Meretas Balik Pelaku Penipuan SMS USPS

 (blog.smithsecurity.biz)
4 poin oleh GN⁺ 2024-08-10 | 3 komentar | Bagikan ke WhatsApp
  • Menerima SMS penipuan dari nomor acak: "Paket USPS telah tiba, tetapi tidak dapat dikirim karena kesalahan alamat. Klik tautan di bawah untuk memeriksa alamat.."
  • Langsung sadar bahwa ini penipuan, tetapi orang lain bisa tertipu. Istri penulis juga pernah tertipu beberapa bulan lalu
  • Setelah membagikannya di kanal online, seseorang (disebut S1n) memutuskan untuk membalas para scammer

Investigasi awal

  • Melalui pemindaian nmap, ditemukan lebih banyak domain dan wilayah yang mereka gunakan
  • Menjelajahi situs sambil mencegat lalu lintas menggunakan Burp Suite
  • Situs yang ada di pesan tampak sebagai klon dari situs USPS asli
  • Dengan mengonfirmasi IP yang sama, dipastikan bahwa itu memang scammer

Komunikasi WebSocket

  • Melalui komunikasi WebSocket, situs mengirim nama file dan menerima isinya sebagai balasan
  • Ini mengarah pada kerentanan local file inclusion (LFI)
  • Melalui LFI, diperoleh lebih banyak informasi tentang lingkungan sistem

Analisis file PHP

  • Semua file PHP dari situs penipuan berhasil didapatkan
  • File-file tersebut sangat diobfuscate dan mengandung karakter Mandarin
  • Situs berkomunikasi melalui kanal Telegram dan menyimpan data ke server MySQL

Pengumpulan informasi tambahan

  • IP konfigurasi diidentifikasi melalui log akses nginx
  • Berdasarkan informasi sertifikat dan IP, diperkirakan pelakunya adalah scammer dari Tiongkok

SQL injection

  • Menyebabkan error dengan menggunakan tanda kutip tunggal pada parameter POST
  • Menggunakan SQLMap untuk mengakses database milik scammer
  • Menelusuri isi database untuk memeriksa informasi para scammer

Menjelajahi database

  • Memeriksa informasi admin scammer di tabel admin
  • Memeriksa informasi konfigurasi situs di tabel config
  • Memeriksa informasi rinci para korban di tabel userinfo; ada 3818 orang yang terdaftar
  • Memeriksa informasi pelacakan pengunjung situs di tabel records

Penutup

  • S1n tidak menjelaskan bagaimana semua bukti ini akan diproses, tetapi kemungkinan besar bukti tersebut akan diserahkan ke pusat kejahatan internet agar situs ditutup dan para pelaku diadili

Bacaan terkait

3 komentar

 
xguru 2024-08-11

Di sini juga banyak pesan spam yang mengirim URL aneh seperti itu; kalau diterapkan dengan cara yang sama, kira-kira bisa juga tidak ya?
 
tempus 2024-08-12

Menurut hukum domestik, serangan terhadap server di luar negeri juga berpotensi menimbulkan masalah.
Setidaknya, sepengetahuan saya, hal itu hanya diizinkan secara sangat terbatas, paling tidak di ranah publik.
 
GN⁺ 2024-08-10
Pendapat Hacker News

  • NanoBaiter: Di YouTube, ia memancing penipu lalu meretas sistem mereka untuk mengganggu operasi mereka

    • Mengidentifikasi penipu, melaporkannya ke polisi, dan mencoba mengupayakan pengembalian dana untuk korban
    • Memproses pengembalian dana kepada korban melalui akun Stripe dan menangkap rekaman penggerebekan polisi lewat CCTV

  • Salt dari kata sandi yang dienkripsi: "wangduoyu666!.+-" digunakan

    • Ditemukan nama pengguna serupa seperti "wangduoyu666", "wangduoyu8", dan "wdy666666"
    • Ada kemungkinan akun GitHub, LinkedIn, dan lainnya dapat ditemukan lewat pencarian Google
    • Di Telegram, ia menggunakan nama palsu dan mencatut nama seorang penyanyi Tiongkok
    • Di akun Telegram cadangan juga menggunakan nama yang serupa
    • Di kanal YouTube, banyak video diunggah yang menjelaskan cara melewati firewall Tiongkok

  • Pendidikan etika teknologi: Seorang mahasiswa ilmu komputer di Tiongkok menggunakan keterampilan yang dipelajarinya untuk mendapatkan penghasilan tambahan

    • Menekankan perlunya pendidikan etika teknologi
    • Menunjukkan bahwa teknologi yang kuat diajarkan, tetapi pendidikan tentang etika masih kurang

  • Jaringan Smishing Triad: Mengirim hingga 100 ribu pesan teks penipuan per hari ke seluruh dunia

    • Penipuan iMessage memakai e2ee, tetapi penipuan SMS seharusnya bisa dideteksi
    • Menyebut perlunya lembaga penegak hukum yang mampu menangani kejahatan siber secara efektif
    • Berpendapat bahwa AS membutuhkan versi Blue Team milik NSA

  • Meretas penjahat siber: Pertanyaan apakah meretas penjahat siber bisa dihukum secara hukum

    • Menjelaskan situasi yang mirip dengan menerobos masuk ke rumah pencuri untuk mengambil kembali barang yang dicuri

  • Cara mengabaikan peretas dan penipu: Belajar bahwa mengabaikan peretas dan penipu adalah yang terbaik

    • Mereka bisa melakukan serangan balasan yang kuat, dan benar-benar bisa berbahaya
    • Menyebut kasus seorang teman yang meretas spammer lalu servernya diserang

  • Perlunya infrastruktur telepon/pesan teks yang baru: Menekankan perlunya infrastruktur yang mencegah spoofing nomor dan menyaring upaya penipuan

  • Klausul pengecualian CFAA: Berpendapat bahwa diperlukan klausul pengecualian dalam CFAA untuk situasi seperti ini