.webp)
Menurut data yang didapatkan dari G Data, setidaknya tiga institusi situs internet banking bank pemerintah terbesar masuk dalam incaran GOZ dan penggunanya berpotensi untuk mengalami kerugian atas aksi ini.
Walaupun pembuat GOZ diyakini memiliki kemampuan program yang mumpuni, tentunya mereka akan menghindari menyerang server internet banking yang dijaga dengan ketat oleh administrator.
SCROLL TO CONTINUE WITH CONTENT
Mungkin Anda menyamakan aksi ini dengan phishing yang mulai marak beredar disebarkan melalui email. Perlu diketahui bahwa yang Anda hadapi bukanlah phisher biasa namun GOZ yang karena kerumitan dan kecanggihannya tidak cukup berhadapan dengan perusahaan sekuriti tetapi melibatkan langsung ahli cybercrime dari FBI, Europol dan NCA ( National Crime Agency).
Jangan pandang remeh GOZ dan menyamakan dengan aksi phishing dan rekayasa sosial yang menjadi mantra utama kejahatan e-commerce lainnya karena kalau Anda menyamakan GOZ dengan aksi phishing lainnya.
Ibarat membandingkan Maleficent dengan tiga peri pelindung Aurora: Knotgrass, Flittle dan Thistletwit dalam film Maleficent, beda kelas dan beda kesaktiannya.
Sebagai gambaran, teknik dasar phishing internet banking yang biasa digunakan adalah memberikan penampakan alamat situs internet banking yang resmi namun ketika diklik membawa ke situs internet banking abal-abal guna mencuri kredensial dan akan mudah dideteksi oleh pengguna jika teliti memperhatikan alamat situs internet banking/e-commerce yang dikunjunginya.
Sedangkan GOZ tidak melakukan phishing melainkan injeksi web. Jadi alamat situs internet banking yang dikunjungi tidak berubah, namun tanpa disadari oleh korban.
GOZ memiliki kemampuan mengubah isi situs e-commerce atau internet banking yang dikunjungi dan mengambil data kredensial penting yang dimasukkan dengan teknik LoadInjectScript.
Teknik Phishing Konvensional
Dalam contoh aktivitas email phishing internet banking yang banyak di terima Vaksincom, sebagai contoh pesan phishing yang diberikan akan memberikan tampilan alamat situs internet banking yang resmi (lihat gambar 1).
Tetapi jika tautan tersebut diklik ia akan mengarahkan ke situs phishing yang telah dipersiapkan (lihat gambar 2). Gambar 1 berlokasi di lokal karena datang dalam lampiran email dengan tautan yang beralamat di h**ps://ibank.k****ca.com/ dan alamat tersebut memang merupakan alamat resmi internet banking bank yang bersangkutan.
Tetapi jika tautan tersebut diklik, tautan situs yang akan ditampilkan langsung diarahkan ke situs phishing dengan alamat domain di h**ps://pigames.info dan bukan h**ps://ibank.k****ca.com.
Β
Gambar 1: Situs pancingan yang akan datang dalam lampiran email dengan alamat resmi internet banking.
Β
Gambar 2: Situs phishing yang telah dipersiapkan untuk mencuri kredensial.
Trik di atas rasanya sudah cukup untuk mengelabui pengguna internet awam yang kurang hati-hati dan tidak memperhatikan alamat situs yang dikunjunginya ketika melakukan aktivitas internet banking.
Karena itulah jika Anda menggunakan internet banking, harap ekstra hati-hati dan jangan pernah mengklik tautan yang diberikan baik dari email ataupun situs yang tidak diketahui kredibilitasnya.
Jika Anda sudah berhati-hati dan tidak tertipu dengan teknik tipuan phishing di atas, ibaratnya tipuan level Knotgrass, Flittle dan Thistletwit. Saatnya Anda kami kenalkan dengan tipuan yang lebih sakti lagi kalau mengikuti film yang sedang populer tipuan level Maleficent.
Perkenalkan, GOZ alias Gameover Zeus yang memiliki kemampuan injeksi pada situs web yang Anda kunjungi. Tanpa mengubah alamat situs yang dikunjungi, ia mampu mencuri kredensial yang Anda masukkan pada situs e-commerce, internet banking atau Facebook (sekalipun) jika diinginkan oleh pembuatnya.
Lebih hebatnya lagi, jika phishing konvensional perlu melakukan broadcast email dengan rekayasa sosial yang menarik supaya korbannya tertipu mengunjungi situs phishing yang telah dipersiapkan, GOZ tidak perlu melakukan hal ini karena ia mampu menginjeksi peramban dan aktif pada peramban yang dia gunakan dimana secara otomatis GOZ melakukan pengecekan pada semua alamat situs yang Anda kunjungi.
Dan jika ia mendapatkan bahwa user mengunjungi situs yang mengandung kredensial yang berharga seperti situs internet banking, e-commerce dan situs yang memiliki kredensial yang menarik, secara otomatis ia akan melakukan aksi injeksi pada situs yang Anda kunjungi guna mendapatkan kredensial yang dimasukkan.
Menurut catatan Vaksincom yang bersumber dari G Data Bankguard, menggunakan teknologi Bankguard, selain situs internet banking internasional yang dipantau oleh GOZ, 3 situs internet banking Indonesia yang dipantau oleh Gameover Zeus dan ditemukan dalam badan malware GOZ adalah:
-. bankman**ri.co.id
-. bnidir**t.co.id
-. ibank.*ri.co.id
Catatan
Data ini hanya memberikan fakta bahwa tiga domain di atas hanya menjadi target pantauan Gameover Zeus dan tidak menunjukkan kerentanan atau ancaman pada server atau layanan internet banking tiga server di atas.
Data tersebut didapatkan langsung dari ekstraksi kode malware yang didapatkan oleh G Data Bankguard. Ancaman kebocoran data mungkin terjadi tidak pada server internet banking yang bersangkutan tetapi pada komputer lokal yang terinfeksi Game Over Zeus.
Karena itu, jika Anda menggunakan internet banking dan layanan e-commerce lainnya Anda disarankan menggunakan teknologi yang dapat mencegah injeksi peramban yang berakibat pada kebocoran kredensial hasil injeksi.
Seluruh produk G Data sudah memiliki teknologi Bankguard yang mampu mendeteksi injeksi file .dll peramban / browser anda oleh semua trojan internet banking seperti Gameover Zeus, Citadel, Sinowal, Tatanga, Zeus dan trojan lainnya. Untuk informasi lebih lengkap mengenai Bankguard bisa didapatkan dari https://www.virusicu.com/product/bankguard.php
Merekrut Money Mule
Jika berhasil mendapatkan kredensial korbannya dan melakukan transfer, tentunya kriminal cyber tidak bodoh melakukan transfer langsung ke rekeningnya.
Kalau di Indonesia yang administrasi kependudukannya kurang baik sehingga tidak sulit untuk memiliki banyak KTP dan membuka banyak rekening bank untuk menampung hasil kejahatan.
Malahan ada aktivitas jual beli rekening bank yang lengkap dengan kartu ATM untuk menampung hasil kejahatan yang pernah dibahas Vaksincom pada artikel Jokowi Pun Dicatut Situs Jual Beli Rekening Bank Aspal.
Namun hal ini tidak terjadi di negara dengan administrasi kependudukan yang baik dan sangat sulit memiliki lebih dari satu tanda pengenal. Karena itu kriminal memanfaatkan jasa yang dikenal dengan istilah money mule.
Memanfaatkan jaringan spam Cutwail kriminal cyber menyebarkan informasi lowongan pekerjaan part time dari rumah dengan gaji menggiurkan.
Bagi pelamar yang tertarik ditawarkan kompensasi yang menggiurkan dan mereka akan diminta untuk membuka rekening bank guna menampung uang hasil kejahatan yang dilakukan GOZ dan kejahatan online lainnya dan setiap transfer yang dilakukan akan mendapatkan komisi yang besar.
Namun, tidak diketahui oleh money mule ini bahwa ia menjadi kaki tangan penjahat untuk menampung uang haram dan nantinya harus berurusan dengan pihak yang berwajib.
Bagaimana Mengetahui Anda Terinfeksi Game Over Zeus?
Jika Anda tidak menggunakan program pengamanan transaksi internet banking dan e-commerce seperti G Data Bankguard yang mampu mendeteksi dan menangkal 99% trojan internet banking namun ingin mengetahui apakah komputer Anda terinfeksi oleh Gameover Zeus, bisa mengunjungi online situs deteksi Gameover Zeus yang dipersembahkan oleh F-Secure di http://campaigns.f-secure.com/en_global/zeus/ols/ (lihat gambar 3)
Β
Gambar 3: Online checking Gameover Zeus Infection by F-Secure.
Mengingat Indonesia memiliki lebih dari 7.000 kasus infeksi GOZ di bulan Juni 2014, tidak ada salahnya mencoba melakukan pengecekan gratis tersebut.
Jika Anda menemukan infeksi Gameover Zeus atau malware lain pada jaringan segera hubungi bagian IT atau vendor penyedia layanan sekuriti perusahaan Anda untuk mencegah aksi jahat malware seperti GOZ yang menginfeksikan Cryptolocker pada komputer-komptuer korbannya.
*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.
(ash/ash)
Tautan telah disalin