Iklan berbahaya yang dihosting Google mengarahkan ke situs Keepass palsu yang tampak asli
(arstechnica.com)- Dengan memanfaatkan kebiasaan mempercayai iklan pencarian dan situs resmi, iklan Google yang menyamar sebagai Keepass mengarahkan bahkan pengguna yang akrab dengan keamanan ke situs palsu yang bisa menipu mereka
- Setelah diklik, bilah alamat menampilkan sesuatu yang tampak seperti ķeepass[.]info, tetapi domain sebenarnya adalah xn--eepass-vbb[.]info yang dienkode dalam punycode dan menyebarkan malware FakeBat
- Iklan tersebut tayang dari Sabtu hingga Rabu, dan pengiklannya ditampilkan sebagai Digital Eagle yang identitasnya telah diverifikasi oleh Google
- Iklan Google, URL yang tampak normal, dan sertifikat TLS yang valid digunakan bersama-sama, sehingga sulit menilai pemalsuan hanya dengan memeriksa bilah alamat
- Kelima browser utama semuanya akan membuka situs tiruan saat ķeepass[.]info dimasukkan, jadi jika ragu, buka tab baru dan ketik URL secara langsung atau periksa pemilik sertifikat TLS
Kombinasi iklan Google dan situs peniru Keepass
- Di Google, muncul iklan berbahaya yang tampak seperti iklan Keepass
- Iklan itu menyamar seolah-olah mempromosikan pengelola kata sandi open-source Keepass
- Karena itu adalah iklan Google dan Google diketahui meninjau iklan, pengguna bisa lebih mudah mempercayainya
- Saat diklik, bilah alamat menampilkan ķeepass[.]info yang tampak seperti situs Keepass asli
- Situs resmi Keepass yang sebenarnya adalah keepass.info
Domain mirip yang dibuat dengan punycode
- ķeepass[.]info yang terlihat di bilah alamat sebenarnya adalah representasi terenkode dari xn--eepass-vbb[.]info
- Situs ini menyebarkan keluarga malware yang dilacak sebagai FakeBat
- Penipuan ini menggunakan metode pengodean punycode
- punycode memungkinkan karakter Unicode direpresentasikan sebagai teks ASCII standar
- Dalam kasus ini, digunakan karakter dengan tanda kecil mirip koma di bawah huruf k
- Karena bahkan memiliki sertifikat TLS yang valid, situs ini mudah tampak seperti situs normal jika hanya melihat bilah alamat
Informasi transparansi iklan dan tindakan Google
- Di Google Ad Transparency Center, iklan tersebut ditampilkan berjalan dari Sabtu hingga Rabu
- Pihak yang membayar iklan tercantum sebagai organisasi bernama Digital Eagle
- Pada halaman transparansi, Digital Eagle ditampilkan sebagai pengiklan yang identitasnya telah diverifikasi oleh Google
- Seorang perwakilan Google dalam email setelah publikasi mengatakan bahwa iklan tersebut telah dihapus sesuai kebijakan perusahaan
Analisis Malwarebytes
- Jérôme Segura, kepala threat intelligence di Malwarebytes, merangkum bahwa pengguna ditipu dalam dua tahap
- Pertama, mereka tertipu oleh iklan Google yang terlihat sepenuhnya normal
- Lalu, mereka kembali tertipu oleh domain mirip yang tampak seperti situs sah
- Malwarebytes mengungkap penipuan ini dalam posting pada hari Rabu
- Kombinasi iklan Google dan situs web yang tampak hampir sama dengan URL aslinya menciptakan efek peniruan yang kuat
Contoh malware punycode di masa lalu
- Penipuan malware yang menyalahgunakan punycode sudah ada sejak lama
- Dua tahun lalu, penipu menggunakan iklan Google untuk mengarahkan pengguna ke situs yang terlihat hampir identik dengan brave.com
- Situs tersebut mendistribusikan versi browser palsu yang berbahaya
- Pada 2017, seorang pengembang aplikasi web membuat situs proof-of-concept yang tampak seperti apple.com, sehingga teknik punycode mendapat perhatian luas
Cara yang bisa dilakukan pengguna untuk memeriksa
