Keuntungan Finansial Iklan Mendanai Vietnam Rose

31 Juli 2015
Keuntungan Finansial Iklan Mendanai Vietnam Rose
Pada era 1990-an motivasi pembuat malware cukup idealis, ada yang memang ingin mencoba proof of conceptnya atau membuktikan bahwa ia mampu membobol pertahanan suatu sistem lalu kebablasan karena virusnya ternyata menyebar jauh lebih luas dari yang diperkirakan. Ada pula yang karena iseng mencoba programming dan membuat virus untuk mengaktualisasikan dirinya dan membanggakan daerah atau kampusnya. Ada lagi yang karena cintanya ditolak lalu membuat virus, ibarat pepatah dijaman internet, Cinta Ditolak Virus Bertindak. Namun zaman sudah berubah dan  malware yang dibuat mayoritas sudah memiliki motivasi yang sama, mendapatkan keuntungan finansial. Yang jelas-jelas mencari keuntungan finansial adalah Ransomware yang akan meminta uang tebusan untuk mendekripkan data yang disandera. Namun kali ini yang akan menjadi bahan bahasan adalah Vietnam Rose yang dalam bulan Juli 2015 memakan korban yang masif khususnya para Facebooker Indonesia (lihat gambar 1).
Gambar 1, Vietnam Rose in Action

Banyak korban pemilik akun Facebook yang tidak tahu menahu bagaimana akunnya bisa melakukan posting vulgar tersebut dan sasaran posting ini selain wall akun yang bersangkutan juga mengincar FB Group yang diikuti oleh akun tersebut dengan cara sharing post secara masif. Akibatnya banyak administrator yang dengan berat hati melakukan kebijakan meremove akun Facebook yang melakukan posting porno tersebut. Gambar vulgar yang dipostingkan juga akan memberikan dampak yang kurang baik jika dilihat oleh anak di bawah umur.
Jika diperhatikan dengan seksama, Vietnam Rose melakukan posting melalui apps Facebook dengan nama “Blackberry Smartphones App” dan menyertakan gambar vulgar untuk menarik perhatian korbannya. Tidak lupa diberikan judul yang menarik di bawah gambar termasuk berapa banyak view atas gambar tersebut. Namun perlu anda ketahui bahwa baik judul, uraian dan view facebook tersebut bukanlah teks tetapi merupakan capture gambar yang merupakan satu kesatuan dengan gambar yang ditampilkan. Sehingga dapat kita pastikan bahwa jumlah view pada gambar tersebut adalah palsu dan hanya bertujuan untuk membuat korbannya percaya seakan-akan sudah ada ratusan ribu orang melihat gambar / video tersebut.

Indonesia merupakan korban terbesar Vietnam Rose

Dari data yang dikumpulkan oleh laboratorium Vaksincom terlihat bahwa mayoritas korban Vietnam Rose ini adalah Facebooker dari Indonesia (> 35 %). Dari 3 sampel awal saja dimana jika gambar pada posting FB di klik akan mengarahkan pada link URL shortener goo.gl dan varian berikutnya sempat menggunakan link bit.ly yang diarahkan ke situs tertentu yang telah dipersiapkan dan mayoritas menggunakan domain .info :
Dari ketiga sampel situs tersebut rata-rata klik yang di dapatkan per posting adalah 3.000 – 7.000 klik per posting. Jika dalam sehari Vietnam Rose bisa melakukan 20 variasi posting maka rata-rata per hari pembuat Vietnam Rose mendapatkan 100.000 klik (20 posting X 5.000 klik). OS yang digunakan untuk mengklik posting tersebut mayoritas Android (> 60 %) dan lebih dari 35 % korbannya adalah dari Indonesia. (lihat tabel 2 dan gambar 3). Sebagai catatan, selain Android, OS Windows, iPhone, Blackberry dan iPad juga tercatat sebagai OS yang menjadi korban Vietnam Rose.
Tabel 2, Statistik korban Vietnam Rose
Gambar 3, Indonesia merupakan negara korban Vietnam Rose terbesar di dunia sebesar > 35 %

Motivasi Finansial

Jika melihat dari situs akhir yang menjadi tujuan posting ini, diperkirakan bahwa pembuat Vietnam Rose ini mendapatkan keuntungan finansial dari tayangan iklan, dimana pada situs akhir yang dituju rata-rata menampilkan blog yang penuh dengan iklan (lihat gambar 4 dan 5). Jika 10 % saja dari 100.000 klik mengakses iklan yang ditampilkan, tentunya cukup besar keuntungan finansial yang didapatkan oleh pembuat Vietnam Rose.
Gambar 4, Salah satu blog yang menjadi tujuan akhir Vietnam Rose

Kebanyakan iklan internet yang muncul akan menyesuaikan dengan asal IP pengaksesnya dimana jika pengaksesnya di deteksi berasal dari Indonesia maka ia akan menampilkan pemasang iklan dari Indonesia (lihat gambar 5). Bagi pemasang iklan terkadang hal ini menjadi masalah yang memusingkan, khususnya jika iklan yang dipasang muncul pada situs dengan konten berbahaya / dewasa atau situs yang menarik pengakses dengan cara yang tidak etis dan menggunakan teknik malware seperti Vietnam Rose ini. Sebenarnya situs yang memunculkan iklan ini adalah situs biasa dan tidak memiliki konten berbahaya, namun cara situs ini mendapatkan pengakses dari web forward oleh Vietnam Rose ini yang tidak etis dan Vaksincom menyarankan para pengiklan untuk berhati-hati dan memperhatikan hal ini serta memasukkan klausul ini pada saat pemasangan iklan sehingga perusahaan pemasang iklan memperhatikan hal ini dan tidak terjadi di kemudian hari karena akan berakibat negatif pada image perusahaan. (Vaksincom tidak menyatakan kalau pemilik situs atau pemasang iklan  memiliki hubungan dengan pembuat Vietnam Rose, hanya saja malware Vietnam Rose akan memforwardkan korban pengaksesnya ke situs ini).
Gambar 5, Iklan yang ditampilkan oleh situs yang diforwardkan oleh Vietnam Rose terkadang menampilkan iklan dari perusahaan Indonesia

Mencuri kredensial Facebook

Menurut pengamatan Vaksincom, secara teknis posting melalui “Blackberry Smartphones App” ini tidak membocorkan kredensial (username dan password) dari akun Facebook korbannya karena memang Facebook sudah melindungi kredensial akun penggunanya sedemikian rupa sehingga meskipun apps bisa melakukan posting atas nama pemilik akun, namun kredensial tetap aman dan tidak bisa diketahui oleh pemilik apps. Namun, Vaksincom menemukan beberapa posting Vietnam Rose yang berbeda dan ternyata ada beberapa posting yang tidak dilakukan melalui apps “Blackberry Smartphones App” ternyata mengarahkan korbannya pada situs palsu untuk mencuri kredensial akun Facebook korbannya, baik yang mengakses Facebook dari komputer atau smartphone.
Adapun contoh posting yang mencuri kredensial bisa di dapatkan pada gambar 6 di bawah ini, mohon maaf atas sensor yang terpaksa dilakukan untuk gambar yang vulgar dan melindungi korban akun Facebook yang dieksploitasi oleh Vietnam Rose :
Gambar 6, Posting Vietnam Rose pencuri password

Jika diperhatikan dengan seksama, posting yang dilakukan pada gambar 6 di atas tidak seperti posting lain dan bukan dilakukan oleh apps “Blackberry Smartphones App” dan jika di klik, ia tidak akan mengarahkan ke situs iklan melainkan ke situs phishing pencuri password yang telah dipersiapkan. Jika korbannya mengakses melalui smartphone Android, maka layar berikut yang akan muncul adalah pesan error, seakan-akan server mengalami masalah dengan pesan :

“System error occurred. Would you please Log back !”

Seperti pada gambar 7 di bawah ini.
Gambar 7, Pesan system error

Harapan pembuat situs palsu ini adalah korbannya percaya bahwa ada kesalahan pada sistem, lalu layar berikut yang akan muncul adalah layar permintaan login ulang dengan tampilan yang sangat mirip dengan layar login Facebook seperti yang tampak pada gambar 8 untuk smartphone dan gambar 9 untuk PC.
Gambar 8, Layar phishing smartphone pencuri password Facebook
Gambar 9, Layar phishing Vietnam Rose pencuri password Facebook pada PC

Jika pengaksesnya teliti, sebenarnya layar phishing tersebut sangat terang benderang karena alamat situs yang menampilkan layar login adalah travelnewfan7.info dan bukan facebook.com. Trik ini sebenarnya trik yang tidak terlalu canggih dan jika pengakses Facebook teliti tentunya ia akan bisa mengidentifikasi bahwa situs ini adalah situs Phishing. Namun melihat banyaknya akun Facebook yang berhasil dibajak, kelihatannya cukup banyak pengguna Facebook yang tertipu (mayoritas akun Facebook Vietnam) dan memasukkan kredensialnya ke situs pencuri password ini. Dalam perkembangannya, pembuat Vietnam Rose akan menggunakan kredensial yang didapatkan untuk membuat group baru yang kemudian akan digunakan untuk melakukan spam posting porno guna mendapatkan keuntungan finansial dari iklan. Dan disini yang dikorbankan ada dua :
  • Pertama pemilik akun Facebook yang dicuri dimana kemungkinan besar akunnya akan diblokir oleh Facebook
  • Kedua adalah pemilik akun Facebook yang digunakan sebagai sarana untuk spam sharing posting porno ke FB Group-group Facebook.
Sebagai catatan, secara teknis korban pertama diperkirakan mengalami kebocoran kredensial dan korban kedua tidak mengalami kebocoran kredensial. Namun jika anda pernah mengalami hal ini tidak ada ruginya mengganti kredensial Facebook yang anda miliki dengan password yang baik dan Vaksincom menyarankan anda untuk mengaktifkan TFA Two Factor Authentication yang sudah tersedia di Facebook.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800

Share by: