Awas! Web Phishing Berkedok Promo HUT Ke-77 KAI Disebarkan via WhatsApp

Sejumlah tautan yang menawarkan promo tiket PT Kereta Api Indonesia sebagai bentuk hadiah ulang tahun ke-77 disebarkan luas melalui WhatsApp. Jika tautan tersebut diklik, penerima pesan diarahkan ke sebuah halaman web yang berisi, seperti di bawah ini:

"Congratulations! KAI 77th Anniversary Government Subsidy! Through the questionnaire, you will have a chance to get 5000000 Rupiah," demikian bunyi tulisan itu. (Dalam tautan terbaru, nilainya berganti menjadi Rp20 juta)

Lalu, terdapat gambar kereta api dengan logo KAI. Sang penerima pesan diminta untuk menjawab sejumlah pertanyaan yang seolah-olah dibuat dari PT KAI.

PT KAI di situswebnya pada 3 Januari 2023 sudah memperingatkan terhadap upaya phishing yang berkedok promo KAI yang menggunakan identitas perusahaan, seperti logo, nama, dan foto-foto perkeretaapian.

Tautan penipuan beredar melalui media sosial, kata perusahaan plat merah itu, memiliki ciri-ciri alamat situsweb yang mencurigakan, seperti http://mmmjemp.cn, http://bankruptcymelodious.cn, http://qxowtod.cn, http://crueltyspongy.cn, http://ambulancesodium.cn, http://negotiatefoam.cn, http://deceptivebuffalo.cn, dan lainnya.


Tangkapan layar dari web phishing berkedok promo PT KAI.


VP Public Relations KAI Joni Martinus mengatakan jangan mengklik tautan tersebut dan jangan mengikuti langkah-langkah yang diminta, bahkan memberikan data ke situsweb tersebut. Termasuk, "Jangan menyebarluaskan tautan mencurigakan tersebut," ujarnya.

"Dikhawatirkan dalam tautan tersebut terdapat malware/virus/scam dalam arti tindakan terencana yang bertujuan mencuri uang dengan cara mengakali, membohongi, menipu pihak lain, serta mengambil data pribadi melalui virus," katanya.

Informasi resmi terkait promo dapat dipantau melalui situsweb PT KAI yaitu kai.id atau media sosial KAI121, ia menambahkan.

Kenapa mencurigakan?

Tautan atau URL yang beredar bermacam-macam dan kebetulan Cyberthreat.id menerima dua macam:

  • http://w.xjamhj.cyou/KAIWX/tb.php?nc=nz1674134072705
  • http://w.gm33333.top/KAIWV-qllv2/tb.php?tq=zb1674031828090

Melihat Top Level Domain (TLD) yang dipakai, memang tidak semua orang mengetahui. Keduanya menggunakan ekstensi .cyou dan .top. Sementara, nama domain mereka "xjamhj" dan "gm33333" sebetulnya sudah mencurigakan.

Nama domain PT KAI tidak berekstensi .cyou, tapi memakai .id (https://www.kai.id).

Di sisi lain, protokol web yang dipakai masih HTTP (bukan HTTPS) yang berarti tidak aman dan telah ditinggalkan lama oleh para pengembang web—bahkan oleh sebagian web browser, alamat web dengan protokol HTTP langsung dilabeli sebagai tidak aman.

Namun, penyebaran yang masif di WhatsApp atau media sosial menunjukkan bahwa sebagian besar masyarakat masih belum tahu tentang ciri-ciri tautan asli atau tergolong rentan kejahatan siber.

Padahal, secara tata bahasa, narasi yang dipakai tersebut juga buruk sekali. Lalu, komentar-komentar yang ada di halaman web juga cenderung sama. Seolah-olah mereka baru saja memenangkan hadiah tersebut.Terlihat bahwa pembuat web mencuri berbagai foto pengguna yang berasal dari Indonesia—inilah bahanya mengumbar foto pribadi secara bebas ke internet atau media sosial.