- Tidak ada cara pasti untuk mendeteksi iklan Google berbahaya atau URL yang dienkode dengan punycode
- Jika ķeepass[.]info dimasukkan di lima browser utama, semuanya akan membuka situs tiruan
- Jika mencurigakan, pengguna dapat membuka tab browser baru dan mengetik URL secara langsung
- Saat URL panjang, mengetik langsung tidak selalu menjadi cara yang realistis
- Cara lain adalah memeriksa sertifikat TLS untuk memastikan situs yang ditampilkan di bilah alamat cocok dengan pemilik sertifikat
1 komentar
Opini Hacker News
Identitas Digital Eagle tentu saja pasti sudah diverifikasi oleh Google. Verifikasi identitas Google dilakukan dengan cara menerima uang; kalau membayar, berarti dianggap terverifikasi
Bagian “perwakilan Google tidak segera menanggapi email” juga patut dipertanyakan. Saya tidak tahu apakah benar ada manusia di Google yang membalas email, dan sudah lebih dari 10 tahun saya tidak pernah melihat balasan. Bahkan saat melaporkan phishing dan spam, saya ragu apakah benar-benar ada yang ditangani
Sejujurnya, dunia sekarang harus mulai lepas dari Google. Selama setidaknya lebih dari 2 tahun, Google sulit dipakai secara aman sebagai mesin pencari
Setelah pelanggan dikirim ke situs phishing lewat iklan Google, saya memutuskan memblokir domain-domain berikut di semua jaringan yang saya kelola
googlesyndication.com
googleadservices.com
googletagservices.com
googletagmanager.com
google-analytics.com
Keunggulan Google telah sedikit demi sedikit rusak selama bertahun-tahun. Windows juga mirip: pemasaran dan iklan sedang merusak produk yang sebenarnya lumayan
Alasan iklan seperti ini bisa lolos tampaknya mirip. Mereka kemungkinan besar mengandalkan pelaporan massal, dan tautan “laporkan masalah” mungkin menjadi salah satu mekanisme utama untuk menyaring iklan buruk. Jika makin banyak yang lolos, itu bisa menjadi tanda bahwa terlalu sedikit orang yang mau meluangkan waktu untuk melapor, sehingga keseimbangan metode pelaporan massal mulai rusak
Itu benar-benar era yang berbeda
Kalau melaporkan situs web berbahaya ke namecheap, kadang situs itu tetap hidup berbulan-bulan; mereka juga buruk, tetapi ada banyak pihak yang lebih parah dalam menangani laporan penyalahgunaan. Google memang masih bisa lebih baik, tetapi dalam praktiknya cukup lumayan
Namun kasus ini adalah satu alasan lagi mengapa semua orang harus memblokir iklan. Pemblokiran iklan membuat semua orang lebih aman
Perantara iklan harus diberi sebagian tanggung jawab atas iklan penipuan, atau iklan harus dibuat sangat terikat pada identitas asli, atau keduanya. Saya tidak suka kewajiban impressum gaya Jerman untuk publikasi umum, tetapi iklan berbeda
Sebab iklan menyusup secara agresif ke situs lain dengan cara yang tidak bisa dikendalikan pengguna. Selain memblokir semua iklan, tidak ada pilihan lain
Jika mengklik sudut iklan, pengguna seharusnya bisa melihat nomor perusahaan dan alamat bisnis pihak yang bertanggung jawab. Iklan “luar negeri” yang masuk dari negara lain harus diverifikasi lebih ketat. Sebab jika itu penipuan, meskipun tidak anonim pun akan jauh lebih sulit mendapatkan pemulihan
Menurut artikel, ķeepass[.]info meski terlihat seperti itu di bilah alamat, sebenarnya adalah notasi terenkode yang merujuk ke xn--eepass-vbb[.]info, dan digunakan untuk menyebarkan malware FakeBat. Dipadukannya iklan Google dengan situs web yang URL-nya nyaris sama membuatnya menjadi tipuan yang hampir sempurna
Pada 2017, Google Chrome 59 disebut telah memperbaiki serangan phishing Punycode. Contoh: https://www.engadget.com/2017-04-17-google-chrome-phishing-u...
Mungkin saja pelaku kejahatan yang gigih menganalisis source code Chromium yang memeriksa Punycode, lalu menemukan celah yang mengizinkan
ķalih-alihkhttps://www.xn--80ak6aa92e.com/ --> “аррӏе.com” palsu memunculkan peringatan phishing
https://xn--eepass-vbb.info/ --> “ķeepass.info” palsu tidak memunculkan peringatan
ķ(U+0137) termasuk huruf Latin [2], jadi menurut saya “ķeepass.info” tidak akan terkena pemeriksaan karakter mirip dari sistem tulisan campuranDalam daftar glyph “karakter mirip dari seluruh sistem tulisan” [3] pun
ķtidak terlihat. Apakah seharusnya dimasukkan di sini? Di bagian huruf Yunani pada file tersebut ada komentar yang intinya “varian seperti ά, έ, ή, ί diabaikan”, jadi mungkin ada aturan bahwa huruf beraksen umumnya tidak dianggap sebagai karakter miripKalau begitu, ini masih cukup bisa dipahami. Misalnya jika nama domain yang mengandung
éditampilkan dalam bentuk Punycode, pengguna Prancis mungkin akan cukup kecewa[1] https://chromium.googlesource.com/chromium/src/+/main/docs/i...
[2] https://www.compart.com/en/unicode/U+0137
[3] https://source.chromium.org/chromium/chromium/src/+/main:com...
Toh pada akhirnya orang tidak akan masuk ke “göogle.com”, kan?
Di saat Google berperang melawan pemblokir iklan di YouTube, mereka sekali lagi menunjukkan bahwa kita sama sekali tidak bisa memercayakan tanggung jawab menampilkan iklan yang aman kepada mereka
Selain itu, mereka juga menayangkan video perang sebagai iklan kepada anak-anak kecil
Yang paling saya suka khususnya adalah iklan charger batu bata bodoh yang katanya bisa “mendefrag ponsel secara ajaib” dan iklan pistol mikro Ghost
Saya merasa cukup peduli pada keamanan, tetapi saya tidak tahu apakah saya akan menyadari yang ini. Ini alasan lain untuk memakai uBO tanpa penyesalan
“Perusahaan menyatakan bahwa begitu iklan penipuan dilaporkan, mereka segera menghapusnya secepat mungkin”
Kalau mereka ingin menjadi bagian dari solusi, mereka akan memverifikasi iklan sebelum dipublikasikan. Tapi itu tidak bisa diskalakan, sehingga orang-orang tertipu, masyarakat dirugikan, dan Google menghasilkan uang dalam jumlah yang tak sanggup mereka tangani. Transaksi yang cukup adil...?
Seperti yang banyak orang katakan, memblokir iklan internet adalah bagian dari penggunaan internet yang sehat dan aman
Moderasi adalah masalah yang sulit dipecahkan. Kita menginginkan kemudahan untuk hal yang benar, dan pemblokiran kuat untuk apa pun yang sedikit saja mencurigakan. Pasti ada satu-dua hal yang terlewat
Intinya di sini adalah apakah ini kasus pengecualian, atau masalah menonjol di mana banyak kasus seperti ini disetujui di iklan Google, tetapi artikel tersebut tidak memberikan jawabannya
Masalah yang sama sudah ada setahun lalu, dan prefiks nama domainnya juga tampak sama
https://www.bleepingcomputer.com/news/security/google-ad-for...
Jika aku harus melewati segala macam prosedur karena KYC (Know Your Customer), rasanya perusahaan-perusahaan juga seharusnya melakukan hal yang sama dalam kasus-kasus seperti ini yang membuat hidup jadi sulit
Iklan menyesatkan, panggilan spam, barang palsu di tempat seperti Amazon, sampai email—semuanya begitu
Seolah-olah semuanya dibuat agar semua penipu di dunia bisa menjangkauku 100%, tetapi perusahaan-perusahaan yang memungkinkan hal ini justru tidak bisa dijangkau dengan cara apa pun
Ini taktik yang cukup cerdik. Kalau aku melihat tautan itu dalam konteks selain iklan, mungkin aku juga bisa tertipu
Biasanya penggantian Unicode terlihat sedikit saja aneh sehingga aku sudah belajar mengenalinya, tetapi kasus ini berbeda. Meski ada panah yang menunjuk, aku tidak melihat titik di bawah
k, dan bagi mataku itu tampak seperti debu atau noda kecil di monitorDi layar ada banyak hal seperti itu, dan sistem penglihatan kita sangat pandai mengabaikan noise semacam itu
Bukan debu seperti piksel hitam yang menghalangi cahaya, melainkan piksel putih yang menyala. Aku tidak pernah terpikir menganggap dark mode sebagai sarana peningkatan keamanan :)
Punycode sejak awal kegunaannya memang meragukan. Ini memang terutama dari sudut pandang pengguna alfabet Latin, tetapi berbagai situs dari wilayah beraksara non-Latin yang kulihat selama 10 tahun terakhir semuanya memakai domain ASCII biasa
Bahkan pada nama pengguna di situs web yang mengizinkan Unicode, terlihat bahwa pengguna aksara non-Latin pun kebanyakan memakai nama pengguna beralfabet Latin
Dalam praktiknya, Punycode hampir seluruhnya dipakai untuk domain spam. Domain berbahasa Kiril atau Asia pun sebagian besar tidak memakai Punycode
Aku memahami konsep Punycode dan secara teknis itu mengesankan, tetapi di domain ia telah menjadi masalah phishing yang sangat besar
Bahkan aku yang memakai beberapa bahasa Eropa membutuhkan kurang dari 10 karakter Unicode, dan sebenarnya masing-masing masih berupa kode ISO 8859-15 8-bit. Meski membutuhkannya, kebanyakan situs bahkan tidak mendaftarkan domain Punycode, melainkan memakai versi ASCII yang merusak namanya
Sebagai langkah praktis, browser seharusnya bertanya saat pengguna pertama kali memasukkan URL yang berisi karakter non-ASCII, apakah akan mengizinkan URL dalam bahasa tertentu. Mengizinkan satu atau dua bahasa saja sudah akan sangat mengurangi permukaan serangan bagi sebagian besar pengguna
Misalnya sekarang asahi.com sudah diambil oleh 朝日 (koran Asahi), sehingga Asahi town (旭) tidak bisa memakainya. Tentu saja bisa memakai sesuatu seperti asahi-town.co.jp, tetapi ada banyak nama tempat Asahi dengan penulisan lain juga (旭日, 朝陽, 浅緋, dan sebagainya)
Tidak masuk akal meminta semuanya memakai varian ASCII yang arbitrer. Itu baru bicara nama tempat di Jepang, belum lagi masalah tumpang tindih di seluruh wilayah yang memakai aksara Han
Apakah domain semacam ini benar-benar terdaftar lebih mirip masalah ayam dan telur, dan ruang konflik di atas tampaknya tidak akan terselesaikan rapi di dalam alfabet ASCII
Kerentanan domain ASCII Barat terhadap penipuan memang masalah, tetapi membakar lumbung demi membasmi kutu juga bukan solusi
Namun pada TLD khusus seperti
.рф, menurutku Punycode itu sendiri bukan masalah. Misalnya bentuk seperti кремль.рф menurutku baik-baik sajaOrang bisa saja mengatakan bahwa semua yang melampaui ASCII itu mencurigakan, tetapi orang yang bahasa ibunya bukan Inggris akan selalu menentangnya
Salah satu cara mengurangi iklan berbahaya adalah transparansi. Setiap iklan harus memuat kontak legal pengiklan, yaitu nama perusahaan dan negara
Itu tidak akan menyelesaikan masalah sepenuhnya, tetapi konsumen bisa menghindari iklan dari perusahaan Eropa Timur yang mencurigakan. Peneliti keamanan juga akan lebih mudah melacak pelaku jahat, dan Google sebagai platform iklan pun akan punya sebagian tanggung jawab
Facebook sudah melakukan ini untuk iklan politik, jadi hal itu memungkinkan
Kecuali pemerintah memaksa atau risiko tanggung jawab hukumnya menjadi terlalu besar, mereka tidak akan melakukannya secara sukarela
Bukankah itu agak xenofobik?
[0] https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certi...