New York, Cyberthreat.id - Model bisnis kejahatan siber terus berkembang. Ada Malware-as-a-Service (MaaS), Ransomware-as-a-Service (RaaS), dan kini model terbaru adalah Combolists-as-a-Service (CaaS). Dua yang pertama adalah paket lengkap malware yang disewakan pembuat malware untuk melakukan serangan dan pemerasan ke korban peretasan. Hacker yang tidak ahli pun bisa menggunakan RaaS. Pembuat malware juga akan mendapat pembagian keuntungan dari hasil uang tebusan.

Sedangkan CaaS adalah sistem penjualan kredensial untuk melancarkan serangan pencurian akun atau account takeovers (ATO). Paket data kredensial, seperti username/email dan password, tidak lagi sekadar dijajakan sebagai combolist tunggal, misalnya combolist data kredensial pelanggan Amazon atau data pelanggan Netflix. Kini dark web menyediakan layanan "cloud based combolist and database provider". Layanan ini akan menyediakan berbagai macam database kredensial curian dalam satu paket atau beberapa paket.

Semakin banyaknya suplai data kredensial ke dark web seiring semakin banyaknya pembobolan data belakangan ini, layanan seperti ini akan memudahkan para penjahat siber untuk mencoba-coba akun platform atau perbankan mana yang bisa diterobos. Periset Photon Research Team dari Digital Shadow melaporkan bahwa  CaaS kini marak ditawarkan di dark web. "Dari pembicaraan di situs-situs underground, kami menemukan bahwa penjahat siber di forum CrackedTO secara aktif menjajakan combolist seolah-olah hal itu adalah komoditas yang diperdagangkan," demikian laporan  Photon Research Team di situs mereka, digitalshadow.com pada 30 Juli.

Salah satu layanan CaaS adalah Datasense. Mereka menawarkan model berlangganan. Dengan membayar $50 per bulan melalui PayPal atau Bitcoin, hacker bisa mencoba aneka combolist dari database yang tersedia. Tidak diungkapkan combolist yang ada namun periset memperkirakan yang ditawarkan adalah koleksi kredensial akun Amazon, Electronic Arts’ Origin, Ubisoft’s uPlay, Netflix, dan platform gim Steam.

Iklan CaaS DatabaseHUB | image: digitalshadows.com

Layanan lain bernama DatabaseHUB. Hacker yang membeli token DatabaseHUB seharga $10,99 akan mendapatkan koleksi 5 combolist (sekitar 100.000-300.000 kredensial per koleksi) per hari selama sebulan. DatabaseHUB beriklan bahwa mereka akan menambahkan koleksi database per hari, atau 2-3 hari sekali. Mereka akan mem-blacklist klien yang menyebarkan combolist. Jika disebarkan, "we will take care of you".

Setelah mendapatkan akses ke password, hacker bisa melancarkan serangan ATO berskala besar dengan tool seperti SNIPR, SentryMBA, dan Cr3d0v3r. Tool seperti ini mengeksploitasi password yang lemah atau kombinasi username/email dan password yang sebelumnya pernah bocor.

Cr3d0v3r berhasil login ke Google | image: digitalshadows.com

Cr3d0v3r misalnya. Tool yang dibuat dengan bahasa Python ini sering digunakan untuk serangan ATO ke berbagai platform sekaligus, misalnya Facebook, Twitter, Google, dan Github. Ketika login berhasil, hacker akan mengumpulkan informasi untuk melancarkan serangan berikutnya yang bisa menghasilkan keuntungan.

Karena itulah, para periset keamanan siber selalu merekomendasikan untuk mengubah password secara berkala. Apalagi jika akun email Anda pernah bocor. Cek di situs haveibeenpwned.com.