615.000 Pengguna Facebook Terjebak Phising Melalui Shortlink Bitly


Perusahaan keamanan ThreatNix menemukan adanya kampanye iklan Facebook palsu yang digunakan untuk melakukan tindak kriminal menyebarkan phising secara besar-besaran. Aktor phising ini menggunakan tautan pemendek URL Bitly yang sudah ditujukan ke halaman Github.

Target serangan phising ini mengarah ke negara Nepal, Philipina, Mesir, Pakistan, Mongolia, Tunisia, Iraq, Norway, Malaysia dan Algeria. Berdasarkan data yang dibocorkan ada sejumlah 615.000 pengguna Facebook yang sudah menjadi korban atas pemalsuan iklan Facebook ini.

Kampanye penyebaran phising ditemukan menggunakan postingan dengan halaman Facebook yang memalsukan entitas setempat dengan target yang sudah ditentukan. ThreatNix menemukan sample pertama, yaitu aktor memalsukan halaman Facebook Nepal Telecom, penyedia telekomunikasi berbahasa Nepal. Semua tampilan tampak mirip sekali dengan aslinya dan sulit dibedakan.

Menurut ThreatNix, tujuan aktor penjahat ini melakukan penyamaran agar tidak dicurigai dan akan mudah menangkap data korban dengan nama entitas lokal terbesar. Sebab biasanya pengguna Facebook langsung akan mempercayainya bahwa halaman Facebook tersebut adalah asli.

Aktor ancaman siber ini mengincar informasi sensitif berupa email, password, id Facebook, IP Address, negara, tanggal dan jam dari korban yang berhasil terperangkap jebakan phising.

Facebook-Informasi-Sensitif-Phising

Teknik langka dan mungkin baru pertama kali ditemukan adalah penyebaran phising dengan shortlink Bitly lalu diarahkan ke situs Github statis yang berisi panel Facebook untuk login. Panel login yang sudah dimodifikasi akan menerima data login milik korban yang meneruskan kedua sumber, yaitu database Firestore dan domain milik aktor ancaman siber tersebut.

Sebenarnya Facebook sudah memiliki alat yang mendeteksi tautan apakah situs tersebut adalah phising, scam atau berisi malware dan jika itu terdeteksi maka secara otomatis akan langsung terhapus. Dalam beberapa kasus seperti penyebaran malware yang pernah dilakukan oleh APT32 domain yang digunakan langsung dibanned permanen.

Namun untuk masalah baru ini, aktor ancaman siber mengakali dengan memperpendek tautan phising Facebook menggunakan Bitly. Facebook akan mempercayai tautan pertama adalah Bitly yang itu adalah aman untuk disebarkan, akan tetapi ketika iklan sudah disetujui, aktor penjahat ini mengubahnya ke situs Github yang berisi halaman login Facebook palsu.

Github-Phising

"Kami menemukan setidaknya 500 Github repository yang berisi halaman login Facebook palsu yang merupakan bagian kampanye dengan aktor pelaku yang sama. Semua repository ini dibuat dengan akun baru tanpa identitas apapun dan beberapa halaman Github sudah dihapus oleh pemiliknya. Halaman paling awal dibuat pada 5 bulan yang lalu tetapi sudah dihapus." tulis ThreatNix.

Setelah identifikasi terkait sumber tautan URL, ternyata pelaku phising menyebarkan kampanye penyebaran phising yang melalui penyedia web hosting populer, GoDaddy yang dibuat pada tanggal 3 April 2020. Selain itu ada empat domain lain yang diketahui milik pelaku semua.

"Kami sedang berupaya membongkar infrastruktur phising dengan bekerja sama bersama otoritas terkait. Kami akan memberikan informasi selengkapnya dengan melacak lebih lanjut kampanye aktor  ancaman siber. Tampaknya ini adalah serangan canggih berskala besar." tulis ThreatNix.