.webp)
Pada era 1990-an motivasi pembuat malware cukup idealis, ada yang memang ingin mencoba proof of concept-nya atau membuktikan bahwa ia mampu membobol pertahanan suatu sistem lalu kebablasan karena virusnya ternyata menyebar jauh lebih luas dari yang diperkirakan.
Ada pula yang karena iseng mencoba programming dan membuat virus untuk mengaktualisasikan dirinya dan membanggakan daerah atau kampusnya. Ada lagi yang karena cintanya ditolak lalu membuat virus, ibarat pepatah di jaman internet, Cinta Ditolak Virus Bertindak.
Namun zaman sudah berubah dan malware yang dibuat mayoritas sudah memiliki motivasi yang sama, mendapatkan keuntungan finansial. Yang jelas-jelas mencari keuntungan finansial adalah Ransomware yang akan meminta uang tebusan untuk mendekripkan data yang disandera.
SCROLL TO CONTINUE WITH CONTENT
Gambar 1: Vietnam Rose in Action.
Banyak korban pemilik akun Facebook yang tidak tahu menahu bagaimana akunnya bisa melakukan posting vulgar tersebut dan sasaran posting ini selain wall akun yang bersangkutan juga mengincar FB Group yang diikuti oleh akun tersebut dengan cara sharing post secara masif. Akibatnya banyak administrator yang dengan berat hati melakukan kebijakan me-remove akun Facebook yang melakukan posting porno tersebut. Gambar vulgar yang dipostingkan juga akan memberikan dampak yang kurang baik jika dilihat oleh anak di bawah umur.
Jika diperhatikan dengan seksama, Vietnam Rose melakukan posting melalui apps Facebook dengan nama “Blackberry Smartphones App” dan menyertakan gambar vulgar untuk menarik perhatian korbannya. Tidak lupa diberikan judul yang menarik di bawah gambar termasuk berapa banyak view atas gambar tersebut. Namun perlu Snda ketahui bahwa baik judul, uraian dan view Facebook tersebut bukanlah teks tetapi merupakan capture gambar yang merupakan satu kesatuan dengan gambar yang ditampilkan.
Sehingga dapat kita pastikan bahwa jumlah view pada gambar tersebut adalah palsu dan hanya bertujuan untuk membuat korbannya percaya seakan-akan sudah ada ratusan ribu orang melihat gambar/video tersebut.
Indonesia Korban Terbesar Vietnam Rose
Dari data yang dikumpulkan oleh laboratorium Vaksincom terlihat bahwa mayoritas korban Vietnam Rose ini adalah Facebooker dari Indonesia (>35 %). Dari 3 sampel awal saja dimana jika gambar pada posting FB di klik akan mengarahkan pada link URL shortener goo.gl dan varian berikutnya sempat menggunakan link bit.ly yang diarahkan ke situs tertentu yang telah dipersiapkan dan mayoritas menggunakan domain .info:
-. http://khamphadulich.info/bo**irlunstram12/15.html
-. http://travelnewfan.info/goo**ike12/11.html
-. http://travelnewfan.info/goo**ike11/3.html
Dari ketiga sampel situs tersebut rata-rata klik yang didapatkan per posting adalah 3.000 – 7.000 klik per posting. Jika dalam sehari Vietnam Rose bisa melakukan 20 variasi posting maka rata-rata per hari pembuat Vietnam Rose mendapatkan 100.000 klik (20 posting x 5.000 klik). OS yang digunakan untuk mengklik posting tersebut mayoritas Android (>60 %) dan lebih dari 35% korbannya adalah dari Indonesia. (lihat tabel 2 dan gambar 3). Sebagai catatan, selain Android, OS Windows, iPhone, Blackberry dan iPad juga tercatat sebagai OS yang menjadi korban Vietnam Rose.
Tabel 2: Statistik korban Vietnam Rose.
Gambar 3: Indonesia merupakan negara korban Vietnam Rose terbesar di dunia sebesar >35 %.
Motivasi Finansial
Jika melihat dari situs akhir yang menjadi tujuan posting ini, diperkirakan bahwa pembuat Vietnam Rose ini mendapatkan keuntungan finansial dari tayangan iklan, dimana pada situs akhir yang dituju rata-rata menampilkan blog yang penuh dengan iklan (lihat gambar 4 dan 5). Jika 10% saja dari 100.000 klik mengakses iklan yang ditampilkan, tentunya cukup besar keuntungan finansial yang didapatkan oleh pembuat Vietnam Rose.
Gambar 4: Salah satu blog yang menjadi tujuan akhir Vietnam Rose.
Kebanyakan iklan internet yang muncul akan menyesuaikan dengan asal IP pengaksesnya dimana jika pengaksesnya dideteksi berasal dari Indonesia maka ia akan menampilkan pemasang iklan dari Indonesia (lihat gambar 5). Bagi pemasang iklan terkadang hal ini menjadi masalah yang memusingkan, khususnya jika iklan yang dipasang muncul pada situs dengan konten berbahaya/dewasa atau situs yang menarik pengakses dengan cara yang tidak etis dan menggunakan teknik malware seperti Vietnam Rose ini.
