Situasi Spam & Phising: Laporan Bulanan Mei 2010 – Dibuat oleh Symantec Messaging and Web Security

Spam dotted quad membuat heboh laporan ini karena volumenya naik lebih dari tiga kali lipat dibandingkan bulan sebelumnya.  Subyek spam yang paling banyak dilihat bulan ini adalah juga serangan spam dotted squad.  Dalam hal ukuran pesan, volume spam lampiran terus merangkak naik dibulan Maret. Hal ini, serta meningkatnya spam NDR, menaikkan ukuran rata-rata pesan.  Spam berukuran 5kb sampai 10kb meningkat lebih dari 4%, dan yang berukuran 10+kb meningkat lebih dari 9%. Dilihat dari kategori spam, pesan scam dan phishing bulan April menyumbangkan 17% dari keseluruhan spam, tidak ada perubahan dibandingkan Maret. Secara keseluruhan, spam menyumbangkan 89.22% dari keseluruhan pesan pada bulan April, dibandingkan 89.34% pada bulan Maret.

Terdapat peningkatan sebesar 33% dalam keseluruhan serangan phishing dari bulan sebelumnya. Peningkatan tersebut terjadi di semua sektor phishing. 12% dari website phishing dibuat dari toolkit otomatis, sebuah peningkatan 77% dari bulan sebelumnya. URL unik meningkat 29% dan serangan IP meningkat 3% dari bulan sebelumnya. Website phishing non-Bahasa Inggris meningkat 23%. Peningkatan tersebut disebabkan oleh meningkatnya serangan di Perancis dan Portugis.  Phishing di Perancis paling banyak terjadi pada sektor finansial dan serangan di Portugis merupakan kombinasi dari sektor finansial dan informasi. Lebih dari 108 layanan Web hosting gratis digunakan, yang merupakan 10% dari keseluruhan serangan phishing.
Tren-tren berikut menjadi sorotan dalam laporan Mei 2010:

• Mengetahui Lebih Dalam Mengenai Spam Dotted Quad
• Sebuah Survei Makanan Cepat Saji Palsu
• Para Pelajar di Inggris Terkena Serangan Scam
• Musim Liburan Lain yang Tidak Bisa Dilewatkan Spammer
• April 2010: Analisa Subyek Spam
• Akankah Tren Terus Berlanjut?

Intisari Metrik

Kategori Spam Global

Distribusi Spam URL TLD

Rata-rata Ukuran Pesan Spam

Vektor Serangan Spam

Wilayah Asal Spam

Lokasi Geografis Umpan Phishing

Lokasi Geografis Host Phishing

Taktik Distribusi Phishing

Sektor Target Phishing

Mengetahui Lebih Dalam Mengenai Spam Dotted Quad

Seperti disoroti pada bagian “Akankah Tren Terus Berlanjut?” dan “April 2010: Subyek Analisa Spam”, serangan spam dotted quad benar-benar memberi dampak pada bulan April. Spam dotted quad muncul ketika alamat dotted quad pada link URL spam digunakan dalam badan pesan spam bukannya nama domain dari URL spam. Alamat dotted quad adalah notasi yang menyatakan alamat IP empat byte (32-bit) berupa deretan empat angka desimal yang dipisahkan oleh titik (dot). Sebagai contoh, daripada menggunakan domain.com pada URL, link tersebut menggunakan sebuah alamat IP (contoh: http://255.255.255.255).

Berikut adalah contoh kode HTML dari sebuah pesan spam dotted quad:

Menggunakan link yang tersedia pada pesan secara cepat mengarahkan pengguna kepada:

Seperti terlihat pada kolom alamat di browser, pengguna dialihkan ke halaman web lain setelah mengklik link yang tersedia di dalam pesan. Meskipun demikian, ada langkah lain yang tersembunyi sebelum pengguna sampai ditujuan akhir. Pengujian secara mendalam terhadap kode sumber dari URL yang terdapat di dalam pesan mengungkapkan bahwa halaman (http://[IP ADDRESS REDACTED]/ vassal73.html) berisi sebuah script yang dihost di website lain.

Script tersebut akhirnya mengirim pengguna ke website diatas. meskipun contoh ini hanya berisi dua pengalihan, spammer bisa membuat banyak pengalihan dalam kampanye spam mereka.
Mengapa spammer memanfaatkan teknik ini? Karena majunya teknologi anti-spam, bahkan penyaring paling dasar sekalipun dapat memblokir pesan yang memiliki URL di dalam pesan. Oleh karena itu, jika spammer hanya mengirim pesan dengan spam.com domain sebagai URL, pesan tersebut mungkin akan diblokir oleh penyaring URL.

