Liputan6.com, Jakarta - Pengambilalihan akun YouTube kini marak terjadi. Penyerang terutama menargetkan akun YouTube yang punya banyak subscriber. Sejumlah akun terkemuka, seperti milik BNPB Indonesia, komedian Sule, hingga penyanyi Vidi Aldiano sempat dibajak dan dipakai untuk mempromosikan mata uang dan aset kripto.
Sebenarnya, Google melalui Thread Analysis Group pernah melacak pihak tidak bertanggung jawab yang terlibat dalam kampanye disinformasi, peretasan didukung pemerintah, dan penyalahgunaan dengan motif finansial.
Baca Juga
"Sejak akhir 2019, tim kami telah menghentikan kampanye phishing dengan motif finansial menarget YouTuber dengan malware Cookie Theft," kata pihak Google dalam unggahan blog.
Advertisement
Menurut Google, pihak di balik kampanye ini terkait dengan kelompok hacker yang direkrut di forum berbahasa Rusia. Hacker ini memancing target dengan iming-iming peluang kolaborasi palsu, berupa demo software antivirus, VPN, pemutar musik, pengeditan foto, atau gim online.
Selanjutnya, kelompok hacker ini membajak kanal YouTube korban dan menjual ke penawar tertinggi atau menggunakan akun YouTube diretas tersebut untuk menyebarluaskan penipuan mata uang kripto.
YouTube mengungkap, dengan bekerja sama dengan Gmail, Trust & Safety, CyberCrime Investigationn Group, dan Safe Browsing, langkah perlindungan yang diterapkan berhasil menurunkan volume email phishing terkait Gmail sebesar 99,6 persen sejak Mei 2021.
"Kami telah memblokir 1,6 juta pesan yang ditargetkan ke pengguna, penampilkan 62 ribu halaman peringatan phishing Safe Browsing, memblokir 2,4 ribu file, dan memulihkan lebih dari 4.000 akun," kata Google.
Lebih lanjut Google juga melaporkan aktivitas-aktivitas serangan siber ke FBI untuk diinvestigasi lebih lanjut. Google juga mengungkap berbagai teknik dan taktik yang digunakan untuk memancing korban. Apa saja?
* Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.
1. Taktik dan Teknik
Penyerang menggunakan teknik pembajakan sesi yang dikenal sebagai pass-the-cookie untuk bisa mengakses akun pengguna yang menyimpan cookie-sesi di browser.
Teknik ini sudah ada selama beberapa dekade dan muncul lagi jadi masalah keamanan utama. Namun, akibat penggunaan autentikasi multi-faktor yang menyulitkan tindak penyalahgunaan, kini penyerang beralih menggunakan taktik manipulasi psikologis.
2. Manipulasi YouTuber
Banyak kreator YouTube yang mencantumkan alamat email di kanalnya untuk keperluan bisnis. Nah, hati-hati, pasalnya penyerang suka berpura-pura menjadi perusahaan resmi dan mengirimkan email bisnis yang menawarkan peluang kolaborasi untuk membuat video iklan.
Teknik phishing biasanya dimulai dengan email khusus yang memperkenalkan perusahaan dan produknya. Setelah target menyetujui kesepakatan, halaman arahan malware yang disamarkan sebagai URL untuk mengunduh software akan dikirim melalui email atau PDF di Google Drive. Dalam beberapa kasus dikirim melalui Google Doc yang berisi link phishing.
"Kami mengidentifikasi sekitar 15 ribu akun pelaku kejahatan dan sebagian besar memang dibuat khusus untuk kampanye ini," kata Google.
Advertisement
3. Halaman Arahan Akun Medsos Software Palsu
Penyerang bisa mendaftarkan beragam domain terkait perusahaan palsu dan membuat banyak situs untuk mengirim malware. Hingga kini Google mengidentifikasi 1.011 domain yang dibuat khusus untuk memanipulasi korban.
Sejumlah situs bahkan meniru situs software yang sah, misalnya Luminar, Cisco VPN, gim di Steam, hingga situs-situs yang memakai template online. Sepanjang pandemi juga ditemukan penyerang yang menyamar sebagai penyedia "software berita Covid-19".
Halaman media palsu ini juga menyalin konten dari perusahaan software sungguhan.
4. Kirim Malware Cookie Theft
Setelah target menjalankan software, malware cookie theft akan dijalankan mengambil cookie browser dari mesin perangkat korban dan mengunggah ke server command and control milik pelaku.
Teknik ini dipilih karena jika file berbahaya tidak terdeteksi saat dijalankan, hanya sedikit menyisakan artefak malware di host yang terinfeksi. Itu sebabnya produk keamanan gagal memberi tahu pengguna, ketika terjadi serangan.
Pelaku juga menggunakan berbagai jenis malware. Mulai dari RedLine, Vidar, Predator The Thief, Nexus stealer, dan lain-lain. Sebagian malware ini dikatakan bisa mencuri sandi dan cookie pengguna. Sejumlah malware juga bisa menampilkan pesan error palsu yang mengharuskan pengguna klik tombol untuk eksekusi program.
5. Scam Mata Uang Kripto
Begitu akun YouTube sudah didapat, salah satu yang dialami publik figur Indonesia adalah scam mata uang kripto. "Sejumlah besar channel yang dibajak diganti namanya untuk melakukan live streaming mata uang kripto," kata Google.
Dalam hal ini, nama kanal, foto profil, dan semua konten diganti dengan merek mata uang kripto tertentu untuk meniru perusahaan teknologi atau perusahaan bursa kripto ternama.
Dalam live streaming, pelaku kejahatan menayangkan video yang menjanjikan hadiah berupa mata uang kripto jika calon korban mau ikut dan mentransfer sejumlah uang untuk transaksi awal.
Di marketplace yang khusus menjual akun, kanal YouTube hasil pembajakan dijual mulai USD 3 hingga USD 4.000, tergantung jumlah subscriber.
6. Peretasnya?
Kampanye ini dilakukan oleh sejumlah penyerang dan peretas bayaran yang direkrut di forum berbahasa Rusia.
Advertisement
Apa Langkah Google untuk Amankan Pengguna?
Untuk melindungi pengguna dari serangan, Google mengklaim pihaknya meningkatkan metode pendeteksi dan berinvestasi pada alat dan fitur baru yang otomatis mengenali dan menghentikan ancaman. Adapun peningkatan yang digulirkan antara lain:
- Aturan heuristik tambahan untuk mendeteksi dan memblokir email phishing dan manipulasi psikologis, pembajakan melalui cookie theft, dan live streaming scam mata uang kripto.
- Safe Browsing yang lebih jauh mendeteksi dan memblokir halaman arahan atau download berisi malware.
- YouTube juga telah memperkuat alur transfer channel, yang mendeteksi dan otomatis memulihkan 99 persen channel yang dibajak.
- Keamanan akun juga telah memperkuat alur autentikasi untuk memblokir dan memberi tahu pengguna jika ada tindakan yang mungkin bersifat sensitif.
(Tin/Ysl)