JAKARTA (IndoTelko) - Symantec Security Response mengungkapkan memasuki puncak musim belanja tahun ini, para pebisnis ritel, baik offline maupun online, serta konsumen menghadapi risiko ancaman terhadap keamanan data kartu pembayarannya.
Jumlah serangan formjacking telah melonjak di tahun 2018, di mana Symantec melakukan pemblokiran terhadap hampir 700 ribu upaya pembajakan mulai dari pertengahan September hingga pertengahan November.
Peningkatan serangan formjacking ini adalah salah satu peristiwa besar yang terjadi di tahun 2018, di mana penjahat siber seperti Magecart menggunakan serangan rantai pasokan dan taktik lain untuk menyuntikkan skrip berbahaya ke situs web untuk mencuri informasi kartu pembayaran.
Ada juga serangan terhadap sistem point-of-sale (PoS) di toko-toko offline tahun ini, meskipun sejauh ini tidak ada satu pun dari serangan tersebut yang dapat dibandingkan dengan pelanggaran data terbesar di awal dekade ini, di mana puluhan juta kartu kredit terkena dampaknya dalam satu serangan.
Titik Kelemahan
Menurut penelitian yang baru-baru ini dilakukan oleh tim Deepsight Managed Adversary dan Threat Intelligence (MATI) dari Symantec (diterbitkan dalam laporan MATI dengan judul “Bagaimana Para Penjahat Siber Mendapatkan Uang dari Akses Sistem PoS yang Tidak Sah dan Pencurian Data Kartu” tertanggal 1 November 2018), di darknet (jalur gelap Internet), para pelaku serangan di dunia bisnis memperjualbelikan akses ke sistem PoS dengan harga mulai dari US$12 untuk akses administratif ke satu mesin PoS, hingga US$60 ribu untuk akses ke jaringan perusahaan besar yang berisi ribuan server dan terminal PoS.
Sementara itu, tergantung pada kualitasnya, data kartu pembayaran di darknet dijual dengan harga antara 1 hingga 175 dollar AS per kartu.
Teknik yang digunakan oleh para pelaku serangan PoS tetap sama dan tidak berkembang pesat dalam beberapa tahun terakhir, di mana para scammer ini masih menggunakan malware “RAM-scraping” untuk mencuri detail informasi data kartu pembayaran.
Malware yang menyerang RAM ini dapat bekerja karena adanya transmisi data di sekitar sistem para pebisnis retail.
Para pebisnis ritel umumnya menggunakan enkripsi pada tingkat jaringan di jaringan internal mereka untuk melindungi data saat data bergerak dari satu sistem ke sistem lainnya.
Namun, nomor kartu pembayaran tidak dienkripsi dalam sistem itu sendiri dan masih dapat ditemukan dalam memori sistem PoS dan sistem komputer lain yang berfungsi untuk memproses atau meneruskan data.
Kelemahan ini memungkinkan penyerang untuk menggunakan malware yang menginfeksi RAM untuk mengekstrak data ini dari memori saat data sedang diproses di dalam terminal tersebut, dan bukan pada saat data sedang ditransmisikan melalui jaringan.
Kelompok Penjahat
Dua kelompok penjahat siber yang populer di ranah malware PoS adalah FIN7 dan FIN6. FIN7 adalah salah satu kelompok penjahat siber yang terkenal, yang telah mencuri lebih dari US$1 miliar dari perusahaan-perusahaan di seluruh dunia.
FIN7 menggunakan email spear-phishing canggih guna meyakinkan target untuk mengunduh lampiran yang kemudian menginfeksi jaringan perusahaan mereka dengan malware. Malware yang digunakan oleh FIN7 biasanya adalah versi khusus dari malware Carbanak, yang telah digunakan dalam beberapa serangan terhadap bank.
Perusahaan-perusahaan yang diserang oleh FIN7 meliputi brand-brand ternama seperti Chipotle, Chilli's, dan Arby's, di mana kelompok ini diprediksi telah menginfeksi ribuan lokasi bisnis dan telah mencuri jutaan nomor kartu kredit.
Kelompok FIN6 terdeteksi pertama kali pada tahun 2016 ketika kelompok tersebut menggunakan malware backdoor Grabnew dan FrameworkPOS untuk mencuri lebih dari 10 juta rincian informasi kartu kredit. Kelompok ini juga aktif pada tahun 2018 dan terdeteksi mengeksploitasi tool-tool ‘living off the land’, seperti Windows Management Instrumentation Command (WMIC) dan kerangka Metasploit untuk mengeksekusi perintah PowerShell.
Kedua kelompok diyakini telah meraup jutaan dolar dengan menjual rincian informasi data kartu yang mereka curi di pasar darknet, di mana sepertinya pasar Stash Joker merupakan tempat sebagian besar transaksi ini dilakukan.
Namun, beberapa faktor baru-baru ini bermunculan yang dapat berdampak pada keadaan seputar serangan PoS, dan aktivitas kelompok-kelompok tersebut, yaitu:
Tiga anggota FIN7 ditangkap: Pada bulan Agustus tahun ini, Departemen Kehakiman AS mengeluarkan dakwaan terhadap tiga warga negara Ukraina yang diduga merupakan anggota kelompok FIN7: Dmytro Fedorov, Fedir Hladyr, dan Andrii Kopakov.
Ketiga pria itu dilaporkan memiliki peran penting di FIN7: Hladyr sebagai administrator sistem, dan Fedorov dan Kopakov sebagai pengawas kelompok peretas. Meskipun kegiatan FIN7 terus beroperasi sejak penangkapan-penangkapan ini, tertangkapnya mereka dapat mempengaruhi aktivitas kelompok tersebut ke depannya.