Akan tetapi, spammer meningkatkan peluang keberhasilan mereka dalam pengiriman pesan ketika mereka menggunakan teknik pengalihan diatas. Spammer sering menggunakan server yang dihack atau dicuri dan meletakkan file html kecil yang akan mengalihkan pengguna ke tujuan, atau ke pengalihan lainnya. Untuk mengirimkan pesan spam ini, mereka juga menggunakan host yang dicuri (sering disebut sebagai zombies) dengan memanfaatkan reputasi baik dari host tersebut. Penggabungan dua taktik ini akan menaikkan tingkat pengiriman karena pesan tersebut mempunyai peluang yang lebih besar untuk melewati penyaring tradisional sama halnya pada penyaring berbasis reputasi.

Lebih dari itu, spammer dapat memanfaatkan banyak level dari host yang dicuri, sehingga menghasilkan matriks kombinasi sebanyak-banyaknya. Hal tersebut membantu spammer meneruskan kampanye mereka meskipun mereka kehilangan beberapa host yang dicuri.

Survei Makanan Cepat Saji Palsu

Symantec mengamati serangan phishing pada merek makanan saji ternama. Serangan tersebut dilakukan melalui email spam yang menanyakan jawaban konsumen mengenai survei kepuasan pelanggan palsu. Merek makanan saji tersebut adalah yang paling popular diseluruh dunia, jadi fraudster mengirimkan spamnya secara global. Email spam menyatakan bahwa merek tersebut berencana melakukan perubahan besar pada cabang restoran mereka untuk meningkatkan kualitas pelayanan. Email tersebut lebih selanjutnya menyatakan bahwa untuk melakukan perubahan ini, mereka membutuhkan pendapat para konsumen melalui survei (yang tentu saja palsu). Fraudster mencoba mengelabui konsumen dengan klaim hadiah (reward) untuk mereka yang berpartisipasi dalam survei tersebut. Email spam berisi link yang mengarahkan ke website phishing yang berisi survei palsu:

Pada contoh diatas, website phishing mengklaim akan memberikan hadiah sebesar USD$80 untuk konsumen yang mengisi dengan cepat, 8 pertanyaan survei. Setelah menyelesaikan survei, halaman Web beralih ke halaman pengesahan pengguna palsu yang menanyakan informasi sensitif seperti nomor kartu kredit dan pin yang seolah-olah dimaksudkan untuk mengirimkan hadiah palsu tersebut kedalam akun makanan cepat saji konsumen.
Halaman tersebut mengklaim akan mengkreditkan hadiah dalam waktu 3 hari kerja setelah proses pengesahan pengguna dan akan terlihat pada mutasi rekening konsumen.

Para Pelajar di Inggris Terkena Serangan Scam

Scammer menargetkan para pelajar Inggris dengan melakukan phishing sebuah merek yang milik pemerintahan Inggris. Merek sah tersebut menyediakan informasi dan pelayanan mengenai organisasi pemerintahan untuk warga negara Inggris. Para pelajar yang mencari pelayanan finansial untuk pendidikan tinggi mereka bisa mendaftar pada merek website ini. Website tersebut mengharuskan konsumen membuat sebuah akun untuk mengakses pelayanan yang tersedia. Akun tersebut membantu menyimpan semua transaksi pembayaran.

Website phishing yang menargetkan para pelajar itu menanyakan verifikasi untuk memproses aplikasi kredit/pinjaman yang diajukan pelajar. Permintaan palsu ini menanyakan informasi sensitif, seperti nomor referensi konsumen, password, dan rincian rekening bank. Nomor referensi mewakili akun konsumen, yang dimanfaatkan fraudster untuk melihat mutasi rekening mereka. Saat memasukan kredensial, halaman beralih ke website yang sah.

Ditemukan beberapa phishing website dalam serangan ini, dan mereka berasal dari server yang berbasis di Amerika Serikat dan Inggris.

Musim Liburan Lain yang Tidak Dapat Dilewatkan Spammer

Dalam rangka merayakan Hari Ibu, spammer mengirimkan berbagai jenis pesan spam produk.

