Jutaan Pengguna Instagram Panik, Klaim Kebocoran 17,5 Juta Data Ternyata Data Lama yang Didaur Ulang

Jutaan pengguna Instagram dibuat panik setelah menerima email mendadak yang meminta mereka melakukan reset kata sandi. Bagi banyak orang, pesan tersebut langsung diasosiasikan dengan kabar kebocoran data Instagram yang ramai dibicarakan pekan lalu. Isu ini cepat menyebar, memicu kekhawatiran bahwa data pribadi pengguna telah jatuh ke tangan pihak tidak bertanggung jawab.

Kepanikan itu bermula dari sebuah unggahan di Breach Forums, forum peretas yang dikenal sebagai tempat jual beli data curian. Dalam unggahan tersebut, seorang penjual mengklaim memiliki dump data bertajuk Instagram dot com 17M Global Users 2024 API Leak. Ia menyebut dataset tersebut berisi informasi 17,5 juta pengguna Instagram yang dikemas dalam format JSON dan TXT. Klaim ini diperkuat dengan narasi bahwa data yang bocor mencakup nama lengkap, alamat email, nomor telepon, hingga sebagian informasi lokasi.

Tak butuh waktu lama hingga klaim tersebut menyebar luas. Banyak pengguna yang menerima email reset kata sandi merasa bahwa akun mereka menjadi bagian dari kebocoran besar tersebut. Namun pada Sabtu, Meta selaku induk perusahaan Instagram memberikan klarifikasi resmi dan membantah adanya pelanggaran sistem.

Meta menjelaskan bahwa email reset kata sandi itu dipicu oleh masalah pada layanan pihak ketiga yang memungkinkan pihak eksternal mengirim permintaan reset password ke sejumlah akun. Masalah tersebut, menurut Meta, telah diperbaiki dan tidak menyebabkan pencurian data pribadi pengguna. Instagram juga menegaskan bahwa sistem mereka tidak diretas dan akun pengguna tetap aman. Dalam pernyataan resminya di platform X, Instagram meminta pengguna untuk mengabaikan email tersebut dan menyampaikan permintaan maaf atas kebingungan yang terjadi.

Sementara itu, tim peneliti dari Cybernews melakukan penelusuran independen terhadap dataset yang dijual di Breach Forums. Hasilnya cukup jelas. Klaim kebocoran data Instagram terbaru dinyatakan tidak benar. Data yang ditawarkan ternyata bukan hasil peretasan baru, melainkan data lama yang didaur ulang.

Menurut Cybernews, dataset tersebut identik dengan kebocoran Doxagram, sebuah situs peretas yang muncul pada tahun 2017 dan menjual data hasil scraping dari sekitar enam juta akun Instagram. Pada masa itu, seorang peneliti keamanan dari Kaspersky Lab, Ido Naor, pernah melaporkan adanya celah pada API Instagram, khususnya di bagian reset kata sandi. Celah tersebut dimanfaatkan untuk mengumpulkan data akun berprofil tinggi, termasuk nomor telepon dan alamat email.

Peneliti Cybernews menegaskan bahwa data yang kini diklaim sebagai kebocoran 2024 sejatinya adalah versi ulang dari kebocoran tahun 2022, yang juga merupakan hasil repackaging data dari tahun 2017. Seluruh struktur data, urutan akun, hingga field informasi yang tersedia menunjukkan kecocokan sempurna. Informasi sensitif di dalamnya pun berasal dari data lama, sementara sisanya merupakan data publik seperti username, nama tampilan, dan ID akun.

Dengan kata lain, tidak ada kebocoran data Instagram baru seperti yang diklaim di forum peretas tersebut. Yang terjadi adalah pengemasan ulang data lama dengan narasi baru untuk menciptakan kepanikan dan menarik pembeli. Meski demikian, insiden ini menjadi pengingat bahwa isu keamanan digital sering kali dimanfaatkan oleh aktor ancaman untuk memanipulasi persepsi publik.

