Facebook iFrame Phishing

27 Januari 2016
Facebook Phishing 2016
Pencuri password dengan teknik iFrame
Rupanya bukan hanya pembuat smartphone yang harus selalu mengupdate teknologinya dan meluncurkan produk baru supaya para pengguna tergoda untuk mengganti smartphonenya dan mengganti dengan perangkat baru. Para pembuat malware seperti ransomwarepun selalu mengupdate kemampuannya supaya bisa mendapatkan korban lebih banyak. Tidak terkecuali para phisher yang mengincar korban pengguna Facebook yang selama ini mengincar kredensial akun Facebook guna dipakai untuk menyebarkan materi iklan dan menjaring korban phishing dari akun Facebook yang lain. Akun Facebook yang menjadi korban phishing akan digunakan untuk melakukan tagging, posting link phishing ke FB group / page,yang diikutinya guna menjaring lebih banyak lagi korban akun Facebook lain sekaligus juga digunakan untuk mencari keuntungan dengan menampilkan link iklan.
Di tahun 2015 aksi phishing ini tidak sulit di identifikasi karena ia akan muncul dalam bentuk popup seperti yang diutarakan pada artikel Vaksincom di http://www.vaksin.com/0116-facebook-porn-2016 (lihat gambar 1 di bawah ini)
Gambar 1, Phishing site pencuri password Facebook akhir 2015

Menginjak tahun 2016, baru beberapa minggu saja, para phisher sudah menggunakan teknik baru yang lebih canggih guna mengelabui korbannya. Jika pada proses phishing sebelumnya terjadi perubahan yang cukup kasat mata karena terjadi pergantian dari situs Facebook ke situs di luar Facebook dan terkadang disertai peringatan dari Facebook bahwa anda berpindah situs keluar dari Facebook. Dengan teknik baru iframe di FB page yang telah dipersiapkan dan dirancang sedemikian rupa, perubahan ini tidak kentara dan pengaksesnya akan tidak menyadari kalau tautan Facebook yang di kliknya tadi melakukan page forwarding ke situs lain di luar Facebook.
Seperti biasa tema konten akan dibuat tentunya sedemikian menariknya sehingga korbannya seperti kerbau dicocok hidung dan rela mengikuti apa saja yang diperintahkan. (lihat gambar 2)
Gambar 2, Posting Facebook pencuri password dengan teknik iframe

Dengan uraian yang menggoda :

OMG! Have you ever seen the video of Miss Colombia have s@x with her boyfriend … watch the video quickly before it deleted
https://www.facebook.com/MissColombia-1659906564296771/app/190322544333196/

Dimana jika tautan tersebut di klik ia akan membuka FB page Miss Columbia yang telah dipersiapkan (lihat gambar 3), namun page tersebut akan segera di forwardkan untuk membuka ke page lain yang telah dipersiapkan untuk meminta kredensial Facebook anda di http://askgi*ls.net/fbconnect7.php. (lihat gambar 4)
Gambar 3, Facebook Page yang telah dipersiapkan untuk melakukan forwarding ke situs phishing
Gambar 4, Situs phishing yang telah dipersiapkan

Proses web forwarding ini berjalan secara otomatis dan jika tidak memperhatikan dengan seksama maka user akan mengira bahwa situs phishing ini memang benar dari Facebook. Lab Vaksincom juga menemui versi yang lebih canggih lagi dimana situs phisher yang digunakan untuk webforward bukan saja memiliki tampilan yang mirip dengan Facebook tetapi juga memiliki nama domain yang sangat mirip yaitu http://faceebookl.com (lihat gambar 5)
Gambar 5, Phisher juga menggunakan alamat domain yang sangat mirip dengan Facebook

Thema Porno, Perang Siria dan Terorisme
Salah satu kunci keberhasilan malware adalah rekayasa sosial yang menarik. Terkadang malware yang biasa-biasa saja, namun memiliki rekayasa sosial yang canggih malah lebih berhasil dari malware lain yang lebih canggih namun tidak di dukung rekayasa sosial yang baik. Phisher ini menggunakan banyak tema guna menarik calon korbannya seperti konten klasik yang diminati banyak pengguna internet, pornografi dengan judul Video hot girl Manila beautiful in hotel (lihat gambar 6), meskipun sebenarnya gambar yang digunakan kemungkinan adalah gambar AV Idol Jepang.
Gambar 6, Konten klasik pornografi digunakan untuk menjerat korbannya

Selain itu konten perang dan terorisme juga digunakan pada posting dengan judul :

(video) In the fight against terorism, the Syrian army has freed Sheikh Maskin, a strategic town in the province of Deraa.. 
https://facebook.com/pages/655926/72425873/958528167573101?sk=app_190322544333196&ref=s
(lihat gambar 7)
Gambar 7, Rekayasa sosial dengan konten terorisme dan perang di Siria juga digunakan oleh pembuat malware

Dimana tautan yang diberikan adalah
https://facebook.com/pages/655926/72425873/958528167573101?sk=app_190322544333196&ref=s yang jika di klik akan melakukan auto forward ke alamat situs phishing
http://faceebookl.com/ii/video*/x2/ seperti pada gambar 5 di atas.

Korban dari Indonesia cukup tinggi
Berdasarkan data yang dikumpulkan oleh Laboratorium virus Vaksincom, korban phishing ini cukup tinggi dan meskipun umurnya pendek, hanya hitungan minggu sudah dibasmi oleh administrator Facebook, namun setiap posting biasanya memberikan keuntungan finansial iklan yang cukup besar bagi pembuatnya. Sebagai contoh posting “Video hotgirl Manila in hotel” yang sampai artikel ini dibuat masih aktif total kliknya mencapai 24.536. Kelihatannya sasaran pengguna internet yang dituju adalah pengguna internet Filipina terlihat dari pengakses dari Filipina sebanyak 9.484 atau 39 %, namun rupanya pengguna internet Indonesia juga tidak mau kalah dan tertarik mengklik tautan yang diberikan dan berada diposisi kedua dengan total akses sebanyak 4.356 atau 18 %. (lihat gambar 8)
Gambar 8, Indonesia berada dalam peringkat 2 korban phishing Facebook “Video hotgirl Manila”

Apa yang harus dilakukan jika akun anda dibajak ?
Jika akun Facebook anda dibajak dan menyebarkan posting yang merugikan, jangan di diamkan karena teman-teman anda di Facebook ataupun di group dan FB page berpotensi menjadi korban postingan yang merugikan tersebut. Informasikan hal ini kepada rekan anda dan segera ambil alih akun Facebook anda. Jika anda melihat akun teman anda melakukan posting yang mencurigakan, hindari klik tautan tersebut dan informasikan kepada teman anda melalui media lain seperti Whatsapp atau email karena kemungkinan besar akun Facebooknya sudah diambil alih.
Facebook menyediakan seabrek pengamanan tambahan untuk akun Facebook anda seperti Login Alerts, Login Approvals, Code Generator, App Passwords, Trusted Contacts dan seabrek fitur tambahan lain yang bisa diakses dari https://www.facebook.com/settings?tab=security setelah anda login ke akun Facebook anda. (lihat gambar 9)
Gambar 9, Setting Sekuriti Facebook untuk mengamankan akun anda

Hubungi vendor sekuriti anda untuk mendapatkan tips mengamankan akun Facebook dengan baik.
Salam,

Alfons Tanujaya
info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: