1 poin oleh GN⁺ 2023-10-20 | 1 komentar | Bagikan ke WhatsApp
  • Dengan memanfaatkan kebiasaan mempercayai iklan pencarian dan situs resmi, iklan Google yang menyamar sebagai Keepass mengarahkan bahkan pengguna yang akrab dengan keamanan ke situs palsu yang bisa menipu mereka
  • Setelah diklik, bilah alamat menampilkan sesuatu yang tampak seperti ķeepass[.]info, tetapi domain sebenarnya adalah xn--eepass-vbb[.]info yang dienkode dalam punycode dan menyebarkan malware FakeBat
  • Iklan tersebut tayang dari Sabtu hingga Rabu, dan pengiklannya ditampilkan sebagai Digital Eagle yang identitasnya telah diverifikasi oleh Google
  • Iklan Google, URL yang tampak normal, dan sertifikat TLS yang valid digunakan bersama-sama, sehingga sulit menilai pemalsuan hanya dengan memeriksa bilah alamat
  • Kelima browser utama semuanya akan membuka situs tiruan saat ķeepass[.]info dimasukkan, jadi jika ragu, buka tab baru dan ketik URL secara langsung atau periksa pemilik sertifikat TLS

Kombinasi iklan Google dan situs peniru Keepass

  • Di Google, muncul iklan berbahaya yang tampak seperti iklan Keepass
  • Iklan itu menyamar seolah-olah mempromosikan pengelola kata sandi open-source Keepass
  • Karena itu adalah iklan Google dan Google diketahui meninjau iklan, pengguna bisa lebih mudah mempercayainya
  • Saat diklik, bilah alamat menampilkan ķeepass[.]info yang tampak seperti situs Keepass asli
  • Situs resmi Keepass yang sebenarnya adalah keepass.info

Domain mirip yang dibuat dengan punycode

  • ķeepass[.]info yang terlihat di bilah alamat sebenarnya adalah representasi terenkode dari xn--eepass-vbb[.]info
  • Situs ini menyebarkan keluarga malware yang dilacak sebagai FakeBat
  • Penipuan ini menggunakan metode pengodean punycode
    • punycode memungkinkan karakter Unicode direpresentasikan sebagai teks ASCII standar
    • Dalam kasus ini, digunakan karakter dengan tanda kecil mirip koma di bawah huruf k
  • Karena bahkan memiliki sertifikat TLS yang valid, situs ini mudah tampak seperti situs normal jika hanya melihat bilah alamat

Informasi transparansi iklan dan tindakan Google

  • Di Google Ad Transparency Center, iklan tersebut ditampilkan berjalan dari Sabtu hingga Rabu
  • Pihak yang membayar iklan tercantum sebagai organisasi bernama Digital Eagle
  • Pada halaman transparansi, Digital Eagle ditampilkan sebagai pengiklan yang identitasnya telah diverifikasi oleh Google
  • Seorang perwakilan Google dalam email setelah publikasi mengatakan bahwa iklan tersebut telah dihapus sesuai kebijakan perusahaan

Analisis Malwarebytes

  • Jérôme Segura, kepala threat intelligence di Malwarebytes, merangkum bahwa pengguna ditipu dalam dua tahap
    • Pertama, mereka tertipu oleh iklan Google yang terlihat sepenuhnya normal
    • Lalu, mereka kembali tertipu oleh domain mirip yang tampak seperti situs sah
  • Malwarebytes mengungkap penipuan ini dalam posting pada hari Rabu
  • Kombinasi iklan Google dan situs web yang tampak hampir sama dengan URL aslinya menciptakan efek peniruan yang kuat

Contoh malware punycode di masa lalu

  • Penipuan malware yang menyalahgunakan punycode sudah ada sejak lama
  • Dua tahun lalu, penipu menggunakan iklan Google untuk mengarahkan pengguna ke situs yang terlihat hampir identik dengan brave.com
    • Situs tersebut mendistribusikan versi browser palsu yang berbahaya
  • Pada 2017, seorang pengembang aplikasi web membuat situs proof-of-concept yang tampak seperti apple.com, sehingga teknik punycode mendapat perhatian luas

Cara yang bisa dilakukan pengguna untuk memeriksa

  • Tidak ada cara pasti untuk mendeteksi iklan Google berbahaya atau URL yang dienkode dengan punycode
  • Jika ķeepass[.]info dimasukkan di lima browser utama, semuanya akan membuka situs tiruan
  • Jika mencurigakan, pengguna dapat membuka tab browser baru dan mengetik URL secara langsung
  • Saat URL panjang, mengetik langsung tidak selalu menjadi cara yang realistis
  • Cara lain adalah memeriksa sertifikat TLS untuk memastikan situs yang ditampilkan di bilah alamat cocok dengan pemilik sertifikat

1 komentar

 
GN⁺ 2023-10-20
Opini Hacker News
  • Identitas Digital Eagle tentu saja pasti sudah diverifikasi oleh Google. Verifikasi identitas Google dilakukan dengan cara menerima uang; kalau membayar, berarti dianggap terverifikasi
    Bagian “perwakilan Google tidak segera menanggapi email” juga patut dipertanyakan. Saya tidak tahu apakah benar ada manusia di Google yang membalas email, dan sudah lebih dari 10 tahun saya tidak pernah melihat balasan. Bahkan saat melaporkan phishing dan spam, saya ragu apakah benar-benar ada yang ditangani
    Sejujurnya, dunia sekarang harus mulai lepas dari Google. Selama setidaknya lebih dari 2 tahun, Google sulit dipakai secara aman sebagai mesin pencari
    Setelah pelanggan dikirim ke situs phishing lewat iklan Google, saya memutuskan memblokir domain-domain berikut di semua jaringan yang saya kelola
    googlesyndication.com
    googleadservices.com
    googletagservices.com
    googletagmanager.com
    google-analytics.com

    • Lebih jujur lagi, menurut saya kemampuan pencarian Google sudah menurun sejak sekitar akhir 2000-an hingga awal 2010-an. Dulu, memasukkan kalimat apa adanya pun bisa menemukan hasil, tetapi sekarang bahkan pencarian dengan tanda kutip ganda pun tidak bekerja dengan benar
      Keunggulan Google telah sedikit demi sedikit rusak selama bertahun-tahun. Windows juga mirip: pemasaran dan iklan sedang merusak produk yang sebenarnya lumayan
    • Soal “apakah benar ada orang di Google yang membalas email?”, Google selalu berfokus pada hal-hal yang dapat diskalakan. Manusia yang menjawab telepon atau email tidak dapat diskalakan, jadi tidak ada dukungan pelanggan untuk pengguna
      Alasan iklan seperti ini bisa lolos tampaknya mirip. Mereka kemungkinan besar mengandalkan pelaporan massal, dan tautan “laporkan masalah” mungkin menjadi salah satu mekanisme utama untuk menyaring iklan buruk. Jika makin banyak yang lolos, itu bisa menjadi tanda bahwa terlalu sedikit orang yang mau meluangkan waktu untuk melapor, sehingga keseimbangan metode pelaporan massal mulai rusak
    • Pada 2007, saya pernah memposting tulisan yang bisa mengidentifikasi saya secara pribadi di sebuah papan diskusi. Di forum tulisan itu sudah saya hapus, tetapi masih tersisa di ringkasan hasil pencarian Google. Ketika saya meminta penghapusan lewat email ke Google, mereka benar-benar menghapusnya dan seseorang bahkan membalas “done”
      Itu benar-benar era yang berbeda
    • Saya biasanya termasuk yang paling depan mengkritik Google, tetapi kalau sering melaporkan phishing ke Google, setidaknya situs phishing yang dihosting di Google biasanya cukup cepat diturunkan. Saya tidak pernah mendapat balasan dan saya kira semuanya otomatis, tetapi tetap jauh lebih baik daripada banyak penyedia hosting lain
      Kalau melaporkan situs web berbahaya ke namecheap, kadang situs itu tetap hidup berbulan-bulan; mereka juga buruk, tetapi ada banyak pihak yang lebih parah dalam menangani laporan penyalahgunaan. Google memang masih bisa lebih baik, tetapi dalam praktiknya cukup lumayan
      Namun kasus ini adalah satu alasan lagi mengapa semua orang harus memblokir iklan. Pemblokiran iklan membuat semua orang lebih aman
    • Saya penasaran apakah Anda pernah menemukan situs web yang berhenti berfungsi ketika diblokir seperti ini
  • Perantara iklan harus diberi sebagian tanggung jawab atas iklan penipuan, atau iklan harus dibuat sangat terikat pada identitas asli, atau keduanya. Saya tidak suka kewajiban impressum gaya Jerman untuk publikasi umum, tetapi iklan berbeda
    Sebab iklan menyusup secara agresif ke situs lain dengan cara yang tidak bisa dikendalikan pengguna. Selain memblokir semua iklan, tidak ada pilihan lain
    Jika mengklik sudut iklan, pengguna seharusnya bisa melihat nomor perusahaan dan alamat bisnis pihak yang bertanggung jawab. Iklan “luar negeri” yang masuk dari negara lain harus diverifikasi lebih ketat. Sebab jika itu penipuan, meskipun tidak anonim pun akan jauh lebih sulit mendapatkan pemulihan

  • Menurut artikel, ķeepass[.]info meski terlihat seperti itu di bilah alamat, sebenarnya adalah notasi terenkode yang merujuk ke xn--eepass-vbb[.]info, dan digunakan untuk menyebarkan malware FakeBat. Dipadukannya iklan Google dengan situs web yang URL-nya nyaris sama membuatnya menjadi tipuan yang hampir sempurna
    Pada 2017, Google Chrome 59 disebut telah memperbaiki serangan phishing Punycode. Contoh: https://www.engadget.com/2017-04-17-google-chrome-phishing-u...
    Mungkin saja pelaku kejahatan yang gigih menganalisis source code Chromium yang memeriksa Punycode, lalu menemukan celah yang mengizinkan ķ alih-alih k
    https://www.xn--80ak6aa92e.com/ --> “аррӏе.com” palsu memunculkan peringatan phishing
    https://xn--eepass-vbb.info/ --> “ķeepass.info” palsu tidak memunculkan peringatan

    • Dalam aturan domain internasionalisasi Chrome yang terkait [1], deteksi “karakter mirip dari sistem tulisan campuran” dan “karakter mirip dari seluruh sistem tulisan” tampaknya menjadi inti
      ķ (U+0137) termasuk huruf Latin [2], jadi menurut saya “ķeepass.info” tidak akan terkena pemeriksaan karakter mirip dari sistem tulisan campuran
      Dalam daftar glyph “karakter mirip dari seluruh sistem tulisan” [3] pun ķ tidak terlihat. Apakah seharusnya dimasukkan di sini? Di bagian huruf Yunani pada file tersebut ada komentar yang intinya “varian seperti ά, έ, ή, ί diabaikan”, jadi mungkin ada aturan bahwa huruf beraksen umumnya tidak dianggap sebagai karakter mirip
      Kalau begitu, ini masih cukup bisa dipahami. Misalnya jika nama domain yang mengandung é ditampilkan dalam bentuk Punycode, pengguna Prancis mungkin akan cukup kecewa
      [1] https://chromium.googlesource.com/chromium/src/+/main/docs/i...
      [2] https://www.compart.com/en/unicode/U+0137
      [3] https://source.chromium.org/chromium/chromium/src/+/main:com...
    • “Serangan Punycode” pertama menggunakan huruf Kiril dan sejenisnya, memakai karakter yang benar-benar tak bisa dibedakan dari huruf “asli”. Mungkin asumsinya, pengguna bisa mengenali dan menghindari huruf dengan tanda diakritik, meski sulit dibedakan dari debu di layar
      Toh pada akhirnya orang tidak akan masuk ke “göogle.com”, kan?
  • Di saat Google berperang melawan pemblokir iklan di YouTube, mereka sekali lagi menunjukkan bahwa kita sama sekali tidak bisa memercayakan tanggung jawab menampilkan iklan yang aman kepada mereka
    Selain itu, mereka juga menayangkan video perang sebagai iklan kepada anak-anak kecil

    • Saya terus melaporkan iklan yang tidak pantas, menipu, atau terang-terangan ilegal, tetapi biasanya iklan itu kembali dalam 1–2 minggu, atau bahkan tidak dihapus sejak awal
      Yang paling saya suka khususnya adalah iklan charger batu bata bodoh yang katanya bisa “mendefrag ponsel secara ajaib” dan iklan pistol mikro Ghost
    • Sementara itu, mereka mencegah jurnalis memakai video perang tanpa konteks
    • Anak berusia tujuh tahun terus-menerus mendapat iklan perlengkapan cukur termasuk pisau cukur. Tentu saja Google tahu ayahnya berjanggut lebat, tapi lepas dari candaan, saya tidak ingin anak tertarik pada mata pisau, jadi saya memasang pemblokiran iklan untuk seluruh rumah
    • Kalau ingin menampilkan iklan yang aman, itu berarti seseorang harus meninjau iklan. Gedung tempat Google menyuruh orang menonton iklan YouTube mungkin akan membutuhkan jaring ala Foxconn
  • Saya merasa cukup peduli pada keamanan, tetapi saya tidak tahu apakah saya akan menyadari yang ini. Ini alasan lain untuk memakai uBO tanpa penyesalan

    • Saat melihat tangkapan layar, satu-satunya pikiran saya adalah “sepertinya saya harus membersihkan debu di monitor”. Kalau tidak ada uBO, saya 100% akan tertipu
    • uBlock Origin memang bagus, tetapi saya tidak tahu apa hubungannya dengan serangan kemiripan domain internasionalisasi. Di lingkungan saya, ini tidak diblokir
    • Apa itu uBO?
  • “Perusahaan menyatakan bahwa begitu iklan penipuan dilaporkan, mereka segera menghapusnya secepat mungkin”
    Kalau mereka ingin menjadi bagian dari solusi, mereka akan memverifikasi iklan sebelum dipublikasikan. Tapi itu tidak bisa diskalakan, sehingga orang-orang tertipu, masyarakat dirugikan, dan Google menghasilkan uang dalam jumlah yang tak sanggup mereka tangani. Transaksi yang cukup adil...?
    Seperti yang banyak orang katakan, memblokir iklan internet adalah bagian dari penggunaan internet yang sehat dan aman

    • Batasnya memang halus. Jika Google mulai melakukan pra-moderasi iklan dan sampai memblokir sebagian iklan yang cukup sah, akan ada artikel lagi tentang itu
      Moderasi adalah masalah yang sulit dipecahkan. Kita menginginkan kemudahan untuk hal yang benar, dan pemblokiran kuat untuk apa pun yang sedikit saja mencurigakan. Pasti ada satu-dua hal yang terlewat
      Intinya di sini adalah apakah ini kasus pengecualian, atau masalah menonjol di mana banyak kasus seperti ini disetujui di iklan Google, tetapi artikel tersebut tidak memberikan jawabannya
    • “Perusahaan menyatakan bahwa begitu iklan penipuan dilaporkan, mereka segera menghapusnya secepat mungkin”
      Masalah yang sama sudah ada setahun lalu, dan prefiks nama domainnya juga tampak sama
      https://www.bleepingcomputer.com/news/security/google-ad-for...
    • Mereka tidak melakukan moderasi konten kecuali dibayar atau untuk tujuan baik. Google Ads bukan keduanya
  • Jika aku harus melewati segala macam prosedur karena KYC (Know Your Customer), rasanya perusahaan-perusahaan juga seharusnya melakukan hal yang sama dalam kasus-kasus seperti ini yang membuat hidup jadi sulit
    Iklan menyesatkan, panggilan spam, barang palsu di tempat seperti Amazon, sampai email—semuanya begitu
    Seolah-olah semuanya dibuat agar semua penipu di dunia bisa menjangkauku 100%, tetapi perusahaan-perusahaan yang memungkinkan hal ini justru tidak bisa dijangkau dengan cara apa pun

    • Asimetri informasi yang menjadi dasar ekonomi penipuan ini benar-benar membuat kesal
  • Ini taktik yang cukup cerdik. Kalau aku melihat tautan itu dalam konteks selain iklan, mungkin aku juga bisa tertipu
    Biasanya penggantian Unicode terlihat sedikit saja aneh sehingga aku sudah belajar mengenalinya, tetapi kasus ini berbeda. Meski ada panah yang menunjuk, aku tidak melihat titik di bawah k, dan bagi mataku itu tampak seperti debu atau noda kecil di monitor
    Di layar ada banyak hal seperti itu, dan sistem penglihatan kita sangat pandai mengabaikan noise semacam itu

    • Aku juga sepertinya akan tertipu persis sama. Namun karena aku memakai dark mode, titik itu tampil sebagai titik putih di atas latar hitam, jadi tidak terlihat seperti debu di layar. Terlihat jelas
      Bukan debu seperti piksel hitam yang menghalangi cahaya, melainkan piksel putih yang menyala. Aku tidak pernah terpikir menganggap dark mode sebagai sarana peningkatan keamanan :)
    • Ada banyak karakter yang sangat sulit dibedakan. Browser seharusnya menangkap hal seperti ini, tetapi tidak selalu bisa
  • Punycode sejak awal kegunaannya memang meragukan. Ini memang terutama dari sudut pandang pengguna alfabet Latin, tetapi berbagai situs dari wilayah beraksara non-Latin yang kulihat selama 10 tahun terakhir semuanya memakai domain ASCII biasa
    Bahkan pada nama pengguna di situs web yang mengizinkan Unicode, terlihat bahwa pengguna aksara non-Latin pun kebanyakan memakai nama pengguna beralfabet Latin
    Dalam praktiknya, Punycode hampir seluruhnya dipakai untuk domain spam. Domain berbahasa Kiril atau Asia pun sebagian besar tidak memakai Punycode
    Aku memahami konsep Punycode dan secara teknis itu mengesankan, tetapi di domain ia telah menjadi masalah phishing yang sangat besar

    • Aku sepenuhnya mendukung bahasa tiap negara, dan ASCII tidak cocok bagi sebagian besar umat manusia. Namun jelas bahwa Unicode saat ini tidak cocok untuk aplikasi yang sensitif terhadap keamanan
      Bahkan aku yang memakai beberapa bahasa Eropa membutuhkan kurang dari 10 karakter Unicode, dan sebenarnya masing-masing masih berupa kode ISO 8859-15 8-bit. Meski membutuhkannya, kebanyakan situs bahkan tidak mendaftarkan domain Punycode, melainkan memakai versi ASCII yang merusak namanya
      Sebagai langkah praktis, browser seharusnya bertanya saat pengguna pertama kali memasukkan URL yang berisi karakter non-ASCII, apakah akan mengizinkan URL dalam bahasa tertentu. Mengizinkan satu atau dua bahasa saja sudah akan sangat mengurangi permukaan serangan bagi sebagian besar pengguna
    • Salah satu masalah domain ASCII adalah pemetaan fonetik bahasa CJK
      Misalnya sekarang asahi.com sudah diambil oleh 朝日 (koran Asahi), sehingga Asahi town (旭) tidak bisa memakainya. Tentu saja bisa memakai sesuatu seperti asahi-town.co.jp, tetapi ada banyak nama tempat Asahi dengan penulisan lain juga (旭日, 朝陽, 浅緋, dan sebagainya)
      Tidak masuk akal meminta semuanya memakai varian ASCII yang arbitrer. Itu baru bicara nama tempat di Jepang, belum lagi masalah tumpang tindih di seluruh wilayah yang memakai aksara Han
      Apakah domain semacam ini benar-benar terdaftar lebih mirip masalah ayam dan telur, dan ruang konflik di atas tampaknya tidak akan terselesaikan rapi di dalam alfabet ASCII
      Kerentanan domain ASCII Barat terhadap penipuan memang masalah, tetapi membakar lumbung demi membasmi kutu juga bukan solusi
    • Aku tinggal di negara non-Inggris, dan secara teknis ada domain non-ASCII, tetapi sangat jarang. Mayoritas mutlak situs web memakai huruf Latin
      Namun pada TLD khusus seperti .рф, menurutku Punycode itu sendiri bukan masalah. Misalnya bentuk seperti кремль.рф menurutku baik-baik saja
    • Banyak orang mungkin ingin mendaftarkan nama mereka sendiri, nama kota, dan sebagainya. Semua ini tampak sebagai kasus penggunaan yang valid
      Orang bisa saja mengatakan bahwa semua yang melampaui ASCII itu mencurigakan, tetapi orang yang bahasa ibunya bukan Inggris akan selalu menentangnya
    • Ini mungkin pendapat yang tidak populer, tetapi memaksakan seluruh Unicode ke dalam nama domain adalah ide buruk. Seharusnya tetap pada ASCII [A-Za-z0-9-] yang tidak membedakan huruf besar-kecil
  • Salah satu cara mengurangi iklan berbahaya adalah transparansi. Setiap iklan harus memuat kontak legal pengiklan, yaitu nama perusahaan dan negara
    Itu tidak akan menyelesaikan masalah sepenuhnya, tetapi konsumen bisa menghindari iklan dari perusahaan Eropa Timur yang mencurigakan. Peneliti keamanan juga akan lebih mudah melacak pelaku jahat, dan Google sebagai platform iklan pun akan punya sebagian tanggung jawab
    Facebook sudah melakukan ini untuk iklan politik, jadi hal itu memungkinkan

    • Kalau begitu, pendapatan Google dan Facebook akan turun
      Kecuali pemerintah memaksa atau risiko tanggung jawab hukumnya menjadi terlalu besar, mereka tidak akan melakukannya secara sukarela
    • Kenapa Eropa Timur dianggap mencurigakan?
      Bukankah itu agak xenofobik?
    • Cukup buat basis data sertifikat SSL untuk semua situs web[0], lalu bandingkan dengan situs web yang sedang diakses atau situs web yang membeli slot iklan
      [0] https://www.cloudflare.com/learning/ssl/what-is-an-ssl-certi...
    • Kalau begitu akan sangat bagus