Bagi pengguna Instagram, kejadian ini menegaskan pentingnya bersikap kritis terhadap kabar kebocoran data yang beredar. Tidak semua klaim di forum peretas mencerminkan ancaman nyata. Namun di sisi lain, kewaspadaan tetap diperlukan, karena praktik daur ulang data lama menunjukkan bahwa jejak digital yang pernah bocor dapat terus dieksploitasi selama bertahun tahun.

Backdoor di Ekstensi Resmi: Rekonstruksi Peretasan Trust Wallet dan Jejak Shai-Hulud

Dalam dunia kripto yang bergerak cepat, kabar dari Trust Wallet pada Selasa kemarin menjadi pengingat keras tentang rapuhnya rantai keamanan digital. Perusahaan mengungkap bahwa iterasi kedua serangan rantai pasok Shai-Hulud (atau Sha1-Hulud) pada November 2025 diduga kuat menjadi dalang di balik peretasan ekstensi Google Chrome mereka. Insiden ini berujung pada pencurian aset senilai kurang lebih $8,5 juta. 

Dalam laporan analisis pasca-kejadian, Trust Wallet memaparkan bagaimana rahasia GitHub milik developer mereka terekspos. Kebocoran ini membuka jalan bagi penyerang untuk mengakses kode sumber ekstensi dan, yang paling krusial, kunci API Chrome Web Store (CWS). Akses inilah yang menjadi titik masuk utama serangan.

Dengan kunci API tersebut, pelaku memperoleh kontrol penuh atas CWS, memungkinkan mereka mengunggah build baru secara langsung tanpa melalui prosedur rilis standar Trust Wallet yang biasanya mensyaratkan persetujuan dan tinjauan manual internal. Dari sinilah bencana dimulai. Penyerang kemudian mendaftarkan domain palsu “metrics-trustwallet[.]com” dan mendistribusikan versi trojan ekstensi melalui subdomain “api.metrics-trustwallet[.]com”. 

Versi berbahaya ini dilengkapi backdoor yang dirancang untuk mencuri mnemonic phrase atau frasa pemulihan dompet pengguna. Analisis lanjutan dari firma keamanan siber Koi mengungkap bahwa kode jahat tersebut tidak hanya aktif saat pengguna mengimpor seed phrase, tetapi juga terpicu setiap kali dompet dibuka (unlock), baik menggunakan kata sandi maupun biometrik.

Kerentanan ini bersifat menyeluruh. Dompet yang telah digunakan selama berbulan-bulan maupun yang baru sekali dibuka setelah pembaruan ke versi 2.68 sama-sama terdampak. Lebih parah lagi, kode tersebut mengiterasi dan mengeksfiltrasi data dari seluruh dompet yang dikonfigurasi dalam satu akun pengguna, bukan hanya dompet yang sedang aktif. “Jika Anda memiliki banyak dompet, semuanya dikompromikan,” tegas peneliti Koi, Oren Yomtov dan Yuval Ronen. 

Mereka juga menjelaskan bahwa seed phrase disisipkan ke dalam bidang errorMessage di data telemetri yang tampak normal, sebuah teknik penyamaran yang berpotensi lolos dari tinjauan kode sekilas. Pelacakan infrastruktur serangan mengarah ke penyedia hosting Stark Industries Solutions di IP 138.124.70.40, yang dikenal sebagai penyedia bulletproof hosting dengan rekam jejak mendukung aktivitas kriminal siber dan operasi siber yang didukung negara.

Indikasi kuat keterkaitan dengan kampanye Shai-Hulud sebelumnya muncul saat query langsung ke server penyerang menghasilkan respons “He who controls the spice controls the universe,” kutipan ikonik dari Dune yang juga muncul pada insiden npm Shai-Hulud terdahulu. Bukti waktu semakin menegaskan kesengajaan serangan ini: infrastruktur telah disiapkan sejak 8 Desember, lebih dari dua minggu sebelum pembaruan jahat didorong ke pasar pada 24 Desember 2025. “Ini bukan aksi spontan. Ini direncanakan,” tulis laporan Koi. 

Puncak insiden ini membuat Trust Wallet mendesak sekitar satu juta pengguna ekstensi Chrome untuk segera memperbarui ke versi 2.69 yang telah diamankan. Total kerugian mencapai sekitar $8,5 juta, diambil dari 2.520 alamat dompet dan dialirkan ke sedikitnya 17 dompet yang dikendalikan penyerang. Sebagai bentuk tanggung jawab, Trust Wallet membuka proses klaim penggantian bagi korban terdampak dengan mekanisme verifikasi ketat untuk mencegah penyalahgunaan. 

Ancaman sendiri belum berhenti. Pengungkapan ini beriringan dengan kemunculan Shai-Hulud 3.0, yang menurut peneliti Upwind, Guy Gilad dan Moshe Hassan, telah mengalami peningkatan signifikan pada teknik pengaburan serta kompatibilitas Windows, dengan fokus tetap pada pencurian rahasia dari mesin developer. Trust Wallet menyatakan telah memperketat pemantauan dan kontrol pada proses rilis mereka, sembari menegaskan bahwa serangan Sha1-Hulud adalah ancaman luas terhadap rantai pasok perangkat lunak industri. 

Hal ini menjadi pelajaran mahal bahwa tidak ada organisasi yang benar-benar kebal. Dalam lanskap digital yang semakin kompleks, kewaspadaan berlapisbaik di sisi penyedia layanan maupun pengguna akhir bukan lagi pilihan, melainkan keharusan.

Google Resmi Hentikan Dark Web Report pada 2026, Ini Alasan dan Dampaknya bagi Pengguna

Google kembali melakukan penyesuaian pada layanan keamanannya. Kali ini, raksasa teknologi tersebut mengumumkan akan menghentikan fitur Dark Web Report, sebuah alat yang sebelumnya dirancang untuk membantu pengguna memantau apakah data pribadi mereka tersebar di dark web. Keputusan ini cukup mengejutkan, mengingat fitur tersebut baru diluncurkan kurang dari dua tahun lalu.

Berdasarkan pengumuman resmi, Google akan menghentikan pemindaian kebocoran data baru di dark web mulai 15 Januari 2026. Selanjutnya, fitur Dark Web Report akan sepenuhnya dinonaktifkan pada 16 Februari 2026. Setelah tanggal tersebut, layanan ini tidak lagi tersedia bagi seluruh pengguna akun Google.

Dalam dokumen dukungan resminya, Google menjelaskan bahwa meskipun Dark Web Report mampu memberikan gambaran umum terkait kebocoran data, masukan dari pengguna menunjukkan bahwa fitur tersebut belum memberikan langkah lanjutan yang benar-benar membantu. Oleh karena itu, Google memilih untuk mengalihkan fokus ke pengembangan alat keamanan lain yang dinilai lebih memberikan tindakan nyata dan jelas dalam melindungi informasi pribadi pengguna di dunia digital.

Google juga menegaskan bahwa seluruh data yang berkaitan dengan Dark Web Report akan dihapus secara permanen setelah fitur ini dipensiunkan pada Februari 2026. Namun, bagi pengguna yang ingin menghapus data mereka lebih awal, Google menyediakan opsi untuk menghapus profil pemantauan secara manual melalui halaman Dark Web Report, dengan mengedit profil pemantauan dan memilih opsi penghapusan di bagian bawah halaman.

Sebagai informasi, Dark Web Report pertama kali diperkenalkan pada Maret 2023. Fitur ini hadir sebagai respons atas meningkatnya kasus pencurian identitas akibat kebocoran data, di mana informasi sensitif sering kali diperjualbelikan di dark web. Sistem ini dirancang untuk memindai jaringan darknet dan mendeteksi data pribadi seperti nama, alamat, email, nomor telepon, hingga nomor jaminan sosial, lalu memberikan notifikasi jika data tersebut ditemukan.

Pada awal peluncurannya, Dark Web Report hanya tersedia bagi pelanggan Google One. Namun, pada Juli 2024, Google memperluas aksesnya sehingga dapat digunakan oleh seluruh pemilik akun Google, sebagai bagian dari upaya meningkatkan perlindungan keamanan digital secara lebih luas.

