Awas Hati-Hati dengan Akun facebook 'Mia Ash'
Seorang wanita ramah di internet bisa menipu bahkan orang yang paling sadar keamanan pun - dan hacker bisa memanfaatkannya.
Sejak setidaknya pada bulan April 2016, sejumlah profil media sosial telah dibuat untuk seorang fotografer bernama "Mia Ash."
Persona tersebut berteman dengan karyawan laki-laki perusahaan minyak dan teknologi di Israel, Arab Saudi, India, AS, dan Irak.
Sekarang, kelompok hacking yang terkait dengan Iran diyakini berada di balik akun tersebut, menurut sebuah penelitian baru dari firma keamanan SecureWorks.
SecureWorks menyebut kelompok hacking Cobalt Gypsy, juga dikenal sebagai OilRig oleh peneliti lain. Kelompok ini sebelumnya telah menargetkan minyak Arab Saudi, eksekutif keuangan dan teknologi, serta jaringan perusahaan Israel.
Di LinkedIn, hacker di belakang Mia terhubung dengan fotografer profesional untuk membuat akun tampak lebih otentik. Sementara itu, foto profil tersebut dicuri dari seorang fotografer Rumania, yang belum menanggapi permintaan komentar.
Tujuannya adalah untuk Mencuri kepercayaan dari karyawan yang memiliki akses ke jaringan komputer perusahaan mereka.
Misalnya, akun palsu mengirim email phishing ke salah satu pria yang berteman dengan malware.
Ini akan memberi kontrol hacker pada komputernya, SecureWorks menemukannya.
Mia pertama kali mencoba berteman dengan orang-orang ini di LinkedIn, berbagi informasi tentang karya fotografi yang diklaimnya dan perjalanan yang dia jalani. Dia kemudian mengajak mereka untuk chatting di platform lain seperti Facebook.
Namun upaya phishing yang dipelajari SecureWorks tidak berhasil. Meskipun Korban mengklik link yang terinfeksi, tindakan pencegahan anti-virus perusahaan tersebut menangkap malware tersebut.
Sampai sekarang, perusahaan Tidak tahu apakah usaha lain yang dilakukan Mia berhasil dilaksanakan. Tapi itu mengidentifikasi sebanyak 40 orang yang berinteraksi dengan persona di LinkedIn dan Facebook
( , Tech30 ) . Mia juga memiliki situs fotografi pribadi dan akun palsu di Instagram, WhatsApp dan Blogger. Sebagian besar profil tersebut sekarang offline.
Menurut Allison Wikoff, peneliti utama investigasi Cobalt Gypsy, LinkedIn bisa menjadi cara yang sukses bagi peretas untuk menargetkan orang-orang karena pengguna cenderung mempercayai orang lain di situs ini. Peretas yang berpose sebagai Mia menggunakan LinkedIn sebelum beralih ke saluran komunikasi pribadi seperti WhatsApp dan Facebook.
"Ini jaringan profesional, jadi ada sedikit kepercayaan yang diasumsikan orang saat bergabung dengannya, versus jejaring sosial yang lebih dirancang untuk sosialisasi," katanya. "Penjaga seseorang sedikit lebih rendah dari jaringan profesional."
Ini bukan pertama kalinya kelompok ini menggunakan profil LinkedIn palsu untuk menjerat korban. Pada tahun 2015, hacker Gypsy Cobalt berpose sebagai perekrut di jaringan profesional.
Tapi menggunakan persona wanita tunggal adalah yang pertama untuk kelompok ini.
Pada bulan Januari, SecureWorks menemukan bahwa Cobalt Gypsy menargetkan perusahaan Timur Tengah dengan serangan phishing yang tampaknya berasal dari alamat email yang sah di berbagai perusahaan teknologi informasi.
Email phishing berisi malware yang sama, yang disebut PupyRAT, Mia dikirim ke korbannya.
"Perusahaan menghabiskan banyak waktu untuk mendidik staf mereka mengenai kampanye phishing semacam itu," kata Wikoff. "Jadi jika itu tidak berhasil, membangun hubungan pribadi dengan target yang Anda inginkan adalah cara terbaik untuk berpotensi melakukan koneksi."
