Hati-hati, Skimming Web Modus Terbaru Meniru Google Analytics dan Meta Pixel

Ilustrasi hacker. mic.com

TEMPO.CO, Jakarta - Tim Riset Pertahanan Microsoft 365 merilis sebuah laporan mengenai aktivitas skimming atau pencurian data, biasanya untuk membobol rekening, menggunakan alat skimmer. Microsoft mendeteksi adanya ancaman di balik skimming web yang memanfaatkan kode JavaScript berbahaya yang meniru skrip Google Analytics dan Meta Pixel untuk menghindari deteksi.

Bergeser dari taktik sebelumnya, modus yang sekarang penyerang secara mencolok menyuntikkan skrip berbahaya ke dalam platform e-commerce dan sistem manajemen konten (CMS) melalui eksploitasi kerentanan. "Cara ini membuat ancaman bisa terhindar dari solusi keamanan tradisional," kata Tim Microsoft tersebut.

Serangan skimming, seperti yang dilakukan oleh Magecart, dilakukan dengan tujuan mengumpulkan dan mengekspor informasi pembayaran pengguna, seperti detail kartu kredit, yang dimasukkan ke dalam formulir pembayaran online di platform e-niaga. Data berhasil diambil biasanya selama proses pembayaran.­­­­­­­­­­­­­

Trik ini dapat dicapai dengan memanfaatkan kerentanan keamanan di plugin pihak ketiga dan alat lain untuk menyuntikkan kode JavaScript jahat ke portal online tanpa sepengetahuan pemilikny­­­a.

Serangan skimming telah meningkat jumlahnya dari tahun ke tahun. Demikian juga metode yang digunakan untuk menyembunyikan skrip skimming. Tahun lalu, Malwarebytes mengungkapkan trik pelaku mengirimkan shell web berbasis PHP yang tertanam di dalam favicon situs web untuk memuat kode skimmer.

Kemudian, pada Juli 2021, perusahaan keamanan web, Sucuri, juga menemukan taktik lain yang melibatkan penyisipan kode JavaScript di dalam blok komentar. Data kartu kredit yang dicuri disimpan dalam gambar dan file lain yang dihosting di server yang diterobos.

Teknik terbaru yang diamati oleh Microsoft adalah varian dari metode yang disebutkan di atas yang menggunakan file gambar berbahaya, termasuk gambar biasa, untuk secara diam-diam menggabungkan skrip PHP dengan JavaScript yang disandikan Base64. Pendekatan bergantung pada empat baris kode JavaScript yang ditambahkan ke halaman web yang disusupi untuk mengambil skrip skimmer dari server jarak jauh yang "dikodekan dalam Base64 dan digabungkan dari beberapa string."

THE HACKER NEWS

Baca juga:
Platform S.ID Rilis Fitur Microsite, Apa Fitur-fitur yang Bisa Dinikmati?






Marak Kasus Skimming, Bos Bank SulutGo: Kami Siap Ganti Kerugian Nasabah

59 menit lalu

Marak Kasus Skimming, Bos Bank SulutGo: Kami Siap Ganti Kerugian Nasabah

Direktur Utama PT Bank Pembangunan Daerah Sulawesi Utara dan Gorontalo (Bank SulutGo) atau BSG, Revino Pepah, menanggapi skimming yang marak terjadi.


Malware Android Paksa Anda Berlangganan Layanan Premium, Ada di Indonesia

1 hari lalu

Malware Android Paksa Anda Berlangganan Layanan Premium, Ada di Indonesia

Malware itu membuat pengguna berlangganan layanan premium menggunakan tagihan bulanan telekomunikasi yang ada.


WNA Estonia Tesangka Kasus Skimming Terancam 20 Tahun Penjara dan Denda Rp 10 M

7 hari lalu

WNA Estonia Tesangka Kasus Skimming Terancam 20 Tahun Penjara dan Denda Rp 10 M

Warga Estonia itu diterbangkan ke Jakarta dan diberikan arahan untuk melakukan skimming atas perintah dua DPO yang berinisial MARK dan Lady Brown.


Top 3 Metro: Update Covid-19 Jakarta 838 Kasus Baru, Izin Holywings Dicabut Bukan karena Promo Miras

7 hari lalu

Top 3 Metro: Update Covid-19 Jakarta 838 Kasus Baru, Izin Holywings Dicabut Bukan karena Promo Miras

Update Covid-19 di Jakarta menunjukkan total pasien yang masih dirawat atau menjalani isolasi mencapai 8.503 orang.


Warga Estonia Jadi Tukang Skimming di Indonesia, Dua Pengendalinya di Luar Negeri Jadi DPO

7 hari lalu

Warga Estonia Jadi Tukang Skimming di Indonesia, Dua Pengendalinya di Luar Negeri Jadi DPO

Polisi memburu dua orang yang membayar dan mengendalikan WNA Estonia yang disuruh ke Indonesia untuk menjadi tukang skimming data nasabah bank.


Ke Indonesia Jadi Tukang Skimming, Begini Cara Warga Estonia Sedot Data Nasabah Bank

7 hari lalu

Ke Indonesia Jadi Tukang Skimming, Begini Cara Warga Estonia Sedot Data Nasabah Bank

Polisi menangkap warga Estonia yang dibayar untuk menjadi tukang skimming di Indonesia. Baru mendarat Juni ini dan langsung beraksi di tiga kota.


Warga Estonia Terbang ke Indonesia Jadi Tukang Skimming, Dibayar Pakai Bitcoin

7 hari lalu

Warga Estonia Terbang ke Indonesia Jadi Tukang Skimming, Dibayar Pakai Bitcoin

Seorang warga Estonia disewa jadi tukang skimming untuk menyedot data elektronik nasabah bank. Baru tiba Juni ini, kasusnya langsung terbongkar.


WNA Estonia Jadi Tersangka Skimming, Beraksi di Jakarta, Bogor dan Yogyakarta

8 hari lalu

WNA Estonia Jadi Tersangka Skimming, Beraksi di Jakarta, Bogor dan Yogyakarta

Seorang WNA Estonia berusia 24 tahun menjalankan aksi skimming. Menyedot dana elektronik nasabah. bank.


Peretas Rusia Eksploitasi Kerentanan Microsoft Follina untuk Serang Ukraina

12 hari lalu

Peretas Rusia Eksploitasi Kerentanan Microsoft Follina untuk Serang Ukraina

Serangan peretas Rusia dimulai dengan dokumen iming-iming berjudul Terorisme Nuklir Ancaman Sangat Nyata.rtf.


Microsoft Defender Hadirkan Perlindungan Online ke Semua Platform dan Individu

16 hari lalu

Microsoft Defender Hadirkan Perlindungan Online ke Semua Platform dan Individu

Microsoft Defender adalah keamanan online yang disederhanakan yang memenuhi kebutuhan pengguna dan keluarganya di mana pun berada.