Facebook | Foto: Unsplash
Facebook | Foto: Unsplash
Cyberthreat.id – Perusahaan keamanan siber asal Nepal, ThreatNix, menemukan penjahat siber memanfaatkan iklan Facebook (Facebook Ads) untuk melancarkan serangan phishing besar-besaran nan canggih
Peneliti ThreatNix mencermati iklan palsu itu mengarahkan pengguna Facebook ke halaman phishing yang dibuat di situs web Github. Halaman-halaman phishing itu paling awal dibuat di GitHub sekitar lima bulan lalu.
Penyerang berupaya pencurian informasi kredensial (username dan password) akun online korban.
Yang menjadi target serangan adalah pengguna Facebook yang tersebar di Mesir, Filipina, Pakistan, Tunisia, Aljazair, Norwegia, Mongolia, Irak, Malaysia, dan Nepal serta sejumlah negara lain.
Akibat serangan itu, peneliti memperkirakan ada sekitar 615.000 pengguna menjadi korban phishing tersebut. “Tampak ada lebih dari 615.000 entri. Entri ini dari lebih dari 50 negara yang terlihat di data yang bocor,” tulis ThreatNix di blog perusahaan, Minggu (27 Desember 2020).
Berikut ini tangkapan layar sebagian data korban:
Menurut ThreatNix, iklan Facebook palsu itu menyamar sebagai perusahaan resmi untuk menghindari kecurigaan pengguna. Dalam contoh kasus ini, mereka menyamar sebagai penyedia telekomunikasi lokal, Nepal Telecom.
Halaman iklan itu memakai gambar profil dan nama Nepal Telecom—hampir tidak bisa dibedakan dari halaman resmi.
“Peneliti kami pertama kali menemukan serangan tersebut melalui unggahan di Facebook bersponsor yang menawarkan data seluler 3 GB dari Nepal Telecom dan dialihkan ke situs phishing yang dihosting di halaman GitHub,” tulis ThreatNix.
Ketika pengguna mengklik iklan tersebut, halaman dialihkan ke situs web Github gratis yang berisi panel login untuk Facebook.
“Semua halaman GitHub statis ini meneruskan kredensial yang dicuri ke dua titik akhir: satu ke database Firestore dan satu lagi ke domain yang dimiliki oleh grup phishing,” tulis ThreatNix.
Domain tersebut ternyata dihosting ke penyedia web hosting terkemuka, GoDaddy. Ada empat domain lain yang ditemukan juga diduga milik kelompok phisher yang sama.
Para penipu menggunakan aplikasi pemendek tautan, Bitly, yang awalnya mengarah ke halaman yang tidak berbahaya.Namun, setelah iklan disetujui, penjahat tersebut memodifikasi tautan itu untuk mengarah ke domain phishing .
“Kami menemukan hampir 500 repositori GitHub yang berisi halaman phishing yang merupakan bagian dari operasi phishing yang sama,” tulis ThreatNix. Repositori tersebut dibuat oleh berbagai akun baru dan beberapa halaman kini tidak lagi tersedia di halaman GitHub.
Berikut ini tangkapan layar dari repositori yang ditemukan:
ThreatNix saat ini berupaya membongkar infrastruktur phishing tersebut dengan berkolaborasi dengan otoritas terkait. Oleh karenanya, pihaknya masih belum membeberkan informasi terkait dengan domain tersebut.
“Kami akan memberikan pembaruan lebih lanjut tentang penelitian kami setelah kami melacak lebih lanjut ruang lingkup kampanye dan aktor ancaman,” ujar ThreatNix.
Redaktur: Andi Nugroho
Share:
