Hacking Phishing-as-a-Service
You may have just clicked on a Phishing Ad
Saya muak terhadap iklan yang bertebar ketika membuka reels di facebook, selain iklan malware, iklan judol, banyak juga iklan phishing game (Free Fire, Mobile Legends) dan juga iklan yang mengundang untuk join ke group 18+ karena pastinya iklan-iklan tersebut adalah iklan yang hanya menginginkan credentials akun social media kita dan pastinya dapat merugikan diri kita sendiri.
Phishing atau password fishing sendiri adalah salah satu cara yang banyak digunakan oleh Threat actor untuk mendapatkan akses / credentials terhadap salah satu service seperti akses ke sosial media (Facebook, TikTok, Instagram, WhatApp, dll) setelah mendapatkan akses ke service tersebut umumnya akun kita akan digunakan untuk hal-hal merugikan lainnya.
Sebelum bahas Phishing-as-a-Service yang sekarang, mungkin teman-teman pernah dengar tentang 16Shop, sebuah phishing kit yang dibuat oleh orang Indonesia dan akhirnya ditangkap oleh pihak berwajib yang bekerja sama dengan Interpol dan temuan yang ditulis saat ini juga mirip, mereka menjual sebuah jasa untuk membuat web phishing dengan cara self-service.
Long-Short Story, setelah muncul iklan reels di Facebook yang disertai dengan Phishing saya coba analisa secara sederhana dan dengan memanfaatkan salah satu fitur yang tidak divalidasi dengan baik saya mendapatkan akses ke network mereka.
pada salah satu subdomain terdapat sebuah website yang digunakan sebagai toko untuk membuat web phishing.
berdasarkan informasi file, kemungkinan group ini sudah beroperasi mulai pada pertengahan tahun 2023 lalu.
terdapat website untuk membuat phishing secara berbayar, dengan membayar sebesar 10rb menggunakan qris, kita akan diarahkan untuk membuat tema yang akan dibuat.
terdapat banyak pilihan phishing yang bisa dibuat dalam hal ini saya menyebutnya sebagai lure, lure yang disediakan seperti free item game, free top up game, free download cheat game, free download mediafire hingga tawaran join ke group 18+
setelah berhasil maka akan tampil halaman verify
ketika halaman phisihing ini sudah selesai dibuat maka pembeli akan melakukan spreading phishing ini dengan menggunakan social media Ads.
cara kerja web phishing ini sama seperti pada phishing lainnya yaitu dengan mengirimkan input korban ke email penerima, hanya saja fitur self-servicenya yang menjadikannya sebagai Phishing-as-a-service dan juga terdapat fitur “bot verification” untuk menghindari terdeteksi sebagai deceptive site dari penyebaran di iklan social media, umpan dan delivery yang diberikan bisa dikatakan cukup halus karena ketika korban terpancing dengan umpan maka akan muncul pop-up login facebook seperti ini dan tanpa sadar korban akan mengisikan credentials mereka
selain itu kami juga mendapatkan akses untuk masuk ke panel phishing mereka dan server mereka
Setelah melakukan analisa lanjutan terdapat informasi footer pada email hasil phishing yang mengarah pada domain bagasarya[.]com yang digunakan sebagai halaman toko, jika kita membelinya maka kita akan diarahkan ke coky[.]g-code[.]co[.]id dan pada phishing file yang lain juga terdapat domain marketplace yang digunakan untuk mempromosikan Phishing-as-a-Service ini yaitu ezzystore[.]my[.]id
server ini berjalan di hosting niagahoster sebagai halaman pembelian and self-service
lalu pada aplikasi pembelian ini akan membuat sebuah subdomain dari sebuah domain yang telah didaftarkan pada server whm lain yang telah disetting
Server WHM yang digunakan saat ini adalah Hetzner dengan IP: 5.78.115.183 dan teregister sebagai nama domain eren[.]busana[.]my[.]id
Lihat arsip di sini (awas BWK)
Informasi lainnya yang dapat ditemukan adalah pemilik dari Ph-aaS ini berdasarkan informasi whois bagasarya[.]xyz dan ga-pedia[.]com bisa dicek di https://osint.sh/whoishistory/ dan saat ini operasi mereka sedang terganggu dikarenakan hal ini :)
Lesson Learned
- Jangan langsung percaya terhadap informasi yang tersebar di Internet, apalagi di Iklan social media
- Jangan terlalu FOMO
- Selalu Cek and Ricek
- Pastikan akun social mediamu aman dengan menggunakan password yang rumit dan aktifkan 2FA
Fun Fact: If you came here without any reason, maybe you just clicked on a phishing ad.