Cyberthreat.id – Para peneliti dari Akami menemukan bahwa kit phising baru yang digunakan untuk menargetkan pengguna PayPal, yang di-host situs web WordPress yang telah diretas, yang untuk menghindari deteksi hingga tingkat tertentu.

Dikutip dari Bleeping Computer, peneliti Akamai mengatakan para pelaku ancaman menargetkan situs web yang tidak diamankan dengan baik dan memaksa login mereka menggunakan daftar pasangan kredensial umum yang ditemukan secara online.

“Mereka menggunakan akses ini untuk menginstal plugin manajemen file yang memungkinkan pengunggahan kit phishing ke situs yang dilanggar,” kata para peneliti.

Peneliti menemukan bahwa salah satu metode yang digunakan kit phishing untuk menghindari deteksi adalah dengan merujuk silang alamat IP ke domain milik sekumpulan perusahaan tertentu, termasuk beberapa organisasi di industri keamanan siber. Mereka memperhatikan bahwa pembuat kit phishing berusaha membuat halaman penipuan terlihat profesional dan meniru situs PayPal asli sebanyak mungkin.

“Salah satu aspek yang mereka amati adalah pelaku menggunakan htaccess untuk menulis ulang URL agar tidak diakhiri dengan ekstensi file PHP dan membuatnya tidak mencurigakan,” terang peneliti Akamai.

Selain itu, semua elemen antarmuka grafis dalam formulir ditata sesuai dengan tema PayPal, sehingga halaman phishing memiliki tampilan yang tampak autentik.Mencuri data pribadi korban dimulai dengan memberi mereka tantangan CAPTCHA, sebuah langkah yang menciptakan rasa legitimasi yang salah.

Setelah tahap ini, korban diminta untuk masuk ke akun PayPal mereka menggunakan alamat email dan kata sandi mereka, yang secara otomatis dikirimkan ke pelaku ancaman. Di halaman berikutnya, korban akan diminta untuk memberikan sejumlah rincian pribadi dan keuangan yang mencakup data kartu pembayaran bersama dengan kode verifikasi kartu, alamat fisik, nomor jaminan sosial, nama gadis ibu.

Menurut peneliti, kit phishing dibuat untuk memeras semua informasi pribadi dari korban. Selain data kartu yang biasanya dikumpulkan dalam penipuan phishing. Mereka juga mengumpulkan nomor jaminan sosial, nama gadis ibu, dan bahkan nomor PIN kartu untuk transaksi di mesin ATM.

“Pelaku melangkah lebih jauh dan meminta korban untuk menautkan akun email mereka ke PayPal, dan mendapatkan berbagai akses yang terkait dengan email korban,” kata para peneliti.

Meskipun telah mengumpulkan sejumlah besar informasi pribadi, pelaku ancaman belum selesai. Langkah selanjutnya, mereka meminta korban untuk mengunggah dokumen identitas resmi mereka untuk mengkonfirmasi identitas mereka.

Dokumen yang diterima adalah paspor, ID nasional, atau SIM dan prosedur pengunggahan dilengkapi dengan instruksi khusus, seperti yang diminta PayPal atau layanan resmi dari penggunanya.

Peneliti mengatakan, pelaku dapat menggunakan semua informasi ini untuk berbagai kegiatan ilegal mulai dari apa pun yang terkait dengan pencurian identitas hingga pencucian uang (misalnya membuat akun perdagangan mata uang kripto, mendaftarkan perusahaan) dan mempertahankan anonimitas saat membeli layanan hingga mengambil alih rekening perbankan atau mengkloning kartu pembayaran.

“Meskipun kit phishing tampak canggih, kami menemukan bahwa fitur unggah filenya dilengkapi dengan kerentanan yang dapat dieksploitasi untuk mengunggah shell web dan mengendalikan situs web yang disusupi,” terang para peneliti.

Terkait dengan serangan ini, pengguna disarankan untuk memeriksa nama domain halaman yang meminta informasi sensitif. Mereka juga dapat membuka halaman resmi layanan, dengan mengetiknya secara manual di browser, untuk memeriksa apakah verifikasi identitas sudah dilakukan.