Robin Banks mulai berulah lagi, kali ini mereka melakukan phising untuk mencuri akun perbankan. Phising Robin Bank ini mengincar banyak bank sebagai target mereka.
Sebagai platform phising as a service (PhaaS) Robin Banks melakukan aksinya dengan infrastruktur yang dihosting oleh perusahaan internet Rusia yang menawarkan perlindungan terhadap Distributed Denial of Service (DDoS).
Robin Banks mengalami gangguan operasional pada Juli 2022, ketika para peneliti keamanan mengekspos platform tersebut sebagai layanan phising.
Layanan phising Robin Banks juga diketahui sangat berbahaya dan mengincar target-terget sebagai berikut:
- Citibank.
- Bank of America.
- Capital One.
- Wells Fargo.
- PNC.
- U.S. Bank.
- Santander.
- Lloyds Bank.
- Commonwealth Bank.
Sebuah laporan juga memperingatkan kembalinya Robin Banks dan menyoroti langkah yang telah diambil operatornya untuk menyembunyikan dan melindungi platform dengan lebih baik dari para peneliti.
Di antara fitur-fitur baru adalah melewati otentikasi multi-faktor (MFA) dan redirector yang membantu menghindari deteksi.
Otentikasi Robin Banks
Untuk mendapatkan layanan mereka kembali online, operator Robin Bank beralih ke DDoS-Guard, penyedia layanan internet Rusia dengan sejarah panjang pertukaran bisnis yang kontroversial, beberapa pelanggannya adalah Hamas, Parler, HKLeaks, dan, baru-baru ini, Kiwi Farms.
Untuk mencegah orang luar mengakses panel phising, Robin Banks kini telah menambahkan otentikasi dua faktor untuk akun pelanggan.
Selain itu, semua diskusi antara administrator inti sekarang dilakukan melalui saluran Telegram pribadi.
Kamuflase Adspect
Salah satu fitur baru yang ditemukan pada Robin Banks adalah penggunaan Adspect, penyelubung pihak ketiga, filter bot, dan pelacak iklan.
Platform PhaaS menggunakan alat seperti Adspect untuk mengarahkan target yang valid ke situs phising sambil mengarahkan pemindai dan lalu lintas yang tidak diinginkan ke situs web yang tidak berbahaya, sehingga menghindari deteksi.
Adspect tidak mengiklankan dirinya sebagai bantuan phising; namun layanannya dipromosikan di dark web dan di Telegram didedikasikan untuk phising.
Bypass MFA
Pengembang Robin Banks juga telah menerapkan proxy terbalik Evilginx2 untuk serangan Adversary in the Middle (AiTM) dan mencuri cookie yang berisi token otentikasi.
Evilginx2 adalah alat reverse-proxy yang membangun komunikasi antara korban dan server layanan nyata, meneruskan permintaan login dan kredensial dan menangkap cookie sesi dalam perjalanan.
Ini membantu pelaku phising melewati mekanisme MFA karena mereka dapat menggunakan cookie yang diambil untuk masuk ke akun seolah-olah mereka adalah pemiliknya.
Robin Banks menjual fitur pemecah MFA baru ini secara terpisah, dan mengiklankan bahwa fitur tersebut berfungsi dengan ‘phislet’ Google, Yahoo, dan Outlook.
Fakta bahwa Robin Banks bertahan dengan mengandalkan secara eksklusif pada alat dan layanan yang tersedia membuktikan bahwa platform PhaaS dapat dibangun oleh siapa saja yang cukup bertekad.
Ketersediaan luas dari platform ini membuka pintu bagi penjahat dunia maya yang kurang teknis, memungkinkan mereka untuk meluncurkan serangan phising yang kuat dan memotong MFA untuk mencuri akun berharga.
Baca lainnya:
- Mengurangi Ancaman Keamanan Email
- Phising Email
- Fitur Phising
- Psikologi dan Phising
- Email Jadi Sumber Malapetaka
- Phising Aplikasi Berkirim Pesan
Sumber berita: