Persero) di Sentral Pengolahan Pos Bandung, Jawa Barat, Senin (14 September 2020). | Foto: ANTARA/Raisan Al Farisi
Cyberthreat.id – Penipuan online berkedok PT Pos Indonesia ditemukan kembali dan masih mengincar kredensial kartu kredit.
Modus penipuan itu ditemukan oleh IT Security Consultant PT Prosperita Mitra Indonesia, Yudhi Kukuh, yang awal Maret lalu juga melihat aksi serupa atas nama PT Pos. (Baca: Awas! Jangan Terjebak Email Penipuan Mengatasnamakan Pos Indonesia dan Perbankan)
Yudhi mengatakan taktik yang dipakai penjahat tersebut masih sama dengan serangan sebelumnya, yaitu berawal dari email phishing untuk menggasak kredensial kartu kredit. “Hanya [alamat] domainnya ganti," kata Yudhi kepada Cyberthreat.id, Selasa (6 April 2021).
Dalam pesan emailnya, penjahat memberitahu penerima (calon korban) bahwa ada kendala pengiriman paket. Oleh karenanya, penerima harus membayar sejumlah uang.
“Paket Anda tidak apat dikirim pada 07.04.2021 karena tidak ada bea masuk yang dibayarkan 36,14 Rp,” demikian tertulis di pesan email.
Dalam badan email juga tertera logo PT Pos disertai tautan halaman phishing yaitu http://indinspeo[dot]com/.
Berikut isi pesan phishing tersebut:
Halo,
Pengingat Terakhir: Email ini menginformasikan bahwa kiriman Anda masih dalam proses.
Paket Anda tidak apat dikirim pada 07.04.2021 karena tidak ada bea masuk yang dibayarkan 36,14 Rp.
Merchant : Pos Indonesia Anda
Uraian pesanan : Biaya transportasi
Referensi : EE212124**8ID
Jumlah : 36,14 Rp
Pengiriman dijadwalkan antara: 06.04.2021 - 07.04.2021
Untuk mengonfirmasi pengiriman paket Anda klik di sini.
Anda akan menerima email atau SMS ketika Anda tiba di alamat rumah Anda. Anda memiliki waktu 8 hari, sejak tanggal ketersediaan, untuk menarik paket. Setelah penarikan, Anda akan diminta ID.
Hormat kami,
Layanan pelanggan Pos Indonesia Anda.
Di bagian akhir email, penjahat siber juga mencantumkan sejarah PT Pos Indonesia, tampaknya untuk meyakinkan penerima bahwa email itu resmi.
Saat Cyberthreat.id mengaksesnya, halaman yang dibuka justru ke URL https://paket-ems-post-indonesia[dot]com/user/infolder/postprotail-98566523-portail/4e226/. Namun, tautan itu saat berita ini ditulis tak bisa diakses lagi.
Meski sudah tidak bisa diakses, Yudhi mengungkapkan bahwa tampilan situs web phishing itu sama dengan kasus sebelumnya, yaitu meminta calon korban mengisi kolom nomor kartu kredit, nama di kartu kredit, bulan dan tahun kartu kredit, serta CVVnya.
Hal serupa juga ditemukan oleh konsultan keamanan siber, Adi Saputra. "Phising FWD: Pengingat Terakhir, seolah-olah berasal dari POS Indonesia meminta Anda melakukan pembayaran via link URL memasukan kartu kredit," tulis Adi melalui akun LinkedIn-nya.
Sama seperti temuan Yudhi, email itu berisikan informasi terkait kendala pengiriman paket dan tautan yang mengarahkan ke halaman phising. Bedanya dengan temuan Yudhi, tautan phishing tersebut masih aktif.
Adi memberikan tangkapan layar situs web phishing itu dan setelah dilihat halamannya pun juga persis dengan yang ditemukan Yudhi.
Menurut Adi, peretas melakukan spoofing—berpura-pura menjadi pihak yang sah untuk melakukan aksi kejahatan—menggunakan berbagai domain email yang sudah diretas untuk mengirimkan email phishing.
Sumber: Adi Saputra
"Phisihng scam ini dari domain email Indonesia juga, karena pemilik domain email (mail server) tidak melakukan proteksi [email] SPF, DKIM, DMARC," ujarnya.
Karena itu, Adi menyarankan untuk melakukan proteksi atau mengurangi aksi spoofing, pengguna atau organisasi sebaiknya menerapkan seperti SPF, DKIM, dan DMARC pada email.
SPF atau sender policy framework adalah catatan jelas (text record/TXT)) yang berisi daftar peladen yang mengautorisasi pengiriman email dari suatu domain.
DKIM atau DomainKeys Identified adalah cara memverifikasi bahwa pesan yang dikirimkan tidak berubah dari pertama kali terkirim dari server email. Artinya, DKIM bekerja meneken setiap email secara digital menggunakan pasangan kunci privat-publik.
Sementara, DMARC atau Domain-based Message Authentication, Reporting, & Conformance adalah sistem yang menginformasikan jika email tidak terautentikasi.[]
Redaktur: Andi Nugroho
