Sistem Otomatis Palo Alto Networks Mendeteksi Delapan Modus Kejahatan Domain Squatting
Ilustrasi | Foto: Palo Alto Networks
Cyberthreat.id - Palo Alto Networks secara intensif melakukan penelitian terkait serangan cyber squattting sejak Desember 2019. Pandemi Covid-19 telah memperparah ancaman karena masyarakat global kini semakin digital dan terhubung ke internet sehingga data menjadi harta yang paling berharga.
Peneliti mempelajari berbagai teknik domain squatting seperti typosquatting, combosquatting, level-squatting, bitsquatting dan homograph-squatting. Para penjahat menggunakan teknik-teknik ini untuk mendistribusikan malware atau untuk melakukan kegiatan-kegiatan penipuan dan phishing.
Berikut jenis serangan yang diamati Palo Alto Networks selama mempelajari domain squattting dalam 9 bulan terakhir:
1. Phishing
Sebuah domain mencatut nama Wells Fargo (secure-wellsfargo[.]org) menargetkan pelanggan Well Fargo. Tujuannya untuk mencuri informasi pelanggan yang penting dan rahasia, seperti kredensial email dan PIN ATM. Juga ditemukan sebuah domain yang menyatut nama Amazon (amazon-india[.]online) merupakan jebakan untuk pencurian data-data penting pelanggan, menargetkan para pengguna mobile di India.
2. Penyebaran Malware.
Sebuah domain yang mencatut nama Samsung (samsungeblyaiphone[.]com) meng-hosting malware Azorult untuk melakukan pencurian informasi kartu kredit.
3. Serangan Command & Control (C2)
Domain-domain mencatut nama Microsoft (microsoft-store-drm-server[.]com dan microsoft-sback-server[.]com) mencoba melakukan serangan C2 untuk mengganggu jaringan keseluruhan.
4. Re-bill scam
Beberapa situs phishing yang mencatut Netflix (seperti netflixbrazilcovid[.]com) kemudian melakukan jebakan untuk melakukan pencurian uang terhadap korban. Modusnya, pelaku kejahatan menawarkan kepada korban untuk berlangganan produk penurun berat badan dengan pembayaran awal dalam jumlah yang tidak besar.
Kemudian, apabila pengguna tidak membatalkan langganan tersebut setelah periode promosi berakhir, biaya dalam jumlah yang lebih besar akan ditagihkan ke kartu kredit mereka, jumlahnya berkisar antara $50-$100.
5. Potentially unwanted program (PUP)
Domain yang menyatut Walmart (walrmart44[.]com) dan Samsung (samsungpr0mo[.]online) ditemukan menyebarkan PUP, seperti spyware, adware atau browser extension.
Perangkat lunak jahat ini biasanya melakukan perubahan yang tidak diinginkan, seperti mengubah halaman default browser atau membajak browser untuk memasukkan iklan. Sebagai catatan, domain Samsung terlihat seperti situs web berita pendidikan Australia yang resmi.
6. Technical support scam
Domain yang menyatut Microsoft (seperti microsoft-alert[.]club) mencoba menakut-nakuti pengguna agar membayar ke support pelanggan yang kenyataannya palsu/penipu.
7. Reward scam.
Sebuah domain ditemukan mencatut Facebook (facebookwinners2020[.]com) melakukan scamming dengan iming-iming sejumlah rewards kepada pengguna. Misalnya pemberian produk-produk secara gratis atau bahkan uang. Untuk bisa mengklaim hadiah-hadiah tersebut, pengguna harus mengisi data-data personal seperti tanggal lahir, nomor telepon, pekerjaan dan jumlah penghasilan ke dalam formulir yang disediakan. Waspadalah!
8. Domain parkting
Sebuah domain yang menyatut RBC Royal Bank (rbyroyalbank[.]com) memanfaatkan layanan parkir populer, Parking Crew, untuk menghasilkan keuntungan berdasarkan berapa banyak pengguna yang membuka situs dan meng-klik iklan.
URL Filtering dan DNS Security
Palo Alto Networks mengembangkan sistem otomatis yang berfungsi untuk menangkap berbagai operasi jahat yang muncul dari domain yang baru terdaftar, serta dari data DNS pasif (pDNS).
"Kami mengidentifikasi domain squattting yang berbahaya dan mencurigakan dan menetapkannya ke kategori yang sesuai (seperti phishing, malware, C2, atau grayware)," tulis laporan penelitian Palo Alto Networks.
"Proteksi terhadap domain-domain yang diklasifikasikan dalam kategori ini tersedia di beberapa langganan keamanan Palo Alto Networks, seperti URL Filtering dan DNS Security."
Dari sisi organisasi/perusahaan sangat disarankan untuk melakukan pemblokiran dan memantau lalu lintas dengan cermat, sementara konsumen harus memastikan bahwa mereka mengetik nama domain dengan benar dan memeriksa ulang apakah pemilik domain terpercaya sebelum memasuki situs apa pun. []
