Darcula Memakan Korban 100 Negara

Sebuah layanan phising menjadi fenomena baru di dunia siber yang bergerak cepat ke seluruh dunia, Darcula memakan korban 100 negara dalam waktu singkat.

Phishing-as-a-service (PhaaS) baru bernama Darcula tersebut menggunakan 20.000 domain untuk memalsukan merek dan mencuri kredensial dari pengguna Android dan iPhone di lebih dari 100 negara.

Darcula telah digunakan terhadap berbagai layanan dan perusahaan, mulai dari :

Pos.
Keuangan.
Pemerintah.
Departemen Perpajakan.
Hingga perusahaan telekomunikasi.
Maskapai Penerbangan.
Utilitas.

Selain itu Darcula juga menawarkan lebih dari 200 templat kepada para afiliasinya untuk dipilih. Sesuai dengan keinginan, tipikal masing-masing scammers.

Satu hal yang membuat layanan ini menonjol adalah ia mendekati target menggunakan protokol Rich Communication Services (RCS) untuk Google Messages dan iMessage, bukan SMS untuk mengirim pesan phising.

Layanan Phising Darcula

Darcula pertama kali didokumentasikan pada musim panas lalu oleh peneliti keamanan dan diketahui menjadi lebih populer di dunia kejahatan siber, dan baru-baru ini digunakan dalam beberapa kasus penting.

Platform Darcula telah digunakan untuk berbagai serangan phising tingkat tinggi selama setahun terakhir, termasuk pesan yang diterima pada perangkat Apple dan Android di Inggris.

Serta penipuan paket yang meniru Layanan Pos Amerika Serikat (USPS) yang disorot dalam banyak postingan di /r/phising dari Reddit.” – Netcraft

Tidak seperti metode phising tradisional, Darcula menggunakan teknologi modern seperti:

JavaScript.
React.
Docker.
Harbour

Memungkinkan pembaruan berkelanjutan dan penambahan fitur baru tanpa klien perlu menginstal ulang perangkat phising.

Kit phising menawarkan 200 template phising yang meniru merek dan organisasi di lebih dari 100 negara. Halaman arahannya berkualitas tinggi dan menggunakan bahasa, logo, dan konten lokal yang benar.

Penipu memilih merek untuk ditiru dan menjalankan skrip pengaturan yang menginstal situs phising terkait dan dasbor manajemennya langsung ke lingkungan Docker.

Sistem ini menggunakan registri kontainer open source Harbour untuk menghosting image Docker, sedangkan situs phising dikembangkan menggunakan React.

Para peneliti mengatakan bahwa layanan Darcula biasanya menggunakan domain tingkat atas “.top” dan “.com” untuk menghosting domain yang didaftarkan khusus untuk serangan phising, sementara sekitar sepertiganya didukung oleh Cloudflare.

Netcraft telah memetakan 20.000 domain Darcula di 11.000 alamat IP, dengan 120 domain baru ditambahkan setiap hari.

Meninggalkan SMS

Darcula berbeda dari taktik berbasis SMS tradisional dan menggunakan RCS (Android) dan iMessage (iOS) untuk mengirim pesan kepada korban dengan tautan ke URL phising.

Keuntungan dari hal ini adalah penerima lebih cenderung menganggap komunikasi tersebut sah dan memercayai perlindungan tambahan yang tidak tersedia dalam SMS.

Selain itu, karena RCS dan iMessage mendukung enkripsi ujung ke ujung, tidak mungkin mencegat dan memblokir pesan phising berdasarkan kontennya.

Situasi ini mungkin karena undang-undang global baru-baru ini yang bertujuan untuk mengekang kejahatan dunia maya berbasis SMS.

Yakni dengan memblokir pesan-pesan mencurigakan kemungkinan besar akan mendorong platform PhaaS menuju protokol alternatif seperti RCS dan iMessage.

Sayangnya, protokol-protokol tersebut mempunyai batasan tersendiri yang harus diatasi oleh penjahat dunia maya.

Misalnya, Apple melarang akun mengirim pesan dalam jumlah besar ke banyak penerima, dan Google baru-baru ini menerapkan pembatasan yang mencegah perangkat Android yang di-root mengirim atau menerima pesan RCS.

Solusi Penanganan

Penjahat dunia maya berupaya untuk mengesampingkan batasan ini dengan membuat beberapa ID Apple dan menggunakan kumpulan perangkat untuk mengirim sejumlah kecil pesan dari setiap perangkat.

Kendala yang lebih menantang adalah pengamanan di iMessage yang hanya memperbolehkan penerima mengklik link URL jika sudah membalas pesan.

Untuk menyiasati tindakan ini, pesan phising memerintahkan penerima untuk membalas dengan ‘Y’ atau ‘1’ dan kemudian membuka kembali pesan tersebut untuk mengikuti tautan. Proses ini dapat menimbulkan gesekan yang dapat mengurangi efektivitas serangan phising.

Pengguna harus mencurigai semua pesan masuk yang mendesak mereka untuk mengklik URL, terutama jika pengirimnya tidak dikenali. Terlepas dari platform atau aplikasinya, pelaku ancaman phising akan terus bereksperimen dengan metode pengiriman baru.

Para peneliti keamanan juga merekomendasikan untuk memperhatikan tata bahasa yang tidak akurat, kesalahan ejaan, penawaran yang terlalu menarik, atau ajakan untuk mengambil tindakan segera.

Baca lainnya:

Memahami Keamanan Siber
Serangan Phising Kredensial
Hacker Buru Pengguna Zimbra
Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
Lawas Salah Satu Dasar Kerentanan
Subyek Umum dalam Phising
Remote Access Phising
Ajang Pengelabuan Saat Berlibur
Pengelabuan Eksploitasi TLD

Sumber berita:

Prosperita IT New

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.