Sebenarnya situs yang memunculkan iklan ini adalah situs biasa dan tidak memiliki konten berbahaya, namun cara situs ini mendapatkan pengakses dari web forward oleh Vietnam Rose ini yang tidak etis dan Vaksincom menyarankan para pengiklan untuk berhati-hati dan memperhatikan hal ini serta memasukkan klausul ini pada saat pemasangan iklan sehingga perusahaan pemasang iklan memperhatikan hal ini dan tidak terjadi di kemudian hari karena akan berakibat negatif pada image perusahaan. (Vaksincom tidak menyatakan kalau pemilik situs atau pemasang iklan memiliki hubungan dengan pembuat Vietnam Rose, hanya saja malware Vietnam Rose akan mem-forward-kan korban pengaksesnya ke situs ini).
Gambar 5: Iklan yang ditampilkan oleh situs yang diforwardkan oleh Vietnam Rose terkadang menampilkan iklan dari perusahaan Indonesia.
Mencuri Kredensial Facebook
Menurut pengamatan Vaksincom, secara teknis posting melalui “Blackberry Smartphones App” ini tidak membocorkan kredensial (username dan password) dari akun Facebook korbannya karena memang Facebook sudah melindungi kredensial akun penggunanya sedemikian rupa sehingga meskipun apps bisa melakukan posting atas nama pemilik akun, namun kredensial tetap aman dan tidak bisa diketahui oleh pemilik apps.
Namun Vaksincom menemukan beberapa posting Vietnam Rose yang berbeda dan ternyata ada beberapa posting yang tidak dilakukan melalui apps “Blackberry Smartphones App” ternyata mengarahkan korbannya pada situs palsu untuk mencuri kredensial akun Facebook korbannya, baik yang mengakses Facebook dari komputer atau smartphone.
Adapun contoh posting yang mencuri kredensial bisa didapatkan pada gambar 6 di bawah ini, mohon maaf atas sensor yang terpaksa dilakukan untuk gambar yang vulgar dan melindungi korban akun Facebook yang dieksploitasi oleh Vietnam Rose.
Gambar 6: Posting Vietnam Rose pencuri password.
Jika diperhatikan dengan seksama, posting yang dilakukan pada gambar 6 di atas tidak seperti posting lain dan bukan dilakukan oleh apps “Blackberry Smartphones App” dan jika diklik, ia tidak akan mengarahkan ke situs iklan melainkan ke situs phishing pencuri password yang telah dipersiapkan. Jika korbannya mengakses melalui smartphone Android, maka layar berikut yang akan muncul adalah pesan error, seakan-akan server mengalami masalah dengan pesan: “System error occurred. Would you please Log back!” seperti pada gambar 7 di bawah ini.
Gambar 7: Pesan system error.
Harapan pembuat situs palsu ini adalah korbannya percaya bahwa ada kesalahan pada sistem, lalu layar berikut yang akan muncul adalah layar permintaan login ulang dengan tampilan yang sangat mirip dengan layar login Facebook seperti yang tampak pada gambar 8 untuk smartphone dan gambar 9 untuk PC.
Gambar 8: Layar phishing smartphone pencuri password Facebook.
Gambar 9: Layar phishing Vietnam Rose pencuri password Facebook pada PC.
Jika pengaksesnya teliti, sebenarnya layar phishing tersebut sangat terang benderang karena alamat situs yang menampilkan layar login adalah travelnewfan7.info dan bukan facebook.com. Trik ini sebenarnya trik yang tidak terlalu canggih dan jika pengakses Facebook teliti tentunya ia akan bisa mengidentifikasi bahwa situs ini adalah situs Phishing.
Namun melihat banyaknya akun Facebook yang berhasil dibajak, kelihatannya cukup banyak pengguna Facebook yang tertipu (mayoritas akun Facebook Vietnam) dan memasukkan kredensialnya ke situs pencuri password ini. Dalam perkembangannya, pembuat Vietnam Rose akan menggunakan kredensial yang didapatkan untuk membuat group baru yang kemudian akan digunakan untuk melakukan spam posting porno guna mendapatkan keuntungan finansial dari iklan. Dan di sini yang dikorbankan ada dua:
-. Pertama pemilik akun Facebook yang dicuri dimana kemungkinan besar akunnya akan diblokir oleh Facebook.
-. Kedua adalah pemilik akun Facebook yang digunakan sebagai sarana untuk spam sharing posting porno ke FB group-group Facebook.
Sebagai catatan, secara teknis korban pertama diperkirakan mengalami kebocoran kredensial dan korban kedua tidak mengalami kebocoran kredensial. Namun jika Anda pernah mengalami hal ini tidak ada ruginya mengganti kredensial Facebook yang Anda miliki dengan password yang baik dan Vaksincom menyarankan anda untuk mengaktifkan TFA Two Factor Authentication yang sudah tersedia di Facebook.
*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.
(ash/ash)
