Home » » Masalah Phising Dan Cara Kerja Phising Pada Gmail

Masalah Phising Dan Cara Kerja Phising Pada Gmail

Update pada tanggal 24 Februari :  Chrome telah menyelesaikan masalah ini untuk kepuasan saya. Awal bulan ini mereka merilis Chrome 56.0.2924 yang mengubah perilaku bar lokasi. Jika sekarang Anda melihat URL data, bilah lokasi menunjukkan pesan "Tidak Aman" yang seharusnya membantu pengguna menyadari bahwa mereka seharusnya tidak mempercayai formulir yang disajikan kepada mereka melalui URL data. Ini akan membantu mencegah teknik phishing spesifik ini.

Update di 11:30 pada hari Selasa tanggal 17 Januari :  Saya telah menerima pernyataan resmi dari Google mengenai masalah ini. 

Seperti yang Anda ketahui, di Wordfence kami terkadang mengirimkan peringatan tentang masalah keamanan di luar alam semesta WordPress yang mendesak dan memiliki dampak luas pada pelanggan dan pembaca kami. Sayangnya ini adalah salah satu alert tersebut. Ada teknik phishing yang sangat efektif yang mencuri kredensial login yang memiliki dampak luas, bahkan pada pengguna teknis berpengalaman.

Saya telah menulis posting ini agar mudah dibaca dan dimengerti. Saya dengan sengaja mengabaikan rincian teknis dan berfokus pada apa yang perlu Anda ketahui untuk melindungi diri dari serangan phishing ini dan serangan lainnya seperti dengan harapan mendapatkan kata keluar, terutama di kalangan pengguna teknis yang kurang. Silakan bagikan ini setelah Anda membacanya untuk membantu menciptakan kesadaran dan melindungi masyarakat.

The Phishing Attack: Apa yang perlu Anda ketahui

Teknik phishing baru yang sangat efektif yang menargetkan Gmail dan layanan lainnya telah mulai populer selama tahun lalu di antara penyerang. Selama beberapa minggu terakhir, ada laporan pengguna teknis berpengalaman yang terkena dampak ini.

Serangan ini saat ini sedang digunakan untuk menargetkan pelanggan Gmail dan juga menargetkan layanan lainnya.

Cara kerja penyerangan adalah bahwa penyerang akan mengirim email ke akun Gmail Anda. Email itu mungkin berasal dari seseorang yang Anda kenal yang telah memiliki akun mereka hack menggunakan teknik ini. Ini mungkin juga mencakup sesuatu yang terlihat seperti gambar lampiran yang Anda kenali dari pengirim.

Anda mengeklik gambar tersebut, mengharapkan Gmail memberi pratinjau lampiran. Sebagai gantinya, tab baru terbuka dan Anda diminta oleh Gmail untuk masuk lagi. Anda melirik bilah lokasi dan melihat  akuns.google.com di sana. Sepertinya ini ....


Setelah Anda menyelesaikan proses masuk, akun Anda telah disusupi. Seorang commenter di Hacker News menjelaskan dengan jelas apa yang mereka alami selama liburan berakhir begitu mereka masuk ke halaman palsu:

" Penyerang masuk ke akun Anda segera setelah mereka mendapatkan mandatnya, dan mereka menggunakan salah satu lampiran Anda yang sebenarnya, bersama dengan salah satu baris subjek Anda yang sebenarnya, dan mengirimkannya ke orang-orang di daftar kontak Anda.

Misalnya, mereka masuk ke rekening seorang siswa, menarik sebuah lampiran dengan jadwal latihan atletik, menghasilkan tangkapan layar, dan kemudian memasangkannya dengan garis subjek yang berhubungan secara tangensial, dan mengirimkannya melalui email ke anggota tim atletik lainnya. "

Penyerang yang masuk ke akun Anda terjadi dengan sangat cepat. Ini mungkin otomatis atau mereka mungkin memiliki tim yang berdiri untuk memproses akun karena mereka dikompromikan.

Begitu mereka memiliki akses ke akun Anda, penyerang juga memiliki akses penuh ke semua email Anda termasuk dikirim dan diterima pada saat ini dan dapat mendownload keseluruhannya.

Sekarang setelah mereka mengendalikan alamat email Anda, mereka juga dapat mengkompromikan berbagai layanan lain yang Anda gunakan dengan menggunakan mekanisme reset kata sandi termasuk akun email lainnya, layanan SaaS yang Anda gunakan dan banyak lagi.

Yang saya jelaskan di atas adalah serangan phishing yang digunakan untuk mencuri nama pengguna dan kata kunci di Gmail. Ini sedang digunakan sekarang dengan tingkat keberhasilan yang tinggi. Namun, teknik ini bisa digunakan untuk mencuri kepercayaan dari banyak platform lain dengan banyak variasi teknik dasar.

Bagaimana melindungi diri dari serangan phishing ini

Anda selalu diberi tahu: " Periksa bilah lokasi di browser Anda untuk memastikan Anda berada di situs web yang benar sebelum masuk. Itu akan menghindari serangan phishing yang mencuri nama pengguna dan kata sandi Anda."

Dalam serangan di atas, Anda melakukan hal itu dan melihat ' accounts.google.com ' di bilah lokasi, jadi Anda terus maju dan masuk.

Untuk melindungi diri dari hal ini, Anda perlu mengubah apa yang Anda periksa di bilah lokasi.

Teknik phishing ini menggunakan sesuatu yang disebut 'data URI' untuk menyertakan file lengkap di bilah lokasi browser. Saat Anda melirik bilah lokasi browser dan melihat 'data: text / html ... ..' itu sebenarnya adalah string teks yang sangat panjang. Jika Anda memperluas lokasi bar seperti ini:


Ada banyak spasi yang telah saya hapus. Tapi di bagian paling kanan Anda bisa melihat awal dari apa yang merupakan potongan teks yang sangat besar. Ini sebenarnya adalah file yang terbuka di tab baru dan membuat halaman login Gmail palsu yang berfungsi penuh yang mengirimkan kredensial Anda kepada penyerang.

Seperti yang bisa Anda lihat di paling kiri bilah lokasi browser, alih-alih 'https' Anda memiliki 'data: teks / html,' diikuti oleh https: //accounts.google.com yang biasa. '. Jika Anda tidak memperhatikannya, Anda akan mengabaikan bacaan 'data: text / html' dan menganggap URL aman.

Anda mungkin berpikir Anda terlalu pintar untuk mengalami ini . Ternyata serangan ini telah tertangkap, atau hampir tertangkap beberapa pengguna teknis yang memiliki  tweeted ,  blogged  atau berkomentar tentang hal itu. Ada alasan khusus mengapa ini sangat efektif yang berhubungan dengan persepsi manusia. Saya gambarkan itu di bagian selanjutnya.

Bagaimana melindungi diri sendiri

Saat Anda masuk ke layanan apa pun, periksa bilah lokasi browser dan verifikasi protokolnya, lalu verifikasi nama hostnya. Seharusnya terlihat seperti ini di Chrome saat masuk ke Gmail atau Google:


Pastikan tidak ada nama host 'accountss.google.com' selain 'https: //' dan simbol kunci. Anda juga harus memperhatikan nada hijau dan simbol kunci yang muncul di sebelah kiri. Jika Anda tidak dapat memverifikasi protokol dan memverifikasi nama host, hentikan dan pertimbangkan apa yang baru Anda klik untuk membuka halaman masuk tersebut.

Aktifkan dua faktor otentikasi  jika tersedia pada setiap layanan yang Anda gunakan. GMail menyebut "verifikasi 2 langkah" ini dan Anda dapat menemukan cara mengaktifkannya di laman ini .

