Peneliti keamanan menyoroti operasi phishing yang menargetkan pengunjung beberapa situs dengan domain homograph dan memanfaatkan favicon yang dimodifikasi untuk menginjeksikan skimmer online dan mencuri informasi kartu pembayaran secara diam-diam.
“Idenya sederhana dan terdiri dari penggunaan karakter yang terlihat sama untuk menipu pengguna,” kata peneliti Malwarebytes dalam analisis yang baru-baru ini mereka terbitkan. “Terkadang karakter berasal dari kumpulan bahasa yang berbeda atau hanya menggunakan huruf besar ‘i’ untuk membuatnya tampak seperti huruf kecil ‘l’.”
Disebut serangan internationalized domain name (IDN) homograph, teknik ini telah digunakan oleh grup Magecart di beberapa domain untuk memuat kit skimmer populer yang tersembunyi di dalam file favicon.
Tipuan visual biasanya melibatkan pemanfaatan kemiripan laman dan mendaftarkan domain palsu dari domain yang sudah ada untuk menipu pengguna agar tidak menaruh rasa curiga ketika mengunjungi laman dan memasukkan malware ke sistem target.
Dalam beberapa kasus, Malwarebytes menemukan bahwa situs web yang sah (misalnya, “cigarpage[.]com”) telah diretas dan diinjeksi dengan potongan kode tidak berbahaya yang merujuk pada file ikon yang memuat versi peniru dari favicon situs berbahaya (“igarpaqe[.]com”).
Baca Juga: “Peretas Bisa Mencuri Kartu Kredit Hanya Melalui Metadata File Gambar“
Favicon yang dimuat dari domain homoglyph ini kemudian digunakan untuk memasukkan skimmer Inter JavaScript yang menangkap informasi yang dimasukkan dalam halaman pembayaran dan mengeksfiltrasi detail ke domain yang digunakan untuk menghosting file favicon berbahaya.
Menariknya, satu domain palsu (“zoplm[.]com”) yang didaftarkan bulan lalu sebelumnya terkait dengan Magecart Group 8, salah satu grup peretas di bawah Magecart yang telah dikaitkan dengan serangan web skimming di NutriBullet, MyPillow, serta beberapa situs web yang dimiliki oleh bursa berlian.
Pelanggaran MyPillow, khususnya, patut diperhatikan karena ada kesamaan dalam modus operandi, yang melibatkan injeksi JavaScript pihak ketiga berbahaya yang dihosting di “mypiltow[.]com,” sebuah homoglyph dari “mypillow[.]com.”
Karena penipuan phishing semakin canggih, penting bagi pengguna untuk memeriksa URL situs web agar bisa memastikan bahwa tautan yang terlihat memang tujuan sebenarnya, lalu hindari mengklik tautan mencurigakan dari email, pesan obrolan, dan konten lain yang tersedia untuk umum.