Seiring dengan penghentian fitur ini, Google juga mendorong pengguna untuk mengambil langkah perlindungan tambahan. Salah satunya dengan menggunakan passkey sebagai metode autentikasi multi-faktor yang lebih tahan terhadap serangan phishing. Selain itu, Google menyarankan pengguna untuk memanfaatkan fitur “Results about you” guna menghapus informasi pribadi yang muncul di hasil pencarian Google.

Penghentian Dark Web Report menandai perubahan strategi Google dalam pendekatan keamanan data. Alih-alih sekadar memberi notifikasi keberadaan data di dark web, Google kini lebih menekankan pada pencegahan, penguatan autentikasi, dan kontrol langsung atas eksposur informasi pribadi di internet. Bagi pengguna, langkah ini menjadi pengingat bahwa perlindungan data tidak hanya bergantung pada satu fitur, tetapi pada kombinasi praktik keamanan yang konsisten dan berkelanjutan.

CISA Peringatkan Eksploitasi Aktif Celah Kritis GeoServer CVE-2025-58360, Ancaman XXE Serius bagi Infrastruktur Data

Dunia keamanan siber kembali diguncang oleh temuan serius setelah U.S. Cybersecurity and Infrastructure Security Agency (CISA) secara resmi menambahkan sebuah kerentanan berdampak tinggi pada OSGeo GeoServer ke dalam Known Exploited Vulnerabilities (KEV) Catalog. Keputusan ini diambil karena adanya bukti kuat bahwa celah keamanan tersebut telah dieksploitasi secara aktif di dunia nyata, menjadikannya ancaman nyata bagi organisasi yang masih menggunakan versi rentan dari perangkat lunak ini.

Kerentanan yang dimaksud adalah CVE-2025-58360 dengan skor CVSS 8.2, yang diklasifikasikan sebagai unauthenticated XML External Entity (XXE) vulnerability. Celah ini memengaruhi seluruh versi GeoServer hingga 2.25.5, serta rentang versi 2.26.0 sampai 2.26.1. Kerentanan tersebut telah diperbaiki dalam rilis 2.25.6, 2.26.2, 2.27.0, 2.28.0, dan 2.28.1. Menariknya, temuan ini dilaporkan oleh platform penemuan kerentanan berbasis kecerdasan buatan, XBOW, yang menunjukkan peran AI yang semakin signifikan dalam riset keamanan siber modern.

Menurut pernyataan resmi CISA, masalah ini muncul akibat pembatasan yang tidak tepat terhadap referensi entitas eksternal XML. Kerentanan terjadi ketika aplikasi menerima input XML melalui endpoint tertentu, yakni operasi /geoserver/wms GetMap, sehingga memungkinkan penyerang menyisipkan entitas eksternal berbahaya di dalam permintaan XML. Beberapa paket yang terdampak antara lain docker.osgeo.org/geoserver, org.geoserver.web:gs-web-app, dan org.geoserver:gs-wms. Kondisi ini membuka peluang eksploitasi tanpa memerlukan autentikasi sama sekali, sehingga meningkatkan tingkat risikonya secara signifikan.

Jika berhasil dieksploitasi, celah keamanan ini dapat memberikan dampak serius. Penyerang berpotensi membaca file arbitrer dari sistem file server, melakukan Server-Side Request Forgery (SSRF) untuk berinteraksi dengan sistem internal yang seharusnya tidak dapat diakses, hingga melancarkan serangan Denial-of-Service (DoS) dengan cara menguras sumber daya server. Para pengelola GeoServer menegaskan bahwa kombinasi dampak tersebut dapat berujung pada kebocoran data sensitif maupun gangguan layanan yang kritis.

Meski demikian, hingga saat ini belum tersedia rincian teknis mengenai bagaimana eksploitasi ini dilakukan dalam serangan nyata. Namun, buletin dari Canadian Centre for Cyber Security yang dirilis pada 28 November 2025 secara tegas menyebutkan bahwa eksploit untuk CVE-2025-58360 memang sudah beredar di alam liar. Fakta ini memperkuat urgensi bagi organisasi untuk segera mengambil tindakan mitigasi sebelum menjadi korban berikutnya.

Ancaman terhadap GeoServer juga bukan hal baru. Sebelumnya, sebuah celah kritis lain dengan kode CVE-2024-36401 dan skor CVSS 9.8 telah dieksploitasi oleh berbagai aktor ancaman sepanjang tahun lalu. Pola ini menunjukkan bahwa GeoServer kerap menjadi target bernilai tinggi, terutama karena perannya yang krusial dalam pengelolaan dan penyajian data geospasial.

Sebagai respons atas situasi ini, Federal Civilian Executive Branch (FCEB) di Amerika Serikat telah diarahkan untuk menerapkan pembaruan keamanan yang diperlukan paling lambat 1 Januari 2026. Langkah ini bertujuan untuk memastikan jaringan pemerintah tetap aman dari eksploitasi yang dapat berdampak luas. Bagi organisasi di luar sektor pemerintah, peringatan ini seharusnya menjadi sinyal kuat bahwa melakukan pembaruan segera bukan lagi pilihan, melainkan keharusan demi menjaga integritas sistem dan keamanan data.

Gainsight Perluas Temuan Insiden Keamanan, Integrasi Salesforce dan Layanan Lain Ikut Terdampak

Insiden keamanan yang menargetkan aplikasi Gainsight kembali mencuat setelah perusahaan tersebut mengungkap bahwa jumlah pelanggan yang terdampak lebih besar daripada estimasi awal. Salesforce sebelumnya hanya melaporkan tiga pelanggan yang terpengaruh, namun daftar tersebut mengalami perluasan signifikan pada 21 November 2025. Meski jumlah pastinya tidak dibuka ke publik, CEO Gainsight, Chuck Ganapathi, menegaskan bahwa hanya sebagian kecil pelanggan yang diketahui mengalami dampak pada data mereka.

Perkembangan ini mencuat bersamaan dengan peringatan dari Salesforce mengenai aktivitas tidak biasa yang terdeteksi pada aplikasi terbitan Gainsight di platform mereka. Situasi tersebut mendorong Salesforce untuk mencabut seluruh akses dan token refresh terkait integrasi Gainsight. Serangan ini juga diklaim oleh kelompok kejahatan siber ShinyHunters, yang dikenal luas dengan nama Bling Libra, sehingga meningkatkan kekhawatiran terhadap potensi eskalasi insiden.

Sebagai langkah mitigasi, sejumlah platform besar seperti Zendesk, Gong.io, dan HubSpot memilih menangguhkan integrasi Gainsight untuk sementara. Google juga mengambil tindakan pencegahan dengan menonaktifkan OAuth client yang menggunakan callback URI seperti gainsightcloud[.]com. Dalam pernyataannya, HubSpot memastikan bahwa tidak ditemukan bukti kompromi terhadap infrastruktur atau pelanggan mereka. Di sisi Gainsight, beberapa produk yang menggunakan kemampuan membaca dan menulis data dari Salesforce juga mengalami penghentian sementara, yaitu Customer Success (CS), Community (CC), Northpass – Customer Education (CE), Skilljar (SJ), dan Staircase (ST), meskipun Gainsight menegaskan bahwa Staircase tidak terdampak dan hanya dicabut sebagai antisipasi.

Salesforce dan Gainsight kemudian merilis sejumlah indikator kompromi (IoC) untuk membantu pelanggan mengenali aktivitas mencurigakan. Salah satu yang menonjol adalah user-agent “Salesforce-Multi-Org-Fetcher/1.0” yang digunakan dalam akses tidak sah dan sebelumnya juga teridentifikasi dalam insiden yang berkaitan dengan Salesloft Drift. Catatan investigasi Salesforce menunjukkan bahwa proses pengintaian terhadap pelanggan yang akses token Gainsight-nya telah disusupi pertama kali terjadi pada 23 Oktober 2025 melalui IP 3.239.45[.]43, kemudian diikuti gelombang aktivitas lanjutan sejak 8 November.

