Phishing e-Statement BCA

Ada email masuk di Inbox Yahoo saya yang berjudul “e-Statement Service Recieved Money for BCA” dilengkapi dengan logo adanya lampiran didalamnya. Terlihat meyakinkan? Tentu saja, dan saya hampir tertipu ketika sekilas melihatnya, tapi kemudian saya sadar bahwa email Yahoo ini tidak saya pakai untuk informasi e-statement BCA 😀

Bagi yang tidak familiar, menurut Wikipedia definisi Phishing adalah sebuah percobaan untuk mendapatkan informasi berharga berupa username, password, dan detail informasi kartu kredit (atau informasi perbankan lainnya) dengan cara berpura-pura sebagai entitas resmi dalam komunikasi elektronik (email, telepon, chat, dll)

Berikut adalah tampilan email tersebut pada versi Desktop dan aplikasi Mobile

Tampilan isi email pada versi Desktop (klik gambar untuk memperbesar)

Tampilan isi email pada aplikasi mobile (android)

Saya awalnya membukanya via aplikasi android, tapi karena kecurigaan semakin meninggi akhirnya saya putuskan untuk tidak mengklik satupun link yang ada di body email termasuk lampirannya dan membuka inbox versi Desktop pada host Linux (untuk berjaga-jaga dari malware yang mungkin bisa menyusup diam-diam 😀 #paranoid)

Ada beberapa kecurigaan yang membuat saya akhirnya yakin bahwa ini adalah email phishing

1. Alamat email pengirimnya tidak berasal dari domain klikbca.com (eStatement resmi dari BCA akan dikirimkan dari alamat email estatement@klikbca.com)

2. Alamat email yang digunakan adalah support@mail.estatementserviceklikbca.ladesk.com (Pada aplikasi android, dibutuhkan sedikit usaha untuk dapat melihat alamat email ini karena nama pengirim sudah diganti menjadi “e-Statement Service BCA”)

LADesk adalah penyedia layanan customer support portal online. Saya mencoba mengakses ke domain estatementserviceklikbca.ladesk.com dan ternyata sudah disuspend. Langkah cepat yang patut diapresiasi karena domain tersebut berpotensi disalahgunakan (dan memang benar 😀 )

3. Nama sapaannya menggunakan alamat email dan BUKAN NAMA ASLI (email resmi dari BCA akan menggunakan sapaan menggunaan NAMA ASLI)

4. Isi body email yang memang sudah mencurigakan dari awal 😀 (Bagi yang sudah terbiasa menggunakan e-statement pasti akan sadar perbedaannya)

5. Lampiran yang ternyata setelah diselidiki lebih dalam adalah ternyata merupakan gambar yang memiliki tautan atau link ke website lain

Saya hampir saja tertipu dengan lampiran ini, sangat mirip dengan lampiran pdf asli, tapi kemudian saya teringat teknik eksploitasi sebelumnya pada Gmail yang memanfaatkan gambar yang mirip seperti lampiran untuk menyamarkan dirinya.

Gambar lampiran pdf tersebut sendiri berisi link yang mengarah ke alamat http://ow.ly/VoMg30agl2e??estatement.bca.or.id/invoice/?douwnload_id=20170326107988 (menggunakan layanan penyingkat URL untuk menyamarkan URL aslinya) akan tetapi ternyata link tersebut sudah mati saat saya klik sehingga saya tidak tahu maksud dan tujuan sebenarnya dibalik email phishing ini, dimana saya yakin ada di link tersebut. Bisa saja link tersebut berisi malware yang akan terdownload otomatis ketika kita mengkliknya atau bisa juga berupa halaman login palsu KlikBCA untuk mencuri informasi perbankan saya.

Bagi rekan-rekan sekalian, saya harap informasi ini dapat membantu rekan-rekan sekalian untuk dapat lebih waspada lagi ketika menerima email yang mencurigakan. Email ini menjadi menarik dan membuat saya ingin menginformasikannya disini karena si pelaku sudah sangat niat dalam melancarkan aksinya.

Bisa dilihat dari email yang berbahasa Indonesia (saya yakin pelaku adalah orang Indonesia, google translate tidak bisa sebagus ini) dan teknik menyisipkan gambar seolah lampiran pada bagian bawah email.

Sebelumnya Gmail berhasil dieksploitasi menggunakan teknik tersebut dan membuat cukup banyak akun penggunanya berhasil diambil alih oleh orang yang tidak bertanggung jawab. Google sendiri mengklaim telah menambal celah keamanan tersebut untuk mencegah percobaan phishing yang sama dikemudian hari. Sekarang pelaku berhasil mencoba hal yang sama pada Yahoo dan berhasil masuk ke Inbox dan mengelabui anti-spam Yahoo

Disclaimer atau pernyataan pada bagian bawah email juga sangat meyakinkan karena menggunakan alamat email estatement yang asli dan nomor Halo BCA yang juga asli.

UPDATE:

Saya baru saja mendapatkan informasi bahwa email phishing ini berujung pada infeksi Ransomware, terutama untuk varian MafiaWare seperti terlihat pada gambar dibawah