Akankah Sinkronisasi Zeus menyebabkan Gameover Token

11 Maret 2015
Akankah Sinkronisasi Zeus
menyebabkan
Gameover Token
Gameover Zeus
Zeus, Zues atau Zbot adalah trojan komputer yang berjalan pada OS Microsoft Windows dan memiliki kemampuan untuk melakukan bnayak aksi kriminal seperti mencuri data kredensial penting dengan teknik man in the browser attack, key logging dan form grabbing. Pertama kali di identifikasi July 2007 dan digunakan untuk mencuri data Departemen Transportasi Amerika dan menyebar secara meluas pada Maret 2009. Pada bulan Juni 2009 Prevx memperkirakan Zeus menguasai lebih dari 74.000 akun FTP pada banyak situs penting seperti Bank of America, Nasa, Monster.com, ABC, Oracle, Cisco, Amazon dan Business Week.
Gameover Zeus (GoZ) sendiri dibangun dari komponen Zeus pada tahun 2011 dengan penyempurnaan di banyak aspek seperti komunikasi menggunakan jaringan Peer to Peer yang terenkripsi antara komputer yang terinfeksi botnet dengan C2 (server komando) dan menjadikannya sebagai salah satu jaringan botnet yang paling banyak beredar saat ini. Gameover Zeus juga berada di belakang penyebaran Cryptolocker yang jika berhasil menginfeksi korbannya akan melakukan enkripsi (mengacak) semua dokumen penting di komputer yang menjadi korbannya dengan kunci / metode khusus dan hanya bisa dikembalikan (dekripsi) dengan kunci dekripsi yang hanya dimiliki oleh pembuat malware. Untuk mendapatkan kunci dekripsi ini korbannya harus membayarkan sejumlah uang melalui bitcoin. Kontroller GoZ dapat menyetel botnet yang disebarkannya dan melakukan hal yang sebelumnya sulit dilakukan jaringan botnet konvensional lain seperti mencuri informasi hanya yang memiliki nilai komersial seperti kredensial login dari akun media sosial, email, online banking dan menurut Netwitness, kredensial yang paling banyak dicuri oleh GoZ adalah Facebook, Yahoo, Amazon dan Netlog.
Pada bulan Juni 2014, pemerintah Amerika berkoordinasi dengan agensi internasional lain menjalankan Operasi Tovar dan berhasil memotong sementara komunikasi utama antara GoZ dengan server komando utamanya sekaligus memberikan kabar baik bagi korban Cryptolocker karena server Cryptolocker berhasil diakses dan kunci dekripsi korban Cryptolocker dibagikan secara gratis. Namun posisi ransomware Cryptolocker yang lumpuh karena servernya dihentikan segera digantikan oleh ransomware lain dan salah satunya adalah CTB Locker yang memakan ribuan korban di Indonesia pada pertengahan Januari 2015. Pada bulan Februari 2015, aktor intelektual di balik GoZ Evgeniv Bogachev menjadi buruan FBI yang mengadakan sayembara hadiah 3 juta dolar bagi siapapun yang bisa memberikan informasi untuk menangkap Evgeniv Bogachev.
Indonesia termasuk ke dalam negara dengan infeksi GoZ yang cukup parah dan selalu berada dalam 10 besar sebagai negara dengan jumlah infeksi botnet GoZ terbanyak.

Sinkronisasi Token
Sinkronisasi token sebenarnya adalah salah satu bagian dari sistem administrasi token untuk menyamakan antara waktu token dengan waktu server PIN dan hanya dilakukan jika ada ketidak cocokan PIN otorisasi yang dikeluarkan oleh token dengan server PIN. Hal ini rupanya dengan cerdik dieksploitasi oleh kriminal.
Kasus pemaksaan “sinkronisasi token” yang terjadi pada pengguna internet banking beberapa bank besar di Indonesia membuka mata para pengguna internet banking bahwa sistem T-FA Two Factor Authentication yang selama ini digunakan untuk melindungi nasabah internet banking ternyata bisa dieksploitasi jika memiliki trojan sekelas GoZ. Kalau trojan dengan keylogger biasa saja tidak akan mampu mengeksploitasi para pengguna internet banking karena sistem OTP One Time Password yang digunakan dapat mengamankan transaksi yang dilakukan melalui internet banking dengan baik. Jadi sekalipun keylogger berhasil merekam PIN transaksi yang digunakan untuk otorisasi transaksi internet banking, PIN transaksi tersebut tidak akan berguna karena hanya bisa digunakan sekali dan tidak akan bisa digunakan untuk otorisasi transaksi lain. Untuk mendapatkan PIN transaksi OTP, hanya server PIN internet banking dan token internet banking yang mengetahui urutan PIN yang sah dan lebih amannya lagi, PIN otorisasi transaksi yang tidak digunakan memiliki masa kadaluarsa yang sangat singkat yang ditentukan oleh time step, sebagai gambaran jika time step ditentukan 30 detik dan toleransi time step ditentukan 2 kali, maka waktu kadaluarsa PIN otorisasi transaksi yang tidak digunakan adalah 89 detik. Artinya, setelah 89 detik PIN otorisasi transaksi dikeluarkan oleh Token, maka otomatis PIN tersebut hangus. Perlu menjadi catatan kalau time step ini bisa diperpanjang namun makin panjang time step, maka resiko eksploitasi PIN otorisasi makin besar. Hal ini berlaku bagi salah satu bank yang tidak menggunakan token PIN dan menggunakan PIN otorisasi yang dikirimkan melalui SMS dalam jumlah lebih dari 1 dengan time step yang sangat panjang.

Lalu apa bedanya GoZ dengan trojan  / keylogger konvensional lainnya sehingga mampu melakukan otorisasi transaksi tanpa perlu memiliki token PIN ?

Rahasianya adalah pada kemampuan komunikasi dua arah dimana GoZ memiliki kemampuan untuk mengubah trojan yang tertanam di komputer korban dan menyesuaikan dengan kondisi korbannya. Jika trojan / keylogger konvensional memiliki kemampuan untuk merekam setiap ketukan keyboard komputer korbannya, maka pada komputer yang menggunakan internet banking dimana untuk login ke akun internet banking tidak membutuhkan OTP dan cukup “username” dan “password” yang terkadang di save pada peramban yang digunakan untuk mengakses internet banking, maka akses maksimal yang bisa di dapatkan menggunakan trojan konvensional adalah login ke akun internet banking tersebut dan melakukan transaksi non finansial seperti mengecek saldo dan mutasi saja. Sedangkan untuk melakukan transaksi seperti pembelian, pembayaran atau transfer tidak akan bisa dilakukan karena membutuhkan OTP.
Lain halnya engan GoZ, dengan berbekal informasi kredensial yang di dapatkan di atas, kriminal bisa mengakses data saldo dan menentukan sasaran akun yang memiliki saldo besar untuk diincarnya. Sekali menentukan sasaran tembaknya maka ia akan mengirimkan trojan baru yang sudah dimodifikasi sesuai dengan kondisi korbannya melalui C2 (command center). Sebagai contoh korbannya adalah pengguna internet banking bank ABC, maka trojan yang dikirimkan akan memonitor akses pengguna komputer ke bank ABC melalui peramban dan langsung melakukan webinject, dalam kasus ini ia akan menampilkan pop up dengan logo dan desain yang tentunya serupa dengan logo bank ABC meminta sinkronisasi token supaya korbannya tidak curiga, karena konyol juga jika internet banking bank ABC lalu pop up sinkronisasi token yang muncul berlogo bank Doraemon.
Sebagai catatan, sinkronisasi token hanyalah salah satu kreativitas yang digunakan oleh kriminal guna mendapatkan PIN otorisasi pendaftaran rekening baru dan PIN otorisasi transaksi dan kemungkinan rekayasa yang lain tidak terbatas. Karena itu para pengguna internet banking harus selalu waspada untuk tidak pernah memberikan PIN transaksinya dengan alasan apapun.
Satu hal yang mengkhawatirkan Vaksincom adalah jika GoZ mampu menipu korbannya untuk melakukan transaksi palsu dimana sebenarnya korbannya yang berniat melakukan transfer di giring untuk melakukan transfer pada situs internet banking palsu yang dirancang sedemikian rupa untuk mendapatkan PIN otorisasi lalu PIN tersebut langsung digunakan untuk melakukan transaksi pada situs internet banking yang sebenarnya oleh kriminal.

Gameover Token ?
Pertanyaan terakhir tentunya, apakah pengamanan dengan token dan OTP sudah memasuki senjakala  atau gameover ?
Melihat perkembangan di negara lain, OTP masih tetap dipergunakan. Namun ada perbedaan yang besar dengan Indonesia dimana mayoritas negara-negara maju memiliki administrasi kependudukan yang baik dan tidak mudah untuk membuat kartu tanda pengenal ganda. Sedangkan di Indonesia sampai saat ini tidak sulit untuk membuat tanda pengenal ganda. Hal ini akan memberikan dampak pada maraknya kejahatan kerah putih dimana dengan tanda pengenal palsu kriminal dapat membuka akun dan menguangkan uang hasil kejahatannya melalui ATM dan setiap kali ia ingin melakukan aksinya ia tinggal membuka akun baru dengan tanda pengenal baru. Hal ini malah dipermudah dengan maraknya jual beli rekening Aspal dimana dengan membayar harga sekitar 1 – 2 juta rupiah sudah mendapatkan rekening Aspal siap pakai lengkap dengan kartu ATM yang tinggal digunakan untuk menarik uang hasil kejahatan.
Selain itu, antisipasi yang tepat perlu dilakukan oleh pihak bank dimana jika hal ini di diamkan, tinggal menunggu waktu saja ledakan fraud internet banking akan terjadi karena sampai hari ini masih ada lebih dari 4.000 komputer di Indonesia yang terinfeksi GoZ.
Salam,

Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: