Kaspersky Ungkap Penipuan Baru di Internet
- iStock
VIVA.co.id - Perusahaan solusi keamanan internet, Kaspersky Lab, mengungkap sindikat penipuan baru di jagat maya. Kaspersky menyebutkan, tindak kejahatan tersebut menggunakan Windows Live ID, sebagai umpan untuk mendapatkan informasi pribadi dari korban.
Informasi para korban yang disimpan dalam profil pengguna, seperti di Xbox LIVE, Zune, Hotmail, MSN, Messenger, dan OneDrive, akan dicomot oleh para penipu di dunia maya ini.
Kaspersky menemukan, para penipu ini mencoba melakukan kejahatannya melalui email yang akan dikirim tautan pada akun Windows Live ID. Email tersebut, nantinya akan mengarahkan pengguna untuk mengikuti tautan agar diklik dan memperbarui keamanan layanan tersebut.
Hal ini terdengar sangat mirip dengan email phishing kebanyakan. Korban diharapkan untuk mengklik tautan yang akan membawa mereka ke situs palsu yang meniru halaman Windows Live resmi.
"Data yang mereka masukkan akan dikirim ke scammers. Yang membuat para ahli kami terkejut bahwa tautan dari email penipuan ini memang menuju ke situs Windows Live dan tidak ada upaya nyata untuk mendapatkan login dan password korban," tulis Kaspersky dalam keterangan tertulis, Rabu, 27 Mei 2015.
Dengan demikian, bila pengguna mengikuti tautan pada email dan berhasil melakukan verifikasi akun di situs resmi live.com. Maka, pengguna menerima prompt yang mencurigakan dari layanan, seperti sebuah aplikasi meminta izin untuk secara otomatis login ke akun, melihat informasi profil, daftar kontak dan akses ke daftar alamat e-mail pribadi dan pekerjaan dari pengguna.
"Scammers mendapatkan akses untuk teknik ini melalui kelemahan keamanan dari protokol terbuka untuk otorisasi, OAuth," tulis Kaspersky.
Pengguna yang mengklik "Ya", tidak memberikan identitas login dan passwordnya, tetapi mereka memberikan informasi pribadi mereka, alamat email dari kontak mereka serta nama panggilan dan nama asli dari teman-teman mereka.
"Juga memungkinkan untuk mendapatkan izin untuk mengakses parameter lain, seperti daftar janji dan event. Informasi penting ini paling mungkin untuk digunakan untuk tujuan penipuan, seperti mengirim spam ke kontak dalam buku alamat korban atau meluncurkan serangan spear phishing," kata Kaspersky.
Terendus awal 2014
Andrey Kostin, Senior Web Content Analyst Kaspersky Lab, mengemukakan, perusahaannya mengetahui kelemahan keamanan dalam protokol OAuth sejak awal 2014. Ia mengatakan, pada saat itu seorang mahasiswa dari Singapura, menjelaskan cara untuk mencuri data pengguna setelah otentikasi.
"Namun, ini adalah pertama kalinya kami menemukan penipu yang menggunakan email phishing untuk melaksanakan teknik ini dalam praktek," kata Kostin.
Disebutkan scammer dapat menggunakan informasi yang dicegat untuk membuat gambar rinci pengguna, termasuk informasi tentang apa yang mereka lakukan, siapa yang mereka temui dan siapa teman-teman mereka, dll. Profil ini kemudian dapat digunakan untuk tujuan kriminal.
Untuk itu, Kaspersky Lab menyarankan, jaringan sosial yang menggunakan protokol OAuth untuk menghindari penggunaan pengalihan terbuka dari situs. Kemudian, buatlah daftar aman dari alamat yang dapat dipercaya untuk pengalihan dengan menggunakan OAuth. Sebab, penipu bisa saja melakukan akses kembali tersembunyi ke situs berbahaya pada sebuah aplikasi yang berhasil menyerang dan mengubah parameter 'redirect_uri'.
Selain itu, perusahaan asal Rusia ini juga memberikan sejumlah rekomendasi dalam mengatasi ancaman penipuan di dunia maya tersebut. Di antaranya, jangan mengikuti tautan yang diterima melalui email atau pesan pribadi di situs jejaring sosial, jangan memberikan hak untuk mengakses data pribadi Anda kepada aplikasi yang tidak diketahui.
Lalu, pastikan pahami hak akses akun dari setiap aplikasi bila menemukan bahwa aplikasi sudah mendistribusikan spam atau tautan berbahaya atas nama Anda.
"Anda dapat mengirim keluhan ke administrasi situs jejaring sosial atau layanan web dan aplikasi tersebut akan diblokir. Pastikan Anda selalu memperbaharui database dari software antivirus dan perlindungan terpadu anti-phishing."
(mus)