Sebagai bagian dari upaya pengamanan tambahan, Gainsight meminta pelanggan untuk melakukan beberapa langkah kritis. Di antaranya mengganti akses key S3 bucket serta konektor lain seperti BigQuery, Zuora, dan Snowflake, masuk ke Gainsight NXT secara langsung tanpa melalui Salesforce, mengatur ulang kata sandi pengguna NXT yang tidak menggunakan SSO, serta melakukan otorisasi ulang aplikasi terhubung yang bergantung pada token atau kredensial pengguna. Gainsight menegaskan bahwa langkah-langkah tersebut bersifat preventif agar lingkungan pelanggan tetap aman selama proses investigasi berlangsung.

Di tengah penanganan insiden Gainsight, muncul pula informasi mengenai platform ransomware-as-a-service (RaaS) baru bernama ShinySp1d3r atau Sh1nySp1d3r  yang dikembangkan oleh aliansi kriminal Scattered Spider, LAPSUS$, dan ShinyHunters (SLSH). Laporan ZeroFox menunjukkan bahwa kelompok ini bertanggung jawab atas sedikitnya 51 serangan siber dalam satu tahun terakhir. ShinySp1d3r disebut memiliki fitur unik yang belum terlihat pada RaaS lain, seperti kemampuan mematikan fungsi logging Windows Event Viewer, menghentikan proses yang menahan file agar tetap terbuka, serta menuliskan data acak pada ruang kosong drive guna menimpa data yang telah dihapus.

Kemampuan tambahan ShinySp1d3r yang memungkinkan pencarian share network terbuka, enkripsi file, hingga penyebaran lateral melalui deployViaSCM, deployViaWMI, dan attemptGPODeployment membuatnya semakin berbahaya. Jurnalis siber Brian Krebs melaporkan bahwa individu yang merilis ransomware ini adalah anggota inti SLSH bernama “Rey” atau @ReyXBF, yang sebelumnya aktif sebagai admin BreachForums dan situs kebocoran data HellCat ransomware. Identitas Rey telah diungkap sebagai Saif Al-Din Khader, yang mengklaim bahwa ShinySp1d3r merupakan pengembangan ulang HellCat dengan bantuan AI dan bahwa ia telah bekerja sama dengan aparat sejak Juni 2025.

Menurut Matt Brady dari Unit 42 Palo Alto Networks, kemunculan RaaS bersamaan dengan layanan extortion-as-a-service (EaaS) menjadikan SLSH lawan yang jauh lebih rumit. Kombinasi kemampuan teknis, model monetisasi berlapis, serta elemen perekrutan insider semakin memperluas jangkauan serangan dan menambah tantangan bagi organisasi dalam memperkuat pertahanan siber mereka.

Aksi Baru Contagious Interview: Aktor Korea Utara Gunakan JSON Storage untuk Menyebarkan Malware

Kelompok ancaman Korea Utara yang berada di balik kampanye Contagious Interview kembali memodifikasi taktik mereka dengan memanfaatkan layanan JSON storage sebagai tempat penyimpanan dan pengiriman payload berbahaya. Dalam laporan terbaru yang dirilis pada hari Kamis, peneliti NVISO—Bart Parys, Stef Collart, dan Efstratios Lontzetidis mengungkap bahwa para pelaku kini menggunakan layanan seperti JSON Keeper, JSONsilo, dan npoint.io untuk meng-host malware yang disisipkan di dalam proyek kode yang telah ditrojanisasi. Pendekatan ini menjadi bagian dari upaya mereka untuk tetap beroperasi secara terselubung dan melebur dengan lalu lintas normal.

Skema serangan dalam kampanye ini berlangsung melalui pendekatan langsung terhadap target di platform profesional seperti LinkedIn. Para penyerang biasanya menyamar sebagai pihak yang ingin melakukan evaluasi pekerjaan atau kolaborasi proyek. Para korban kemudian diarahkan untuk mengunduh sebuah demo project yang ditempatkan pada platform repositori kode seperti GitHub, GitLab, atau Bitbucket. Di balik proyek tersebut tersembunyi komponen berbahaya yang menjadi pintu masuk serangan berikutnya.

