Serangan phishing canggih yang hampir menjebak para ahli keamanan siber

Baru-baru ini, sebuah kumpulan data raksasa yang berisi 16 miliar informasi pengguna menyebar di internet, yang mencakup baik data yang bocor sebelumnya maupun informasi login yang dicuri baru-baru ini. Meskipun sebagian besar adalah pengorganisasian ulang data lama, data yang diperbarui tetap mengkhawatirkan. Ini dianggap sebagai salah satu koleksi kebocoran akun tunggal terbesar dalam sejarah.

Hacker sedang memanfaatkan data ini untuk melancarkan berbagai serangan, saya menjadi salah satu target mereka.

Serangan phishing yang ditujukan pada perangkat dan akun pribadi saya pada 19 Juni adalah yang paling canggih yang saya temui dalam sepuluh tahun karir saya di bidang keamanan siber. Penyerang pertama-tama menciptakan ilusi bahwa akun saya diserang di beberapa platform, kemudian menyamar sebagai karyawan suatu platform perdagangan untuk memberikan "bantuan". Mereka menggabungkan teknik rekayasa sosial dengan taktik kolaboratif melalui SMS, telepon, dan email palsu, semua desain ditujukan untuk menciptakan rasa urgensi yang salah, kredibilitas, dan efek skala. Serangan palsu ini sangat luas dan memiliki otoritas yang tinggi, inilah yang menjadikan serangan ini sangat menipu.

Di bawah ini saya akan merinci proses serangan, menganalisis sinyal bahaya yang ada, serta langkah-langkah perlindungan yang saya ambil. Saya juga akan berbagi pelajaran kunci dan saran praktis untuk membantu investor melindungi diri mereka di lingkungan ancaman yang terus berkembang.

Data historis dan data yang baru-baru ini bocor dapat digunakan oleh peretas untuk melakukan serangan multikanal yang sangat terarah. Ini sekali lagi menegaskan pentingnya perlindungan keamanan berlapis, mekanisme komunikasi pengguna yang jelas, dan strategi respons waktu nyata. Baik pengguna institusi maupun individu dapat mengambil alat praktis dari kasus ini, termasuk protokol verifikasi, kebiasaan pengenalan nama domain, dan langkah-langkah respons yang dapat membantu mencegah kelalaian sejenak berkembang menjadi celah keamanan yang serius.

Pembajakan SIM Card

Serangan dimulai sekitar pukul 15:15 pada suatu sore, sebuah pesan anonim menyatakan bahwa seseorang sedang mencoba menipu operator seluler untuk membocorkan nomor telepon saya kepada orang lain, metode serangan ini dikenal sebagai pertukaran SIM.

Perlu dicatat bahwa informasi ini bukan berasal dari kode pendek, melainkan dari nomor telepon biasa yang terdiri dari 10 digit. Perusahaan resmi yang mengirim SMS biasanya menggunakan kode pendek. Jika Anda menerima SMS dari nomor panjang standar yang tidak dikenal dan mengaku sebagai perusahaan, kemungkinan besar itu adalah upaya penipuan atau phishing.

Informasi ini juga mengandung konten yang saling bertentangan. Pesan teks pertama menunjukkan bahwa kebocoran terjadi di Bay Area San Francisco, sementara pesan berikutnya mengatakan terjadi di Amsterdam.

Pertukaran SIM yang berhasil akan sangat berbahaya, karena penyerang dapat memperoleh kode verifikasi sekali pakai yang digunakan sebagian besar perusahaan untuk mereset kata sandi atau mengakses akun. Namun kali ini bukan pertukaran SIM yang sebenarnya, hacker sedang mempersiapkan untuk penipuan yang lebih canggih di masa mendatang.

Kode Verifikasi Sekali Pakai dan Reset Kata Sandi

Serangan kemudian meningkat, saya mulai menerima kode verifikasi sekali pakai yang diklaim berasal dari suatu platform pembayaran, yang dikirim melalui SMS dan aplikasi pesan instan. Ini membuat saya percaya bahwa seseorang sedang mencoba untuk masuk ke akun saya di berbagai platform keuangan. Berbeda dengan SMS dari operator yang mencurigakan, kode verifikasi ini benar-benar berasal dari kode pendek yang tampak sah.

Telepon Pancing

Sekitar lima menit setelah menerima pesan teks, saya menerima panggilan dari nomor California. Penelpon yang mengaku "Mason" berbicara dengan aksen Amerika yang kental, mengklaim berasal dari tim penyelidik sebuah platform perdagangan. Dia mengatakan dalam 30 menit terakhir, ada lebih dari 30 upaya untuk mereset kata sandi dan membobol akun melalui jendela obrolan platform. Menurut "Mason", yang disebut penyerang telah melewati verifikasi keamanan lapisan pertama untuk mereset kata sandi, tetapi gagal pada otentikasi lapisan kedua.

Dia memberi tahu saya bahwa pihak lain dapat memberikan empat digit terakhir dari KTP saya, nomor SIM lengkap, alamat rumah, dan nama lengkap, tetapi tidak dapat memberikan nomor KTP lengkap atau empat digit terakhir dari kartu bank yang terkait dengan akun. Mason menjelaskan bahwa inilah yang memicu peringatan tim keamanan platform, mendorong mereka untuk menghubungi saya untuk memverifikasi keaslian.

Perusahaan seperti bursa resmi tidak akan pernah menghubungi pengguna secara proaktif, kecuali jika Anda mengajukan permintaan layanan melalui situs resmi.

Pemeriksaan Keamanan

Setelah memberi tahu tentang "berita buruk" ini, Mason mengusulkan untuk melindungi akun saya dengan memblokir saluran serangan tambahan. Dia mulai dengan koneksi API dan dompet yang terhubung, mengklaim akan mencabut akses mereka untuk mengurangi risiko. Dia mencantumkan beberapa objek koneksi, termasuk platform perdagangan tertentu, alat analisis, dompet, dll., di mana beberapa di antaranya tidak saya kenal, tetapi saya mengasumsikan mungkin itu adalah yang pernah saya atur tetapi lupa.

Saat ini, kewaspadaan saya telah berkurang, bahkan merasa tenang karena "perlindungan aktif" dari platform.

Hingga saat ini, Mason belum meminta informasi pribadi, alamat dompet, kode verifikasi dua langkah, atau kata sandi sekali pakai, yang biasanya merupakan informasi yang sering diminta oleh penipu. Seluruh proses interaksi memiliki tingkat keamanan yang sangat tinggi dan bersifat preventif.

Taktik Tekanan Tersembunyi

Selanjutnya muncul upaya tekanan pertama, dengan menciptakan rasa urgensi dan kerentanan. Setelah menyelesaikan apa yang disebut "pemeriksaan keamanan", Mason mengklaim bahwa karena akun saya ditandai sebagai risiko tinggi, perlindungan untuk akun premium di platform telah dihentikan. Ini berarti bahwa aset dompet saya di platform tidak lagi dilindungi oleh asuransi, jika penyerang berhasil mencuri dana, saya tidak akan mendapatkan kompensasi apapun.

Sekarang, ketika saya memikirkan kembali, argumen ini seharusnya menjadi celah yang jelas. Berbeda dengan simpanan bank, aset kripto tidak pernah dilindungi oleh asuransi. Meskipun bursa mungkin menyimpan dolar pelanggan di bank yang diasuransikan, bursa itu sendiri bukanlah lembaga yang diasuransikan.

Mason juga memperingatkan bahwa hitungan mundur 24 jam telah dimulai, akun yang melewati batas waktu akan dikunci. Proses untuk membuka kunci akan rumit dan panjang. Yang lebih menakutkan, dia mengklaim jika penyerang mendapatkan nomor jaminan sosial saya secara lengkap selama periode ini, mereka bahkan dapat mencuri dana meskipun akun dalam keadaan beku.

Kemudian saya berkonsultasi dengan tim layanan pelanggan platform yang sebenarnya dan mengetahui bahwa mengunci akun adalah langkah keamanan yang mereka rekomendasikan. Proses membuka kunci sebenarnya sederhana dan aman: memberikan foto identitas dan swafoto, setelah platform memverifikasi identitas, akses dapat dipulihkan dengan cepat.

Kemudian saya menerima dua email. Email pertama adalah konfirmasi langganan berita platform, ini hanyalah email normal yang dipicu oleh penyerang melalui formulir resmi yang mengirimkan email saya. Ini jelas merupakan upaya untuk membingungkan penilaian saya dengan email resmi, untuk meningkatkan kredibilitas penipuan.

Email kedua yang lebih mengganggu datang dari alamat yang tampaknya merupakan domain resmi platform, menyatakan bahwa perlindungan akun premium saya telah dibatalkan. Email yang tampaknya berasal dari domain resmi ini sangat menyesatkan - jika berasal dari domain yang mencurigakan, bisa dengan mudah terdeteksi, tetapi karena terlihat sebagai alamat resmi, jadi terlihat nyata dan dapat dipercaya.

Tindakan Perbaikan yang Disarankan

Mason kemudian mengusulkan untuk memindahkan aset saya ke dompet multisig yang disebut "Vault" untuk memastikan keamanan. Dia bahkan meminta saya untuk mencari dan merujuk dokumen resmi, untuk membuktikan bahwa ini adalah layanan resmi platform selama bertahun-tahun.

Saya menyatakan tidak ingin melakukan perubahan besar seperti itu sebelum penyelidikan yang memadai. Dia menyatakan pengertian dan mendorong saya untuk melakukan penelitian dengan cermat, sambil mendukung saya untuk terlebih dahulu menghubungi penyedia layanan untuk mencegah pertukaran SIM. Dia menyebutkan akan menelepon kembali dalam 30 menit untuk melanjutkan langkah-langkah berikutnya. Setelah panggilan berakhir, saya segera menerima pesan teks yang mengonfirmasi panggilan dan janji ini.

Panggilan Kembali dan "Vault"

Setelah memastikan tidak ada upaya pemindahan SIM di operator, saya segera mengubah semua kata sandi akun. Mason menelepon kembali seperti yang dijanjikan, kami mulai mendiskusikan langkah selanjutnya.

Saat ini saya telah memverifikasi bahwa "Vault" memang merupakan layanan nyata yang ditawarkan oleh platform tersebut, ini adalah solusi kustodian yang meningkatkan keamanan melalui otorisasi multi-tanda tangan dan penarikan yang tertunda selama 24 jam, tetapi bukan dompet dingin mandiri yang sebenarnya.

Mason kemudian mengirimkan tautan domain yang tampaknya terkait, mengklaim dapat memeriksa ulang pengaturan keamanan yang dibahas dalam panggilan awal. Setelah pemeriksaan selesai, aset dapat dipindahkan ke Vault, saat ini keahlian saya dalam keamanan siber akhirnya berfungsi.

Setelah memasukkan nomor kasus yang dia berikan, halaman yang terbuka menampilkan apa yang disebut "Koneksi API yang Dihapus" dan tombol "Buat Vault". Saya segera memeriksa sertifikat SSL situs web, dan menemukan bahwa nama domain yang terdaftar hanya satu bulan tidak ada hubungannya dengan platform. Meskipun sertifikat SSL biasanya dapat menciptakan ilusi legalitas, sertifikat perusahaan yang sah selalu memiliki kepemilikan yang jelas, penemuan ini membuat saya segera menghentikan operasi.

Platform resmi dengan jelas menyatakan bahwa mereka tidak akan pernah menggunakan domain non-resmi. Bahkan jika menggunakan layanan pihak ketiga, itu harus dalam bentuk subdomain. Setiap operasi yang melibatkan akun harus dilakukan melalui aplikasi resmi atau situs web.

Saya menyampaikan keraguan kepada Mason, menekankan bahwa saya hanya bersedia beroperasi melalui aplikasi resmi. Dia berargumen bahwa operasi melalui aplikasi akan menyebabkan penundaan 48 jam, sementara akun akan dikunci setelah 24 jam. Saya sekali lagi menolak keputusan terg匆, kemudian dia menyatakan akan meningkatkan kasus ini ke "tim dukungan tingkat tiga" untuk mencoba memulihkan perlindungan akun premium saya.

Setelah menutup telepon, saya terus memverifikasi keamanan akun lain, perasaan tidak nyaman semakin kuat.

"Tim Dukungan Tingkat Tiga" menerima panggilan

Sekitar setengah jam kemudian, telepon dari nomor Texas. Seorang penutur dengan aksen Amerika mengaku sebagai penyelidik tingkat tiga, yang sedang menangani permohonan pemulihan akun saya. Dia mengklaim membutuhkan waktu tujuh hari untuk meninjau, selama periode itu akun tetap tidak terjamin. Dia juga "perhatian" menyarankan untuk membuka beberapa Vault untuk aset di berbagai rantai, terlihat profesional, tetapi sebenarnya tidak pernah menyebutkan aset spesifik, hanya secara samar merujuk pada "Ethereum, Bitcoin, dan lain-lain."

Dia menyebutkan akan mengajukan permohonan ke departemen hukum untuk mengirim rekaman obrolan, lalu mulai mempromosikan Vault. Sebagai alternatif, dia merekomendasikan dompet pihak ketiga bernama SafePal, meskipun SafePal memang merupakan dompet perangkat keras yang sah, tetapi ini jelas merupakan pengantar untuk menipu kepercayaan.

Ketika saya kembali meragukan nama domain yang mencurigakan, pihak lain masih mencoba menghilangkan keraguan. Pada saat ini, penyerang mungkin menyadari bahwa usaha mereka sulit untuk berhasil, akhirnya menyerah pada serangan phishing kali ini.

Hubungi layanan pelanggan asli platform

Setelah mengakhiri percakapan dengan customer service palsu kedua, saya segera mengajukan permohonan melalui saluran resmi. Perwakilan customer service yang sebenarnya dengan cepat mengonfirmasi bahwa akun saya tidak ada permintaan login yang tidak biasa atau reset kata sandi.

Dia menyarankan untuk segera mengunci akun dan mengumpulkan rincian serangan untuk diserahkan kepada tim investigasi. Saya telah memberikan semua nama domain penipuan, nomor telepon, dan jalur serangan, serta secara khusus menanyakan tentang masalah izin pengirim dari alamat email yang tampak resmi. Layanan pelanggan mengakui bahwa ini sangat serius dan berjanji bahwa tim keamanan akan menyelidiki secara menyeluruh.

Saat menghubungi layanan pelanggan bursa atau kustodian, pastikan untuk menggunakan saluran resmi. Perusahaan yang sah tidak akan pernah menghubungi pengguna secara proaktif.

Ringkasan Pengalaman

Meskipun saya beruntung tidak tertipu, sebagai mantan profesional keamanan siber, pengalaman hampir terjebak kali ini membuat saya merasa sangat tidak nyaman. Jika bukan karena pelatihan profesional, saya mungkin sudah tertipu. Jika hanya panggilan dari orang asing biasa, saya pasti akan langsung memutuskan telepon. Justru karena tindakan berantai yang dirancang dengan cermat oleh penyerang, menciptakan rasa urgensi dan otoritas, membuat penipuan ini sangat berbahaya.

Saya merangkum sinyal bahaya dan saran perlindungan berikut, semoga dapat membantu investor dalam menjaga keamanan dana di lingkungan jaringan saat ini.

Sinyal Bahaya

Kolaborasi Pembuatan Alarm Palsu untuk Menciptakan Kekacauan dan Urgensi

Penyerang pertama-tama mengirimkan serangkaian peringatan pertukaran SIM dan permintaan kode verifikasi sekali pakai dari berbagai layanan ( yang dikirimkan secara bersamaan melalui SMS dan perangkat lunak komunikasi instan ), secara sengaja menciptakan ilusi bahwa beberapa platform sedang diserang secara bersamaan. Informasi ini kemungkinan besar hanya memerlukan nomor ponsel dan email saya untuk memicu, dan informasi ini sangat mudah didapat. Pada tahap ini, saya percaya penyerang belum menguasai data akun yang lebih mendalam.

Kode pendek dan nomor telepon biasa dicampur

Informasi phishing dikirim menggunakan kombinasi kode pendek SMS dan nomor telepon biasa. Meskipun perusahaan biasanya menggunakan kode pendek untuk komunikasi resmi, penyerang dapat memalsukan atau menggunakan kembali kode pendek ini. Namun, perlu dicatat bahwa layanan resmi tidak akan pernah menggunakan nomor telepon biasa untuk mengirimkan peringatan keamanan. Pesan dari nomor dengan panjang standar harus selalu dipertanyakan.

Diharuskan untuk beroperasi melalui domain yang tidak resmi atau tidak dikenal

Penyerang meminta saya untuk mengakses