Cyberthreat.id – Pada Mei 2020, pesan viral di WhatsApp yang menawarkan dua Pizza gratis porsi besar dari Dominos Pizza. Tak lupa dalam pesan itu terselip sebuah tautan dan pengguna diminta untuk mengkliknya jika ingin mengklaim Pizza tersebut.

“Dominos is giving away 2 free large Pizza per family to everyone this week to support the nation during Corona Pandemic. Click here to get: http://www.dominos.ie-pizza.club,” begitu bunyi pesan itu.

Alamat situs web tersebut menunjukkan situs web asli Domino's Irlandia, yakni www.dominos.ie. Namun, itu bukanlah asli seperti kelihatannya.

Untuk memahaminya, peneliti keamanan siber Maciej Makowski tinggal di Irlandia, menginvestigasi situs web tersebut. Menurut dia, setiap nama domain internet yang valid itu terdiri dari tiga komponen berikut:

• Domain level teratas. Apa pun yang mengikuti setelah titik terakhir dalam string URL. Contoh domain level teratas yang umum: .com, .org, .gov, .net, .uk, .ie dll. Dalam kasus hal ini, .club merupakan domain level teratas situs web itu.
• Domain level kedua. Apa pun yang sebelum domain level teratas. Jadi, untuk kasus ini, domain tingkat kedua adalah “ie-pizza” (ya, tanda hubung adalah satu-satunya karakter khusus yang diizinkan oleh konvensi penamaan domain).
• Subdomain. Apa pun yang diposisikan sebelum domain level kedua. Bisa apa saja, misalnya: aws.amazon.com –bagian AWS adalah subdomain. Dalam kasus penyelidikan terkait situs web Dominos's ini, maka subdomainnya adalah dominos.

---

---

Berdasarkan pemeriksaan who.is, domain itu baru dibuat 21 Mei 2020, yang didaftarkan oleh penyedia hosting yang terkenal digunakan penjahat siber, Namecheap.

Kuat dugaan bahwa situs web itu adalah penipuan itu dari pemeriksaan secara visual terhadap tampilan situs webnya saat tautan diklik.

Makowski, dalam tulisan di blognya Osintme.com, pun mencoba memeriksanya melalui platform pemindaian virus atau malware.

Berdasarkan pemindaian melalui dua platform analisis malware yakni Virus Total dan Any run pada (22 Mei 2020), situs web itu tidak terdeteksi berbahaya.

Untuk itu, Makowski pun menggali lebih dalam kode sumber situs web itu dengan menekan tombol F12.

“Menekan F12 akan mengaktifkan mode Pengembang Web di situs web yang saat ini Anda lihat di browser Anda (dikenal sebagai Alat Pengembang di Google Chrome dan Microsoft Edge),” tulis Makowski.

Geolokasi

Temuannya pun mengungkapkan bahwa situs web itu berisi JavaScript sederhana menggunakan geoplugin.net untuk menemukan lokasi geografis alamat IP pengguna dan mengalihkan ke situs web lain, tergantung lokasi pengguna.

Menariknya lagi, bahwa situs web itu mengalihkan ke empat situs web lain yang juga penipuan. Berdasarkan tangkapan layar yang diberikan Makowski, situs web itu mengalihkan ke:

• http://www.dominos.com.2pizza.club,
• http://www.dominositalia.it-scopri.club,
• http://wowthis9.us/confirm.html, dan
• http://www.dominos.co.uk-pizza.club.

Dari keempat tersebut, ada satu situs web berdasarkan unsur-unsur dalam kode sumbernya itu berbahasa Spanyol.

Salah satu situs web penipuan itu juga pernah beredar di pengguna WhatsApp Indonesia, yaitu http://www.dominos.com.2pizza.club.

Pada 25 Mei lalu, tim pemeriksa fakta dari Masyarakat Anti Fitnah Indonesia (MAFINDO), Turn Back Hoax, pun telah menyetempel bahwa informasi itu salah.

Karena berdasarkan laman resmi Domino’s Pizza Indonesia, tidak ada publikasi yang menyatakan bahwa ada program kupon dua Pizza besar selama pandemi Covid-19.

Menurut Makowski, di India situs web itu justru menampilkan promosi palsu terkait sepatu Adidas gratis disertai testimoni dari pengguna yang digambarkan sebagai penerima sepatu Adidas gratis tersebut.

Browser pengguna

Situs web palsu itu mendeteksi jika pengguna mengakses situs web itu dari perangkat seluler dan meminta aplikasi seluler WhatsApp membagikan tautan itu. Namun, jika pengguna mengaksesnya dari peramban web desktop, maka fungsi itu tidak akan berjalan.

Review palsu pengguna

Menurut Makowski, situs web itu menampilkan semacam testimoni dari pengguna yang telah mendapatkan gratis dua Pizza besar itu. Namun, ternyata itu bukan testimoni yang biasanya pengguna ketikkan dalam situs web itu. Lantas apa yang digunakan?

Penjahat siber menggunakan API randomuser.me untuk menarik 5 pengguna yang dibuat secara acak dan memasangkannya masing-masing dengan teks ulasan singkat yang dibuat-buat.

Melacak cookies

Situs web palsu itu, kata Makowski, memiliki cookies yang dapat digunakan untuk pelacakan. Ia pun meminta pengguna untuk menggunakan perangkat lunak blokir cookies.

Kesimpulan dari penelusuran peneliti Makowski yakni penipu tersebut berusaha memantau interaksi pengguna dengan tautan. Selanjutnya, ia berupaya meningkatkan taktiknya untuk menyebarkan phishing hingga malware di ponsel pengguna.

Makowski menyarankan agar masyarakat melaporkan jika menemukan situs web penipuan ini ke penyedia hosting, misalnya, ke Namecheap agar segera dihapus dan dan memasukkannya dalam daftar hitam.

"Saya akan mendorong Anda semua untuk mengirim email ke abuse@namecheaphosting.com secara individu dan melaporkan situs tersebut kepada mereka,” kata Makowski.[]

Redaktur: Andi Nugroho