April 2010: Analisa Subyek Spam

Subyek teratas bulan ini, “Amazon.com Deal of the Day”, digunakan pada serangan obat-obatan online yang menggunakan URL dotted quad. Juga penting untuk diingat bahwa spammer banyak menggunakan subyek ini karena diklaim menjadi nomor satu meskipun hanya muncul hanya 10 hari. Diantara yang menempati sepuluh subyek teratas adalah serangan obat-obatan online sama serta spam replika.
Tabel.

Akankah Tren Terus Berlanjut?

Symantec Pertama kali menyorot peningkatan tajam pada dotted quad pada laporan Januari. Sejak saat itu, jenis serangan ini relatif berhenti. Namun, volumenya bertambah lagi pada akhir Maret dan terus berlanjut selama April. Secara keseluruhan, volume spam dotted quad meningkat lebih dari tiga kali lipat pada bulan April, dibandingkan pada bulan Maret. Lihat “Mengetahui Lebih Dalam Mengenai Spam Dotted Quad” untuk mengetahui mengapa taktik tersebut mungkin menarik untuk digunakan spammer.

Wilayah EMEA terus memperluas pangsa pasar spam mereka di mana wilayah ini mengirim 45.2% spam ke seluruh dunia pada bulan April. Seperti terlihat pada ilustrasi di bawah ini, EMEA telah menaikan pangsa spam mereka dalam enam bulan terakhir.

Diwilayah EMEA, sepuluh negara teratas (Belanda, Jerman, Inggris, Perancis, Polandia, Italia, Rumania Spanyol, Rusia, dan Ukraina) menyumbangkan lebih dari 65% volume dari wilayah tersebut.

Checklist: Melindungi bisnis, Karyawan, dan Pelanggan Anda
Yang sebaiknya dilakukan:

• Berhenti berlangganan dari milis-milis sah jika Anda tidak ingin menerima pesan lagi. Ketika mendaftar untuk menerima email, periksa item-item tambahan apa saja yang Anda inginkan pada saat yang sama. Jangan memilih item yang tidak Anda inginkan.
• Selektif dalam hal situs-situs tempat Anda mendaftarkan alamat email Anda.
• Hindari menampilkan alamat emai Anda di Internet. Pertimbangkan pilihan alternatif- misalnya, gunakan alamat tersendiri ketika mendaftar pada milis tertentu, miliki beberapa alamat email untuk berbagai tujuan berbeda, atau carilah layanan email sekali pakai.
• Dengan menggunakan petunjuk yang disediakan oleh administrator, laporkan spam jika Anda memiliki pilihan untuk melakukannya.
• Hapus semua spam
• Hindari mengklik pada link mencurigakan dalam email atau pesan IM, karena bisa saja akan menghubungkan ke situs palsu. Kami menyarankan untuk mengetik alamat situs langsung pada browser daripada percaya pada link dalam pesan.
• Pastikan bahwa operating system selalu up to date dengan update terbaru, dan gunakan paket software keamanan yang komprehensif. Untuk memperoleh informasi lengkap mengenai penawaran perlindungan Symantec silakan kunjungi http://www.symantec.com
• Pertimbangkan solusi antispam yang memiliki reputasi baik untuk menangani penyaringan di seluruh organisasi anda seperti Symantec Brightmail messaging security family solutions.
• Agar tetap terupdate mengenai trend-trend spam baru dengan mengunjungi situs informasi situasi spam dari Symantec yang ada disini

Yang sebaiknya tidak Dilakukan:

• Membuka lampiran dari email yang tidak dikenal. Lampiran ini dapat menginfeksi komputer Anda.
• Membalas spam. Biasanya alamat emailnya dipalsukan, dan membalas email spam akan menghasilkan spam-spam lain.
• Mengisi formulir dalam pesan yang meminta informasi pribadi atau keuangan atau kata sandi (password.). Perusahaan terkemuka tidak mungkin meminta informasi pribadi Anda melalui email. Jika ragu untuk menghubungi perusahaan yang bersangkutan melalui mekanisme independen yang terpercaya, seperti dengan memverifikasi nomor telepon atau alamat Internet yang dikenal yang Anda ketikkan ke jendela browser yang baru (jangan mengklik atau cut and paste dari link dalam pesan).
• Membeli produk atau jasa dari pesan spam
• Membuka pesan spam
• Meneruskan peringatan virus apapun yang anda terima melalui email. Bisa jadi ini adalah berita bohong (hoax)