Pemeriksaan untuk domain "gm33333.top" melalui BrightCloud pada Jumat (20 Januari 2023).


Pemeriksaan

Ketika memeriksa kedua URL ke VirusTotal, platform berbasis web yang menyediakan deteksi virus atau malware, tidak ada ancaman. Kedua tautan lulus filter dari semua penyedia antivirus yang tergabung di platform.

Selanjutnya, untuk mendapatkan alamat IP dari situsweb, keduanya dicek melalui abuseipdb.com, platform berbasis web yang membantu untuk melacak alamat IP yang biasa dipakai oleh peretas, spammer, dan penyalahgunaan web di internet.

Pemeriksaan pertama untuk domain "xjamhj.cyou" terbaca alamat IP: 172.67.209.245. Selanjutnya, pada domain "gm33333" ditemukan alamat IP: 104.21.5.237.

Di basis data platform tersebut, kedua IP tersebut tidak ditemukan. Pembuat web menggunakan penyedia ISP terkemuka: CloudFlare Inc untuk penggunaan "content delivery network/CDN". Karena menggunakan CloudFlare posisinya berada di California, Amerika Serikat.


Pemeriksaan untuk domain "xjamhj.cyou" melalui BrightCloud pada Jumat (20 Januari 2023).


Sementara itu, ketika memeriksa melalui platform BrightCloud, ditemukan bahwa kedua domain memiliki reputasi yang tidak populer, tapi digolongkan dalam dua jenis: tidak berisiko dan mencurigakan. 

Di platform threat intelligence ini, domain "xjamhj" dibuat pada 22 Juli 2022, di mana pemilik domain (registrant) membeli domain dari registrar bernama West263 International Limited yang berlokasi di San Toi Building, Hong Kong. Dilabeli sebagai reputasi mencurigakan.

Ada pun domain "gm33333" dibuat pada 2 Agustus 2022 dan dikategorikan sebagai web "Travel" dengan popularitas rendah, tapi berisiko rendah (low risk). Pembuat domain membelinya dari registrar Chengdu West Dimension Digital yang beralamat di Global Plaza No 99, First Ring Road, Jnniu District Chengdu, China.

Terdeteksi bahaya

Kedua URL tersebut ketika diakses melalui desktop dengan peramban web Microsoft Edge langsung diblokir oleh mesin keamanan Microsoft Defender SmartScreen.

"This site has been reporter as unsafe hosted by jzupsq.cyou," bunyi peringatan itu.

Anehnya, kedua URL tadi ketika diklik akan mengarahkan ke halaman web yang sama dan telah berubah menggunakan protokol keamanan HTTPS, yaitu https://jzupsq.cyou/mkcvZ8Cc/KAIWV-qllv2/?_t=1674184438492.

Nama domainnya adalah "jzupsq.cyou".


Deteksi bahaya melalui Microsoft Edge.


Untuk pengguna seluler, mengklik tautan tersebut tidak ada peringatan bahwa URL tersebut berkategori mencurigakan atau tidak aman. Cyberthreat.id yang memakai peramban web Brave, dikenal luas sebagan platform pro privasi dan keamanan, tak mendapatkan peringatan apa pun.

Selanjutnya, URL terbaru itu dicek kembali melalui BrightCloud, kali ini mesin platform langsung melabeli bahwa reputasi web sebagai "risiko tinggi" (high risk). Selain itu, web dikategorikan sebagai "phishing dan penipuan lain".

Menyangkut informasi whois, domain "jzupsq.cyou" dibeli dari Chengdu West Dimension Digital Technology pada 12 Desember 2022. Lagi-lagi, pembuatnya menaruhnya di server CloudFlare.[]

Deteksi "high risk" dari BrightCloud untuk domain "jzupsq.cyou".


Sumber : https://cyberthreat.id/read/15241/Awas-Web-Phishing-Berkedok-Promo-HUT-Ke-77-KAI-Disebarkan-via-WhatsApp

Comments