Penulis: Zhanhao Chen, Janos Szurdi dari Unit 42, Palo Alto Networks
Penjahat siber tak pernah kehabisan akal dalam melancarkan aksinya. Bahkan keteledoran pengguna pun bisa menjadi celah bagi mereka, seperti dalam teknik cybersquatting.
Para pengguna internet biasanya mengandalkan nama-nama domain saat melakukan pencarian situs web brand, layanan, profesional, atau situs web personal. Ini dimanfaatkan oleh para pelaku kejahatan siber dalam membuat jebakan yang patut diwaspadai.
Pelaku kejahatan siber membuat domain dengan menggunakan nama yang mirip atau mendekati nama domain brand-brand terkemuka dengan tujuan mengambil keuntungan dari para pengguna yang melakukan kesalahan akibat ketidakcermatan dalam mengenali nama domain yang seharusnya. Tindakan yang dilakukan oleh para pelaku kejahatan siber ini dikenal sebagai Cybersquatting.
Tujuan melakuan squatting domain adalah mengelabui para pengguna internet agar percaya bahwa mereka menemukan brand yang sesungguhnya sedang mereka cari. Penjahat siber akan membuat nama-nama domain yang mirip nama domain asli dari brand. Contohnya, Netflix, dengan squatting, penjahat siber bisa membuat nama domain, misalnya, netflix-payments[.]com. Penjahat siber juha mengambil keuntungan dari pengguna yang melakukan kesalahan pengetikan, misalnya whatsalpp[.]com untuk WhatsApp.
Meskipun saat ini cybersquatting tidak selalu berbahaya bagi para pengguna internet, namun upaya ini termasuk ilegal di Amerika Serikat[1] sebab squatting domain seringkali dilakukan untuk tujuan penyerangan atau tindak kejahatan siber.
Sistem pelacak squatting dari Palo Alto Networks menemukan 13.857 squatting domain telah teregistrasi pada Desember 2019, atau rata-rata 450 squatting domain teregistrasi setiap harinya. Palo Alto Networks menemukan sebanyak 2.595 (18,59%) nama-nama squatting domain berbahaya, kerap mendistribusikan malware atau menyebarkan serangan phishing. Ditemukan juga sebanyak 5.104 (36,57%) squatting domain yang berdasarkan hasil studi menghadirkan risiko tinggi bagi pengguna yang mengunjunginya. Artinya, terdapat bukti dari kumpulan URL-URL berbahaya di dalam domain tersebut atau menggunakan bulletproof hosting.
Palo Alto Networks juga membuat pemeringkatan Top 20 domain-domain yang paling banyak disalahgunakan pada Desember 2019 berdasarkan tingkat bahayanya yang berarti bahwa sebuah domain atau yang terkait dengan domain-domain squatting atau sebagian besar domain-domain squatting ini terkonfirmasi berbahaya. Palo Alto Networks menemukan bahwa pembuat domain-domain squatting mengincar target-target yang menguntungkan, seperti media sosial dan search engine populer, institusi finansial, situs web bank maupun perbelanjaan, di mana para penggunanya merupakan target pencurian dokumen-dokumen yang sangat penting atau uang melalui phishing dan scam.
Domain Berbahaya dan Tujuannya dalam Squatting
Dari Desember 2019 hingga sekarang, Palo Alto Networks telah mengamati sejumlah domain-domain berbahaya dengan berbagai tujuan:
- Phishing: sebuah domain mencatut nama Wells Fargo (secure-wellsfargo[.]org) dan menyasar pelanggan Wells Fargo. Tujuannya adalah mencuri informasi-informasi penting dan rahasia milik pelanggan, seperti kredensial surel dan PIN ATM. Juga ditemukan sebuah domain yang mencatut nama Amazon (amazon-india[.]online) yang merupakan jebakan untuk pencurian data-data penting pelanggan, terutama membidik para pengguna mobile di India.
- Penyebaran Malware: sebuah domain yang mencatut nama Samsung (samsungeblyaiphone[.]com) meng-hosting malware Azorult untuk melakukan pencurian informasi-informasi kartu kredit.
- Command & Control (C2): domain-domain pencatut nama Microsoft (microsoft-store-drm-server[.]com dan microsoft-sback-server[.]com) mencoba melakukan serangan C2 untuk mengganggu jaringan keseluruhan.
- Re-bill scam: beberapa situs phishing yang mencatut nama Netflix (seperti netflixbrazilcovid[.]com) melakukan jebakan untuk melakukan pencurian uang terhadap korban. Modusnya, pelaku kejahatan menawarkan korban untuk berlangganan produk penurun berat badan dengan pembayaran awal dalam jumlah yang tidak besar. Namun, apabila pengguna tidak membatalkan langganan tersebut setelah periode promosi berakhir, biaya dalam jumlah yang lebih besar akan ditagihkan ke kartu kredit mereka, biasanya jumlahnya berkisar antara $50-$100.
- Potentially unwanted program (PUP): domain-domain yang mencatut Walmart (walrmart44[.]com) dan Samsung (samsungpr0mo[.]online) ditemukan menyebarkan PUP, seperti spyware, adware atau browser extension. Mereka biasanya melakukan perubahan yang tidak diinginkan, seperti mengubah halaman default browser atau membajak browser untuk memasukkan iklan. Sebagai catatan, domain Samsung terlihat seperti situs web berita pendidikan Australia yang resmi.
- Technical support scam: domain-domain yang mencatut Microsoft (seperti microsoft-alert[.]club) mencoba menakut-nakuti pengguna agar membayar ke support pelanggan yang kenyataannya palsu.
- Reward scam: sebuah domain ditemukan mencatut nama Facebook (facebookwinners2020[.]com) dan melakukan scamming dengan menawarkan kepada pengguna sejumlah rewards, seperti pemberian produk-produk secara gratis atau bahkan uang. Untuk bisa melakukan klaim atas hadiah-hadiah tersebut, pengguna harus mengisi data-data personal seperti tanggal lahir, nomor telepon, pekerjaan dan jumlah penghasilan ke dalam formulir yang disediakan.
- Domain parking: sebuah domain yang mencatut RBC Royal Bank (rbyroyalbank[.]com) memanfaatkan layanan parkir populer, Parking Crew, untuk menghasilkan keuntungan berdasarkan berapa banyak pengguna yang membuka situs dan mengeklik iklan.
Perusahaan dan Pengguna Harus Waspada
Kami mempelajari teknik domain squatting, termasuk typosquatting, combosquatting, level-squatting, bitsquatting dan homograph-squatting (lihat definisinya di bawah). Para aktor kejahatan dapat menggunakan teknik-teknik ini untuk mendistribusikan malware atau untuk melakukan kegiatan-kegiatan penipuan dan phishing.