Effective Phishing Strategic

Assalamualaikum Warahmatullahi Wabarakatuh, halo teman-teman di sini saya akan berbagi cara efektif setidaknya bagi use-case saya pribadi untuk melakukan phishing campaign! secara teknis banyak sekali goals dari phishing campaign itu sendiri, ada yang mendapatkan credentials, ada yang cari “data” ada yang untuk jadi entrypoint kalau saya sendiri phishing campaign untuk kebutuhan security awareness biasanya harus langsung berdampak dan terlihat dengan bumbu-bumbu dampak yang hiperbola.

Tangkapan layar di atas adalah log platform phishing milik saya, ada 4 komponen dasar yang cukup sensitif bagi orang-orang, PII data meliputi Foto kamera depan, User-Agent yang mengindikasikan perangkat yang digunakan juga nama atau nama full yang diisi mandiri oleh users, bagaimana sih caranya untuk bisa mendapatkan hal ini? berikut detailnya.

Quiz Phishing

Platform yang saya kembangkan adalah platform quiz di mana user “dipaksa” percaya dan “dipaksa” untuk menggunakan muscle memory sampai tidak sadar dirinya terjebak dalam phishing campaign, sebelum masuk ke bagaimana caranya saya akan jelaskan kenapa harus platform quiz jawabannya karena use case-nya bisa untuk hal apapun, misal dipancing reward kita bisa arahkan dulu ke phishing quiz, misal untuk kebutuhan data juga bisa universal lah pokoknya, tanpa berlama-lama berikut ini detail caranya.

Pada saat pertama kali membuka platform quiz akan ada 1 pop up alert agar membiasakan para calon korban untuk menekan “OK” dengan instruksi mereka harus berbuat jujur! hal ini akan memastikan muscle memory terekam dengan baik, jika mereka click cancel maka web akan reload dengan paksa.

Setelah alert modal yang pertama akan keluar sebuah input form yang bebas diisi dengan input apapun oleh user, tapi secara label adalah memasukkan nama atau nama lengkap setelah di-click lanjut akan keluar modal lagi untuk memastikan mereka jujur mengerjakan quiz di sini adalah untuk recall memory jari agar bosan membaca dan langsung click “OK”.

Setelah berbagai alert, akan muncul permission question access, di sini akan secara sadar dan bosan akan click “Allow” namun jika calon korban pintar tidak “Don’t Allow” maka web akan melakukan reload dari awal dan akan ada alert dari awal, hal ini menjadi sangat “Memaksa” pilihannya memang hanya tidak mengerjakan quiz-nya haha! setelah mendapatkan akses kamera jahatnya phishing ini juga masih minta akses dari location gps

Namun di location GPS ini tidak terlalu jahat, jika “Don’t Allow” maka tetap bisa melanjutkan ke halaman asli quiz karena memang setidaknya sudah mendapatkan akses kamera depan para korban.

Finally!!!! sudah sampai pada halaman asli dari platform quiz yang dituju setelah meng isipun tidak akan ada apa-apa, karena semua proses logging itu dilakukan di awal dan dilakukan di waktu yang bersamaan dengan itu.

Prevent?

Sebenarnya bagaimana sih untuk melakukan pencegahan pada tipe phishing yang seperti ini? secara sadar memang kita sebagai manusia harus suka membaca dan memahami apa yang dimau dalam akses permission, saya rasa secara hardware kita bisa sedikit prevent dengan cara selalu “menutup” kamera depan saat ada pemaksaan “Allow” untuk permission camera, secara data dan fakta paling banyak yang pernah kena phishing seperti ini di platform saya jumlahnya adalah 420an orang dalam 1 sesi seminar security awareness.

Terima kasih telah membaca teman-teman, semoga selalu aman dan nyaman di internet dan terhindar dari jahatnya orang-orang di internet ini, takutnya adalah kamera depan ini dipaksa terbuka saat teman-teman sekalian tidak memakai baju yang baik / benar yang tertutup terutama bagi teman-teman perempuan. **