Gizmologi
Situs Berita Gadget dan Teknologi Indonesia

Mengenal Penipuan Cybersquatting dan Cara Menghindari

0 68

Para pengguna internet biasanya mengandalkan nama-nama domain pada saat melakukan pencarian situs web brand, layanan, profesional, atau situs web personal. Inilah yang saat ini dimanfaatkan oleh para pelaku kejahatan siber cybersquatting dalam membuat jebakan yang patut diwaspadai.

Para penjahat ini membuat domain dengan menggunakan nama yang mirip atau mendekati domain brand-brand terkemuka. Mereka mengambil keuntungan dari para pengguna yang melakukan kesalahan akibat ketidakcermatan dalam mengenali nama domain yang seharusnya. Tindakan yang dilakukan oleh para pelaku kejahatan siber ini dikenal sebagai Cybersquatting.

Tujuan dari melakuan squatting domain adalah untuk mengelabuhi para pengguna internet agar percaya bahwa brand yang sesungguhnya sedang mereka cari. Misalnya untuk Netflix dibuat dengannama-nama domain yang menyerupai seperti netflix-payments[.]com, atau mengambil keuntungan dari pengguna yang melakukan kesalahan pengetikan, misalnya whatsalpp[.]com untuk WhatsApp.

Menurut Zhanhao Chen dan Janos Szurdi dari Unit 42, Palo Alto Networks, meskipun saat ini cybersquatting tidak selalu bahaya bagi para pengguna internet, namun upaya ini termasuk ilegal di Amerika Serikat. Sebab squatting domain seringkali dilakukan untuk tujuan penyerangan atau tindak kejahatan siber.

Sistem pelacak squatting dari Palo Alto Networks menemukan 13.857 squatting domain telah teregistrasi pada Desember 2019, atau rata-rata 450 squatting domain teregistrasi setiap harinya. Palo Alto Networks menemukan sebanyak 2.595 (18,59%) nama-nama squatting domain berbahaya, kerap mendistribusikan malware atau menyebarkan serangan phishing. Ditemukan juga sebanyak 5.104 (36,57%) squatting domain yang berdasarkan hasil studi menghadirkan risiko tinggi bagi pengguna yang mengunjunginya. Artinya, terdapat bukti dari kumpulan URL-URL berbahaya di dalam domain tersebut atau menggunakan bulletproof hosting.

Palo Alto Networks juga membuat pemeringkatan Top 20 domain-domain yang paling banyak disalahgunakan pada Desember 2019 berdasarkan tingkat bahayanya yang berarti bahwa sebuah domain atau yang terkait dengan domain-domain squatting atau sebagian besar domain-domain squatting ini terkonfirmasi berbahaya. Palo Alto Networks menemukan bahwa pembuat domain-domain squatting mengincar target-target yang menguntungkan, seperti media sosial dan search engines populer, finansial, situs web bank maupun perbelanjaan, di mana para penggunanya merupakan target pencurian dokumen-dokumen yang sangat penting atau uang melalui phishing dan scam.

Tujuan Bikin Domain Berbahaya, Termasuk Cybersquatting

koneksi internet First Media
Ilustrasi (Foto: 123rf/Andriy Popov)

Dari Desember 2019 hingga sekarang, Palo Alto Networks telah mengamati sejumlah domain-domain berbahaya dengan berbagai tujuan:

  • Phishing: sebuah domain dengan menyatut nama Wells Fargo (secure-wellsfargo[.]org) menarget pelanggan Well Fargo. Tujuannya adalah untuk mencuri informasi-informasi pelanggan yang penting dan rahasia, seperti credential email dan PIN ATM. Juga ditemukan sebuah domain yang menyatut nama Amazon (amazon-india[.]online) merupakan jebakan untuk pencurian data-data penting pelanggan, terutama menarget para pengguna mobile di India.
  • Penyebaran Malware: sebuah domain yang menyatut nama Samsung (samsungeblyaiphone[.]com) meng-hosting malware Azorult untuk melakukan pencurian informasi-informasi kartu kredit.
    Command & Control (C2): domain-domain menyatut nama Microsoft (microsoft-store-drm-server[.]com dan microsoft-sback-server[.]com) mencoba melakukan serangan C2 untuk mengganggu jaringan keseluruhan.
  • Re-bill scam: beberapa situs phishing yang menyatut nama Netflix (seperti netflixbrazilcovid[.]com) melakukan jebakan untuk melakukan pencurian uang terhadap korban. Modusnya, pelaku kejahatan menawarkan kepada korban untuk berlangganan produk penurun berat badan dengan pembayaran awal dalam jumlah yang tidak besar. Namun, apabila pengguna tidak membatalkan langganan tersebut setelah periode promosi berakhir, biaya dalam jumlah yang lebih besar akan ditagihkan ke kartu kredit mereka, biasanya jumlahnya berkisar antara $50-$100.
  • Potentially unwanted program (PUP): domain-domain yang menyatut Walmart (walrmart44[.]com) dan Samsung (samsungpr0mo[.]online) ditemukan menyebarkan PUP, seperti spyware, adware atau browser extension. Mereka biasanya melakukan perubahan yang tidak diinginkan, seperti mengubah halaman default browser atau membajak browser untuk memasukkan iklan. Sebagai catatan, domain Samsung terlihat seperti situs web berita pendidikan Australia yang resmi.
  • Technical support scam: domain-domain yang menyatut Microsoft (seperti microsoft-alert[.]club) mencoba menakut-nakuti pengguna agar membayar ke support pelanggan yang kenyataannya palsu.
  • Reward scam: sebuah domain ditemukan menyatut nama Facebook (facebookwinners2020[.]com) melakukan scamming dengan menawarkan kepada pengguna sejumlah rewards, seperti pemberian produk-produk secara gratis atau bahkan uang. Untuk bisa melakukan klaim atas hadiah-hadiah tersebut, pengguna harus mengisi data-data personal seperti tanggal lahir, nomor telepon, pekerjaan dan jumlah penghasilan ke dalam formulir yang disediakan.
  • Domain parkting: sebuah domain yang menyatut RBC Royal Bank (rbyroyalbank[.]com) memanfaatkan layanan parkir populer, Parking Crew, untuk menghasilkan keuntungan berdasarkan berapa banyak pengguna yang membuka situs dan meng-klik iklan.

Untuk mendeteksi squatting domain, Palo Alto Networks mengembangkan sistem otomatis untuk menangkap kampanye-kampanye yang muncul dari domain yang baru terdaftar, serta dari data DNS pasif (pDNS). Kami mengidentifikasi domain squat yang berbahaya dan mencurigakan dan menetapkannya ke kategori yang sesuai (seperti phishing, malware, C2, atau grayware).

Perusahaan disarankan untuk melakukan pemblokiran dan memantau lalu lintas mereka dengan cermat, terutama yang berpotensi cybersquatting. Sedangkan konsumen harus memastikan bahwa mereka mengetik nama domain dengan benar dan memeriksa ulang apakah pemilik domain terpercaya sebelum memasuki situs apa pun.

Teknik-Teknik CyberSquatting

ransomware WannaCryTeknik cybersquatting ternyata cukup banyak variannya. Termasuk typosquatting, combosquatting, level-squatting, bitsquatting dan homograph-squatting. Para aktor kejahatan dapat menggunakan teknik-teknik ini untuk mendistribusikan malware atau untuk melakukan kegiatan-kegiatan penipuan dan phishing.

Typosquatting 

Typosquatting adalah salah satu jenis penyalahgunaan pendaftaran domain yang paling umum. Typosquatters sengaja mendaftarkan varian yang salah eja (seperti whatsalpp [.] Com) dari nama-nama domain yang menjadi target (whatsapp[.]com).

Tujuan cybersquatting jenis ini adalah untuk mengambil keuntungan dari kesalahan pengguna dalam menulis atau untuk mengecoh para pengguna agar percaya bahwa situs yang mereka kunjungi adalah benar. Teknik typosquatting yang paling sering dilakukan adalah dengan melakukan satu edit jarak atau menyisipkan satu huruf dari domain asli pada domain squatting. Sebab, ini merupakan kesalahan yang paling umum dan paling sering terlewatkan oleh pengguna. Untuk informasi lebih lanjut, dapat merujuk ke riset akademik tentang scale dan malicious use typosquatting.

Combosquatting 

Combosquatting adalah penyalahgunaan pendaftaran yang menggabungkan merek dagang populer dengan kata-kata seperti “security”, “payment”, atau “verification”. Domain gabungan seperti netflix-payments[.]com sering digunakan dalam email phishing, oleh situs web yang dibangun untuk scam, dan untuk serangan manipulasi psikologis untuk meyakinkan pengguna bahwa mereka mengunjungi konten web yang dikelola oleh merek dagang yang ditargetkan. Berikut adalah riset akademik yang dapat menjadi rujukan lebih lanjut tentang combosquatting.

Domain homograf-squatting 

Teknik ini memanfaatkan nama-nama domain internasionalisasi (IDN) yang membolehkan karakter-karakter Unicode (seperti microsofŧ[.]com). Penyerang biasanya mengganti satu atau lebih karakter di domain target dengan karakter yang secara visual mirip dari bahasa lain.

Domain ini dapat dibedakan dengan sempurna dari targetnya, seperti dalam kasus apple.com, di mana huruf Inggris “a” (U + 0061) diganti dengan huruf Cyrillic “а” (U + 0430). Rujukan berikut menarik untuk menambah pemahaman Anda tentang homograf-squatting IDNs.

Domain Sound-squatting 

Teknik ini memanfaatkan homofon, yaitu kata-kata yang terdengar serupa (misalnya, weather dan whether). Penyerang dapat mendaftarkan varian homophone dari domain populer, seperti 4ever21[.]com untuk forever21[.]com. Karena perangkat lunak text-to-speech seperti Siri dan Google Assistant menjadi lazim, maka akan makin banyak pengguna menjadi rentan terhadap penyalahgunaan domain Sound-squatting. Berikut adalah riset akademik tentang sound-squatting yang dapat menjadi rujukan.

Domain Bitsquatting 

Teknik ini memiliki karakter yang berbeda dalam satu bit (seperti micposoft[.]com) dari karakter yang sama dengan domain sah yang ditargetkan (microsoft[.]com). Bitsquatting dapat menguntungkan penyerang karena kesalahan perangkat keras dapat menyebabkan bit-flip acak di memori tempat nama domain disimpan sementara. Jadi, meskipun pengguna mengetik domain yang benar, mereka mungkin masih diarahkan ke domain yang berbahaya. Meskipun kesalahan perangkat keras seperti itu biasanya jarang terjadi. Makalah penelitian akademis telah menunjukkan hal itu.

Contoh domain level-squaating seperti pada kasus safety.microsoft.com.mdmfmztwjj.l6kan7uf04p102xmpq[.]bid,yang menyertakan nama domain brand-brand yang ditargetkan sebagai subdomain. Dalam contoh ini, korban serangan phishing mungkin percaya bahwa mereka mengunjungi safety.microsoft.com, padahal yang terjadi sesungguhnya adalah hal sebaliknya, mereka mengunjungi situs web penyerang.

Serangan ini sangat mengkhawatirkan bagi pengguna seluler karena bar alamat browser mungkin tidak cukup lebar untuk menampilkan seluruh nama domain. Untuk penjelasan lebih lanjut dapat merujuk ke penjelasan berikut.