Peningkatan adopsi chip dan chip-and-PIN: Peningkatan adopsi chip di AS, dan teknologi chip-and-PIN secara global, oleh penerbit kartu pembayaran telah mengurangi ketersediaan informasi kartu pembayaran yang “dapat digunakan” di pasar gelap.
Jika penjahat siber menyerang sistem PoS yang memproses 50% kartu yang menggunakan chip-and-PIN, maka hanya 50% dari kartu-kartu tersebut yang dapat digunakan, atau dijual, oleh mereka. Karena teknologi chip-and-PIN kini semakin umum digunakan di seluruh dunia dan mengurangi jumlah sistem PoS yang mampu menghasilkan data kartu yang dapat dimonetisasi oleh pelaku kejahatan siber, para ahli MATI Symantec percaya bahwa harga akses PoS yang tidak sah akan menurun, sementara informasi kartu pembayaran yang dicuri yang dapat digunakan akan mengalami peningkatan harga karena kelangkaannya.
Serangan PoS
Satu pelaku kejahatan baru yang kami lihat telah terlibat dalam aktivitas berbahaya di mesin PoS pada tahun 2018 adalah kelompok yang kami sebut Fleahopper.
Fleahopper telah aktif setidaknya sejak bulan Juli 2017. Ini adalah kelompok bermotif finansial yang tampaknya memonetisasi korbannya dengan mencuri informasi dari mesin terinfeksi yang menjalankan software PoS.
Pada paruh kedua tahun 2018, Fleahopper menggunakan botnet Necurs untuk menginfeksi korban. Hal ini dilakukan dengan dua cara: melalui bot Necurs dan melalui email spam, yang kemungkinan berasal dari botnet Necurs. Symantec telah mengamati Fleahopper yang mengirimkan malware secara langsung melalui bot Necurs, di mana bot mengirim malware dari Fleahopper ke mesin yang telah terinfeksi oleh Necurs.
Mesin yang tidak terinfeksi Necurs mungkin masih terinfeksi oleh Fleahopper melalui spam yang berasal dari botnet Necurs.
Email spam yang mengirim malware dari Fleahopper telah terdeteksi melampirkan file Microsoft .pub yang berbahaya. File .pub ini mengunduh penginstal untuk malware yang digunakan oleh Fleahopper, Trojan.FlawedAmmyy.
Trojan.FlawedAmmyy RAT adalah versi modifikasi dari tool akses jarak jauh yang tersedia untuk umum, yaitu Ammyy Admin (Remacc.Ammyy). Meskipun Trojan.FlawedAmmyy tidak diyakini eksklusif untuk Fleahopper, kelompok tersebut menggunakan Trojan.FlawedAmmyy untuk mengirimkan tool-tool mereka.
Setelah mereka berhasil menyerang satu perusahaan, Fleahopper telah dideteksi mengirimkan sejumlah file ke mesin yang menjalankan software PoS. Fleahopper menginstal file Remote Desktop Protocol (RDP) resmi yang dimodifikasi ke mesin terinfeksi yang menjalankan software PoS. Hal Ini memberikan Fleahopper akses desktop jarak jauh ke mesin terinfeksi yang terpisah dari akses melalui malware. Symantec telah mendeteksi Fleahopper menggunakan akses ini.
Symantec telah mengamati aktivitas Fleahopper pada mesin-mesin di supermarket, toko furnitur, restoran, dan toko yang menjual pakaian pria. Aktivitas grup ini tampaknya telah tersebar di seluruh dunia, di mana beberapa aktivitas terlihat menargetkan perusahaan yang berbasis di Amerika dan Inggris.
Beberapa malware PoS lain yang telah terdeteksi digunakan oleh berbagai kelompok pada tahun 2018 di antaranya adalah RtPOS, Prilex, LusyPOS, LockPOS, GratefulPOS, dan FindPOS.
"Kami pertama kali mempublikasikan penelitian tentang formjacking pada akhir September 2018, setelah serentetan serangan terhadap perusahaan-perusahaan ternama oleh kelompok serangan Magecart. Salah satu target Magecart adalah Ticketmaster UK, British Airways, Feedify, dan Newegg. Salah satu target mereka yang terbaru adalah perusahaan ritel kit elektronik yang berbasis di Inggris, Kitronik," tulis tim Symantec Security Response.
Formjacking adalah istilah yang digunakan untuk menggambarkan penggunaan kode JavaScript berbahaya untuk mencuri detail kartu kredit dan informasi lainnya dari formulir pembayaran pada halaman checkout di situs web e-commerce. Ini bukan teknik baru, tetapi pada paruh kedua tahun 2018, serangan tersebut telah menyita banyak perhatian karena beberapa kampanye besar, yang banyak di antaranya telah dilakukan oleh Magecart. Penelitian yang baru-baru ini dirilis menyatakan bahwa Magecart bukan hanya satu kelompok, melainkan sekitar tujuh kelompok yang semuanya terlibat dalam kegiatan serupa.
Ketika pelanggan situs eCommerce mengklik "submit”/kirim atau semacamnya setelah memasukkan detail data informasi mereka ke dalam formulir pembayaran situs web, kode JavaScript berbahaya yang telah disuntikkan ke sana oleh para penjahat siber mengumpulkan semua informasi yang dimasukkan, seperti detail kartu pembayaran, serta nama dan alamat pengguna. Informasi ini kemudian dikirim ke server penyerang.(pg)