Mengaktifkan dua faktor otentikasi membuat penyerang lebih sulit masuk ke layanan yang Anda gunakan, bahkan jika mereka berhasil mencuri kata sandi Anda dengan menggunakan teknik ini. Saya ingin mencatat bahwa ada beberapa diskusi yang mengindikasikan bahwa bahkan dua faktor otentikasi mungkin tidak melindungi terhadap serangan ini. Namun saya belum melihat bukti konsep, jadi saya tidak bisa mengkonfirmasi ini.

Mengapa Google tidak akan memperbaikinya dan apa yang harus mereka lakukan

Tanggapan Google terhadap pelanggan yang menanyakan hal ini adalah sebagai berikut:

"Bilah alamat tetap menjadi salah satu dari beberapa komponen UI yang terpercaya dari peramban dan satu-satunya yang dapat diandalkan mengenai apa asal pengguna saat ini mengunjungi. Jika pengguna tidak memperhatikan address bar, serangan phishing dan spoofing - jelas - sepele. Sayangnya begitulah cara kerja web, dan setiap perbaikan yang akan mencoba misalnya mendeteksi halaman phishing berdasarkan tampilan mereka akan mudah dilalui dengan ratusan cara. Data: Bagian URL di sini tidak begitu penting karena Anda juga bisa melakukan phishing di halaman http [s] sama sekali. "

Ini kemungkinan orang yunior dalam organisasi berdasarkan kesalahan gramatikal. Saya tidak setuju dengan tanggapan ini karena beberapa alasan:

Google telah mengubah perilaku bilah alamat di masa lalu untuk menunjukkan warna protokol hijau saat laman menggunakan HTTPS dan ikon gembok untuk menunjukkan keamanannya.

Update: Bagaimana cara mengecek apakah akun Anda sudah dikompromikan

Saya sudah memiliki dua permintaan dalam komentar tentang hal ini jadi saya menambahkan bagian ini sekarang. (Pukul 09:39 waktu Pasifik, 12:39 am EST).

Tidak ada cara pasti untuk memeriksa apakah akun Anda telah disusupi. Jika ragu, ubah kata sandi anda dengan segera. Mengubah kata sandi Anda setiap beberapa bulan adalah praktik yang baik pada umumnya.

Jika Anda menggunakan GMail, Anda dapat memeriksa aktivitas masuk Anda untuk mengetahui orang lain masuk ke akun Anda. Kunjungi https://support.google.com/mail/answer/45938?hl=id untuk info. Untuk menggunakan fitur ini, gulir ke bagian bawah kotak masuk Anda dan klik "Rincian" (sangat kecil di sudut kanan bawah layar). Ini akan menunjukkan kepada Anda semua sesi aktif saat ini dan juga riwayat login terbaru Anda. Jika Anda melihat login aktif dari sumber yang tidak diketahui, Anda dapat memaksa untuk menutupnya. Jika Anda melihat riwayat masuk dalam riwayat Anda dari tempat yang tidak Anda ketahui, Anda mungkin telah diretas. [Thanks Ken , saya menyisipkan komentar Anda di sini hampir kata demi kata. Sangat membantu.]

Ada situs terpercaya yang dikelola oleh Troy Hunt yang merupakan peneliti keamanan terkenal di mana Anda dapat memeriksa apakah ada akun email Anda yang menjadi bagian dari kebocoran data. Situs Troy adalah  https://haveibeenpwned.com/  dan sudah dikenal di kalangan keamanan. Cukup masukkan alamat email anda dan tekan tombolnya.

Troy mengumpulkan data ke dalam database dan memberi Anda cara untuk mencari email Anda sendiri di database tersebut untuk mengetahui apakah Anda telah menjadi bagian dari pelanggaran data. Dia juga melakukan pekerjaan yang baik untuk benar-benar memverifikasi pelanggaran data yang dikirimnya.

0 komentar:

Posting Komentar