Teknogav.com – Perusahaan di bidang keamanan siber, Palo Alto Networks memiliki tim intelijen Unit 42 yang bertugas memantau ancaman di dunia maya. Seiring dengan merebaknya Covid-19, orang pun terpicu mencari informasi dengan  topik tersebut. Sejak awal Februari, para peneliti di Unit 42 mengenali adanya peningkatan pencarian online mengenai virus corona melalui Google dan URL. Berikut ini adalah studi yang ditulis Adrian McCabe, Janos Szurdi, Oleksii Starov, Ruian Duan dan Zhanhao Chen.

Peningkatan intensitas pencarian online pada topik yang menjadi trending membuat pelaku kejahatan siber berusaha memanfaatkan kesempatan untuk mencari keuntungan. Tindakan mereka tentu saja tak mempedulikan etika dan menimbulkan kerugian sampai miliaran dolar. Para peneliti di Unit-42 memantau kecenderungan dan perilaku terdapat topik yang sedang menjadi trending menggunakan Google Trends dan log traffic. Titik puncak penting tampak pada akhir Januari, Februari dan pertengahan Maret 2020.

Hasil pengamatan menunjukkan bahwa terjadi rata-rata peningkatan harian pendaftaran nama domain yang berkaitan dengan virus corona sebanyak 656% antara Februari-Maret. Selama periode tersebut tercatat pertumbuhan pendaftaran domain berbahaya sebesar 569% termasuk malware dan phishing. Pertumbuhan pendaftaran domain berisiko tinggi yang mencakup scam, coin-mining tak berizin dan domain yang berkaitan dengan URL jahat sebesar 788%. Domain terkait URL jahat mencakup pemanfaatan penyediaan layanan bullet proof hosting yang menghalangi pelacakan hosting para pelaku kejahatan siber tersebut.

Pemantauan tersebut kritikal karena para pelaku kejahatan siber memanfaatkan domain dan topik yang menjadi trending untuk melancarkan aksi kejahatan mereka. Sampai akhir Maret, Unit 42 berhasil mengidentifikasi 116.357 nama domain baru yang berkaitan dengan virus corona. Dari jumlah tersebut, sebanayak 2.022 dinilai berbahaya dan 40.261 berisiko tinggi.

Analisa dan pengelompokan domain dilakukan berdasarkan informasi pada WHOIS, catatan DNS dan tangkapan layar yang dikumpulkan otomatis oleh web crawler. Sebagian besar domain yang terdeteksi ditawarkan untuk dijual kembali dan sebagian lainnya untuk melakukan kejahatan. Tindak kejahatan tersebut mencakup domain hosting malware, situs phishing, situs penipuan, malvertising, cryptomining dan Black Hat Search Engine Optimization (SEO). Ada juga yang menggunakan sebagai toko online untuk menipu dengan dalih menjual barang yang stoknya terbatas.

Unit 42 juga menemukan sekelompok domain yang memanfaatkan ketakutan pada virus corona untuk memaksa membeli produk mereka. Selain itu ada juga domain yang melayani parked page dengan JavaScript berisiko tinggi yang mengarahkan pengguna ke konten berbahaya.

Rangkuman Studi

Pelaku kejahatan siber mengeksploitasi ketakutan masyarakat terhadap peristiwa yang melanda dalam skala lokal, nasional maupun dunia. Unit 42 mengamati munculnya kejadian dan perilaku yang berulang. Demi mengantisipasi hal tersebut, sebaiknya masyarakat bersikap skeptis terhadap segala email atau situs web yang baru terdaftar dengan tema Covid-19. Jangan mudah mempercayai klaim mengenai informasi, kit pengujian maupun penawaran obat-obatan.

Selalu waspada untuk memeriksa validitas dan keamanan nama domain. Contohnya memastikan apakah domain tersebut adalah domain yang sah (google [.] Com vs g00gle [.] Com). Pastikan juga terdapat ikon kunci di sisi kiri kolom URL browser, untuk memastikan validitas koneksi HTTPS.

Perhatikan juga email-email bertema Covid-19 yang diterima dengan melihat alamat email pengirim. Bisa jadi alamat email tersebut tidak dikenal, salah ejaan atau panjangnya mencurigakan dengan karakter yang terlihat acak.

Palo Alto Networks merekomendasikan beberapa cara menyaring URL atau alamat web dengan memblokir akses ke kategori Domain yang Baru Terdaftar. Jika tidak bisa memblokir akses ke kategori Domain Baru tersebut, maka Unit 42 merekomendasikan menerapkan dekripsi SSL ke URL. Dekripsi tersebut dapat meningkatkan visibilitas, memblokir pengunduhan file berisiko seperti PowerShells dan file berekstensi exe. Selain itu dekripsi juga dapat menerapkan kebijakan Threat Prevention yang lebih ketat dan meningkatkan logging saat mengakses Domain yang Baru Terdaftar. Unit 42 juga merekomendasikan memakai DNS-layer protection, karena lebih dari 80% malware menggunakan DNS untuk membuat C2.

Selama pandemi Covid-19 melanda banyak perusahaan juga menerapkan kebijakan Work From Home, sehingga dibutuhkan akses yang nyaman bagi karyawan. Palo Alto Networks menawarkan Prisma Access, platform secure access service edge (SASE) melalui cloud. Solusi ini menerapkan kebijakan dan keamanan konsisten untuk bekerja di luar kantor maupun dari ponsel. Skalabilitas solusi ini pun bisa disesuaikan dengan dinamika kebutuhan bisnis. Informasi lebih lanjut mengenai Palo Alto Networks dapat disimak melalui tautan ini atau Nir Zuk’s webcast on how to enable business continuity. Tips-tips dari Palo Alto Networks untuk bekerja dari rumah dapat juga disimak pada tautan ini.