Tips Palo Alto Networks Mengenali Cybersquatting Tips Palo Alto Networks Mengenali Cybersquatting ~ Teknogav.com
Home » Tips Palo Alto Networks Mengenali Cybersquatting

Tips Palo Alto Networks Mengenali Cybersquatting

Teknogav.com - Pelaku kejahatan siber makin lihai dalam mengelabui korbannya. Salah satunya adalah dengan Cybersquatting, ini adalah modus kejahatan siber menggunakan domain menyerupai brand-brand ternama. Brand-brand yang sering dicatut namanya mencakup Apple, Amazon, Facebook dan Netflix untuk melakukan penipuan. Nah, demi menghindari hal ini, Zhanhao Chen dan Janos Szurdi dari Unit 42, Palo Alto Networks memberikan tips mengenali Cybersquatting.

Pada umumnya korban dapat dikelabui oleh domain yang namanya mirip dengan brand-brand terkemuka karena kurang cermat mengenali nama domain resmi. Berberapa contoh nama domain yang dimiripkan adalah netflix-payments[.]com dan whatsalpp[.]com. Tujuan cybersquatting tentu saja untuk mengambil keuntungan, bisa juga untuk melakukan penyerangan atau tindak kejahatan siber. Di Amerikat Serikat, upaya ini termasuk ilegal.

Sistem Pelacak Squatting Palo Alto Networks

Sistem pelacak squatting dari Palo Alto Networks mendeteksi 13.857 domain squatting yang terdaftar pada Desember 2019. Setiap hari, rata-rata 450 domain squatting terdaftar. Palo Alto Network mendeteksi 2.595 atau sekitar 18,59% nama-nama domain squatting berbahaya yang sering mendistribusikan malware atau serangan phishing. Sebanyak 5.104 (36,57%) domain squatting berisiko tinggi bagi pengunjungnya karena mengandung kumpulan URL-URL berbahaya atau memakai bulletproof hosting.

tingkat malicious domain cybersquatting

Palo Alto Networks juga membuat daftar peringkat Top 20 domain-domain yang banyak disalahgunakan pada Desember 2019 berdasarkan tingkat bahayanya. Artinya domain yang terkait dengan domain-domain squatting terkonfirmasi berbahaya. Target-target yang diincar domain-domain squatting mencakup media sosial dan mesin pencarian populer, keuangan, perbankan dan perbelanjaan. Pengunjung menjadi target pencurian dokumen penting atau uang melalui phishing dan scam.

Kategori Domain-domain Berbahaya Berdasarkan Tujuan Kejahatan Siber

Palo Alto Networks sudah memantau sejumlah domain-domain berbahaya sejak Desember 2019 sampai saat ini. Berikut ini adalah beberapa di antaranya:

  • Phishing: Domain yang mencatut nama Wells Fargo (secure-wellsfargo[.]org) yang bertujuan mencuri informasi-informasi pelanggan seperti credential email dan PIN ATM. Selain itu ada juga yang mencatut nama Amazon (amazon-india[.]online) untuk mencuri data-data penting pelanggan, target utamanya para pengguna di India. 
  • Penyebaran Malware: domain yang menyatut nama Samsung (samsungeblyaiphone[.]com) meng-hosting malware Azorult untuk mencuri informasi-informasi kartu kredit. 
  • Command & Control (C2): domain-domain mencatut nama Microsoft (microsoft-store-drm-server[.]com dan microsoft-sback-server[.]com) mencoba melakukan serangan C2 untuk mengganggu jaringan keseluruhan.
  • Re-bill scam: pencatutan nama Netflix (seperti netflixbrazilcovid[.]com) bermodus penawaran berlangganan produk penurun berat badan dengan pembayaran awal dalam jumlah kecil. Jika pengguna tidak membatalkan langganan setelah periode promosi berakhir, biaya lebih besar akan ditagihkan ke kartu kredit dengan kisaran $50-$100.
  • Potentially unwanted program (PUP): domain-domain yang mencatut Walmart (walrmart44[.]com) dan Samsung (samsungpr0mo[.]online) ditemukan menyebarkan PUP, seperti spyware, adware atau browser extension. PUP biasanya melakukan perubahan yang tidak diinginkan, seperti mengubah halaman default browser atau membajak browser untuk memasukkan iklan. Domain yang mencatut nama Samsung tersebut memiliki tampilan seperti situs web berita pendidikan Australia yang resmi.
  • Technical support scam: domain-domain yang mencatut Microsoft (seperti microsoft-alert[.]club) menakut-nakuti pengguna agar membayar ke support pelanggan yang sebenarnya palsu.
  • Reward scam: domain yang mencatut nama Facebook (facebookwinners2020[.]com) melakukan scamming dengan menawarkan sejumlah rewards, seperti produk-produk gratis atau bahkan uang. Penipuan dengan mengharuskan mengisi formulir untuk klaim. Tentu saja data yang harus diisi mencakup data-data personal seperti tanggal lahir, nomor telepon, pekerjaan dan jumlah penghasila.
  • Domain parkting: domain yang mencatut RBC Royal Bank (rbyroyalbank[.]com) memanfaatkan layanan parkir domain populer, Parking Crew. Modusnya adalah menghasilkan keuntungan berdasarkan jumlah pengguna yang membuka situs dan meng-klik iklan.


Cara Proteksi dari Cybersquatting

Palo Alto Networks mengembangkan sistem otomatis pendeteksian kampanye-kampanye dari domain yang baru terdaftar, serta dari data DNS pasif (pDNS). Domain squat yang berbahaya dan mencurigakan diidentifikasi lalu dimasukkan dalam kategori yang sesuai (C2, grayware, malware atau phishing dan lain-lain). Proteksi terhadap domain-domain yang dikategorikan tersebut disediakan dengan berlanggakan keamanan Palo Alto Networks seperti DNS Security dan URL Filtering.

Teknik domain squatting mencakup bitsquatting, combosquatting, level squatting,homograph-squatting dan typosquatting. Para pelaku kejahatan siber memanfaatkan teknik-teknik tersebut untuk menyebarkan malware atau menipu dan phishing. Sebaiknya perusahaan memblokir dan memantau lalu lintas para pelaku kejahatan siber dengan cermat. Konsumen pun sebaiknya memastikan mengetik nama domain dengan benar dan mengecek ulang pemilik domain terpercaya sebelum memasuki situs apa pun.


Teknik-Teknik Squatting 

Bitsquatting menggunakan karakter yang berbeda dalam satu bit (seperti micposoft[.]com) dari karakter yang sama dengan domain resmi targetnya  (microsoft[.]com). Pelaku bitsquatting memanfaatkan kesalahan perangkat keras yang menyebabkan bit-flip acak di memori tempat nama domain disimpan sementara. Jadi walau pengguna mengetik nama domain yang benar, tetap bisa diarahkan ke domain berbahaya. Tetapi biasanya kesalahan perangkat keras ini jarang terjadi.

Combosquatting menggabungkan merek dagang populer dengan kata-kata seperti "security", "payment", atau "verification". Modus email scam dan phishing biasanya menggunakan domain seperti netflix-payments[.]com untuk memanipulasi psikologis yang meyakinkan pengguna bahwa web tersebut resmi. 

Homograf-squatting memanfaatkan nama-nama domain internasionalisasi (IDN) yang membolehkan karakter-karakter Unicode (seperti microsofŧ[.]com). Satu atau lebih karakter yang secara visual mirip dari bahasa lain digunakan pada domain palsu tersebut. Pada kasus apple.com, huruf Inggris "a" (U + 0061) diganti dengan huruf Cyrillic "а" (U + 0430). 

Level-squatting menyertakan nama domain brand-brand yang ditargetkan sebagai subdomain, contohnya adalah safety.microsoft.com.mdmfmztwjj.l6kan7uf04p102xmpq[.]bid. Korban yang dituju dikelabui seolah-olah mengunjungi safety.microsoft.com padahal bukan. Pengguna smartphone biasanya menjadi target yang empuk, karena kolom alamat di browser tak muat menampilkan seluruh URL. Jika berupa email, maka tampilan pengirim email biasanya disingkat tak lengkap.

Sound-squatting memanfaatkan homofon, yaitu kata-kata dengan bunyi mirip (misalnya, weather dan whether). Pendaftaran domain varian homofon dari domain populer ini contohnya 4ever21[.]com yang mencatut forever21[.]com. Biasanya penggunaan asisten digital seperti Google Assistant dan Siri membuat pengguna rentan dari penyalahgunaan domain sound-squatting.

Typosquatting sengaja mendaftarkan varian yang salah eja (seperti whatsalpp [.] com) dari nama-nama domain yang menjadi target (whatsapp[.]com). Domain ini bisa memanfaatkan kesalahan pengguna mengetik nama domain. Biasanya teknik ini menyisipkan satu huruf dari domain asli karena kesalahan ini sering luput dari pengguna.

Demikianlah beberapa tips sari Palo Alto Networks mengenai cara untuk lebih cermat dalam mengenali cybersquatting.

Share:

Artikel Terkini