Kit phishing Cash App , Menggunakan izin 16Shop
Pengembang platform phishing 16Shop telah menambahkan komponen baru yang menargetkan pengguna layanan pembayaran seluler Aplikasi Tunai yang populer.
Penyebaran produk 16Shop baru dimulai segera setelah tersedia, memikat calon korban untuk memberikan detail sensitif yang akan memberi penipu akses ke akun dan informasi pembayaran terkait.
16Shop adalah kit phishing kompleks dari pengembang yang dikenal sebagai DevilScream, yang menyiapkan mekanisme perlindungan terhadap penggunaan tanpa izin dan aktivitas penelitian.
Kit ini tersedia secara komersial dan dilokalkan dalam berbagai bahasa. Hingga saat ini, ia menyediakan kode dan template untuk mencuri kredensial login dan detail kartu pembayaran untuk PayPal , Amazon , Apple , dan American Express.
Diterapkan segera setelah rilis
Menjelang akhir Februari, opsi baru tersedia di toko 16Shop dengan tag $70 yang menargetkan akun Aplikasi Tunai atau Cash App. Aplikasi ini sangat populer, dengan lebih dari 10 juta penginstalan di Android dan lebih dari 1,6 juta peringkat memberikannya 4,7 dari 5 bintang di App Store.
Peneliti keamanan dari perusahaan keamanan siber ZeroFOX memperoleh perangkat phishing Aplikasi Tunai baru pada tanggal 25 Februari, hanya sehari setelah waktu kompilasi terakhir.
Tampaknya penipu bergegas untuk mendapatkannya dan menerapkannya saat para peneliti melihat beberapa penerapan dalam satu hari dari 16Shop yang menawarkan kit phishing Cash App.
Ini adalah indikasi kuat bahwa toko penipuan memiliki banyak pelanggan yang cukup mempercayai 16Shop untuk memanfaatkan setiap peluang yang diberikannya untuk mencuri informasi sensitif dari layanan yang tersebar luas.
Resepnya sama seperti sebelumnya
ZeroFOX mengatakan bahwa kit tersebut memiliki kode dasar yang sama dengan yang lain, dan templatnya meniru situs Aplikasi Tunai yang sah dan alur kerja masuk sedekat mungkin.
Membawa korban ke halaman phishing dilakukan melalui email dan pesan SMS yang memperingatkan tentang masalah keamanan yang menyebabkan penguncian akun Cash App.
Sebuah klik pada link penipuan memicu serangkaian pemeriksaan sebelum memuat halaman phishing. Alamat IP pengunjung, agen pengguna mereka, dan rincian ISP dikumpulkan dan diproses untuk menentukan hubungan dengan tindakan otomatis (pemeriksaan keamanan, perayap web) atau calon korban.
Pertahanan terhadap bot dan aktivitas pengindeksan hadir dalam kit phishing Cash App seperti pada kit 16Shop lainnya. Gambar di bawah ini menunjukkan bagaimana kode PHP memanggil layanan antibot, yang menyediakan kontrol pemblokiran untuk bot dan crawler web.
Dalih konfirmasi identitas
Jika korban mengambil umpan dan memberikan alamat emailnya hanya untuk melihat pemberitahuan keamanan tentang aktivitas tidak biasa yang menyebabkan penguncian akun.
Untuk mendapatkan kembali akses, korban harus memberikan detail sensitif "untuk mengkonfirmasi identitas." Ini termasuk yang berikut:
Platform phishing 16Shop menarik bagi penjahat dunia maya berketerampilan rendah yang mencari cara mudah dan cepat untuk mengumpulkan akun sensitif, yang dapat mereka jual di forum bawah tanah.
Mereka dapat mengonfigurasi kit langsung dari toko dengan parameter untuk URL phishing, perlindungan terhadap pemindaian keamanan, dan tempat menerima data yang dikumpulkan.
Operasi gagal
Detail tentang identitas pengembangnya telah dipublikasikan di masa lalu, berdasarkan jejak online-nya. Mereka semua menunjuk kepada seorang Indonesia bernama Riswanda Noor Saputra, yang memiliki sejarah dalam merusak situs web, mengembangkan perangkat phishing lainnya, dan merilis alat peretasan.
Kesalahan dari penulis kit phishing Cash App tampaknya mengkonfirmasi nama yang sama, peneliti ZeroFOX menemukan. Setelah mempelajari kode tersebut, mereka menemukan bahwa ketika peringatan tentang aktivitas akun yang tidak biasa muncul, alamat email pengembang ada, tersembunyi di balik dialog.
Para peneliti di Lookout mengikuti jejak kesalahan opsec yang dibuat oleh pengembang 16Shop dan menemukan bahwa dia memenangkan kompetisi desain situs web pada tahun 2017.
Mereka menyimpulkan bahwa Riswanda sangat pandai dalam menemukan dan mempertahankan identitas palsu atau dia melakukan pekerjaan yang buruk untuk melindungi identitas aslinya. .
Melihat aktivitas media sosial Riswanda mengungkapkan bahwa dia suka menampilkan kekayaannya kepada dunia dan juga memposting detail tentang pembaruan yang akan datang dan kit baru. Pada gambar di bawah, dia menunjukkan pengembangan kit 16 Shop American Express.