Cyberthreat.id - Penipuan online dengan mengatasnamakan PT Pos Indonesia dan perbankan sedang menyasar warga Indonesia. Menggunakan email palsu, pelaku menargetkan data kredensial kartu kredit dan menginfeksi perangkat korban dengan virus.

IT Security Consultant PT Prosperita Mitra Indonesia, Yudhi Kukuh mengungkapkan, pihaknya menemukan email yang dikirim oleh pelaku ke calon korban berisi trojan dan tautan jebakan phishing.

Dalam kasus yang mengatasnamakan sebuah bank di Indonesia, pelaku mengiming-iming hadiah sebagai pemikat.

"Jadi seolah-olah kartu kredit bank ini kerja sama dengan salah satu web perjalanan, web pesan tiket ulang tahun," ujarnya ketika dihubungi Cyberthreat.id, Kamis (18 Maret 2021).

Temuan itu didapatkan menggunakan salah satu tools yang untuk mendeteksi kejahatan berbasis email, yaitu “Vimanamail”. Teknologi satu ini bisa menganalisis email untuk mengetahui statusnya berbahaya atau tidak.

Email yang seolah-olah dari salah satu bank yang mengiming-imingkan hadiah itu, kata Yudhi, mengarahkan pengguna untuk mengklik file yang dilampirkan di bawah body emailnya.

Yudhi mengatakan lampiran itu merupakan file eksekusi atau file .exe. Dikutip dari TechTerms, file yang dapat diekeskusi adalah jenis file komputer yang menjalankan program saat dibuka. Ini berarti menjalankan kode atau serangkaian instruksi yang memang sudah ada di file itu. Di Windows, program dikompilasi memiliki ekstensi file .exe atau disebut sebagai "file EXE".

File itu sebenarnya berisikan trojan yakni Virtual Account xxx.PDF Win32/PSW.Fareit.L trojan /bin/gzip. Trojan inipun nantinya, kata Yudhi, kemungkinan memanggil "temannya" yakni ransomware.

"Pembawa ransomware. Namun, kita tidak tahu [ransomwarenya apa], belum sempat download ransomnya," tuturnya.

Email yang dikirim berisikan trojan ini, kata Yudhi,  sangat masif di Indonesia. Bahkan, menurut Yudhi peretas yang mengirimkan email berpura-pura dari bank ini menjalankan aksinya dengan cukup meyakinkan.

Saat ditanya nama banknya, Yudhi menolak menyebutkan dengan alasan menjaga reputasi banknya. Ditanya apakah sudah melaporkan temuannya itu ke bank tersebut, Yudi mengatakan belum memberitahunya.

Terkait pelakunya, Yudhi yakin ini bukan dilakukan oleh orang Indonesia melainkan orang luar. Pasalnya, saat ini orang luar Indonesia juga sudah bisa berbahasa Indonesia dengan baik dan benar.

"Kalau dulu pakai terjemahan Google Translate. Sudah pintar [peretasnya], bisa dibilang begitu," tuturnya.

Email Phishing Mengatasnamakan PT Pos Indonesia
Temuan lainnya, ada pula email yang mengatasnamakan PT Pos Indonesia. Namun, jika diperhatikan lebih detail, alamat email yang dipakai untuk untuk mengirim pesan, bukan dari Pos Indonesia.

Menurut Yudhi, peretas memakai botnet untuk mengirimkan email phising ini karena "ditemukan dikirim dari beberapa alamat IP."

Email yang seolah-olah dari Pos Indonesia berisi pemberitahuan kepada penerima email, bahwa ada kiriman paket untuk penerima pesan, namun terkendala dalam proses pengirimannya.

Calon korban kemudian diminta mengklik tautan dengan alasan mengonfirmasi pengiriman paket. Padahal, tautan itu berita permintaan untuk mengisi data-data kartu kredit.

Tautan yang diminta untuk diklik itu beralamat di https://indonesierounser[.]com/Pos-20211802-15470/. Jika diklik, pengguna diarahkan ke laman pembayaran https://id-tracking-posindonesia.net/content/konsinyasi/en/d6ab5/.

Dalam laman pembayaran itu, terdapat beberapa kolom yang perlu diisikan yakni nomor kartu, nama di kartu, tanggal habis tempo, CVV2/CVC2, dan jumlah pembayarannya.

Yudhi menjelaskan ada kesalahan yang dibuat peretas yakni dari sisi total pembayaran yang perlu dibayarkan setelah kolom-kolom pengisian kredensial kartu kredit. Yudhi pun mengatakan peretas memang ingin mencuri kredensial kartu kredit untuk kemudian dieksploitasi untuk kejahatan siber lainnya.

"Lucunya, nominal uang tagihan yang diminta adalah sebesar 36.14 dalam mata uang Rupiah, jumlah yang mungkin akan membuat calon pengirim dan penerimanya mengerenyitkan dahi," ujarnya.

Menurut Yudhi, situs itu meniru situs pembayaran Rumania. Saat dikonfirmasi ulang, Yudhi mengatakan itu diketahui berdasar kode sumber yang dipakai.

"Headernya masih kelihatan, kode sumbernya diambil dari tampilan payment gateway di Rumania," kata Yudhi.

Yudhi pun mengatakan bahwa itu ciri-ciri atau pola kerja orang luar Indonesia ketika mengirimkan email phising, selain memakai botnet.

"Kalau lihat dari cara kerjanya, ini sih yang Pos Indonesia dari luar negeri," ujarnya.
 

Untuk mencegah menjadi korban email berbahaya ini, Yudhi menyarankan beberapa hal yakni:

1. Hindari membuka email apa pun atau mengklik tautan atau lampiran apa pun dari pengirim yang tidak dikenal atau mencurigakan.

2. Jangan pernah membalas email semacam ini.

3. Hapus email segera jika memang tidak sedang menunggu barang dari layanan kurir.

4. Gunakan fasilitas Antispam dan Antivirus pada perangkat yang digunakan.

5. Sebagai karyawan, hubungi team IT perusahaan untuk informasi teknis lebih lanjut. []
 

Editor: Yuswardi A. Suud