Salah satu proyek yang dianalisis NVISO menunjukkan keberadaan file “server/config/.config.env” yang tampak seperti menyimpan sebuah API key. Namun setelah diperiksa lebih dalam, nilai Base64 tersebut ternyata merupakan URL menuju layanan JSON storage seperti JSON Keeper, tempat payload tahap selanjutnya disimpan dalam format yang telah diobfusikasi. Payload tersebut adalah malware JavaScript yang dikenal sebagai BeaverTail, sebuah komponen berbahaya yang dirancang untuk mengambil data sensitif serta mengeksekusi sebuah backdoor Python bernama InvisibleFerret.

Fungsi InvisibleFerret sebenarnya tidak jauh berbeda dari versi yang pertama kali didokumentasikan oleh Palo Alto Networks pada akhir 2023, tetapi kini terdapat modifikasi penting. Backdoor tersebut telah diperbarui untuk mengambil payload tambahan bernama TsunamiKit dari Pastebin. Penggunaan TsunamiKit sendiri telah disorot oleh ESET sejak September 2025, bersamaan dengan temuan bahwa para pelaku juga menurunkan Tropidoor dan AkdoorTea dalam rangkaian serangan yang sama. Toolkit ini mampu melakukan fingerprinting sistem, mengumpulkan data, serta mengambil payload lanjutan dari sebuah alamat .onion yang saat ini diketahui sudah offline.

Para peneliti NVISO menekankan bahwa aktor di balik Contagious Interview terus memperluas jangkauan mereka dan tidak menunjukkan tanda-tanda melambat. Sasaran mereka kini semakin luas, terutama kalangan developer yang dianggap menarik untuk dieksploitasi demi mendapatkan data sensitif dan informasi dompet kripto. Dengan memanfaatkan layanan sah seperti JSON Keeper, JSON Silo, npoint.io, serta platform kode seperti GitLab dan GitHub, kelompok ini berusaha mempertahankan operasi secara stealthy dan menyesuaikan pola serangan agar tetap sulit terdeteksi.

Kampanye Contagious Interview kembali membuktikan bagaimana ancaman siber modern semakin canggih dalam menyamarkan aktivitasnya, terutama melalui penyalahgunaan platform yang umumnya dianggap aman oleh komunitas developer. Praktik semacam ini menegaskan perlunya kewaspadaan tinggi bagi siapa pun yang menerima file proyek dari pihak yang tidak benar-benar dikenal, sekalipun melalui platform profesional.

Google Tangkal Lebih dari 10 Miliar Panggilan dan Pesan Berbahaya Setiap Bulan di Android

Google baru saja mengumumkan keberhasilan besar dalam memperkuat pertahanan terhadap penipuan digital di Android. Menurut raksasa teknologi ini, sistem keamanan yang tertanam di Android mampu melindungi pengguna di seluruh dunia dari lebih dari 10 miliar panggilan dan pesan mencurigakan setiap bulan. Selain itu, lebih dari 100 juta nomor berpotensi berbahaya telah diblokir dari menggunakan layanan Rich Communication Services (RCS) — penerus dari SMS tradisional — sehingga mencegah upaya penipuan bahkan sebelum pesan terkirim ke pengguna.

Dalam beberapa tahun terakhir, Google terus mengembangkan teknologi keamanan untuk melawan penipuan panggilan dan pesan. Dengan memanfaatkan kecerdasan buatan berbasis perangkat (on-device AI), sistem Android kini mampu mendeteksi dan secara otomatis memindahkan pesan berbahaya ke folder “spam & blocked” di aplikasi Google Messages. Inovasi ini juga mencakup fitur tautan aman, yang memperingatkan pengguna ketika mencoba mengakses URL yang ditandai sebagai spam dan mencegah mereka membuka situs berpotensi berbahaya, kecuali jika pesan tersebut secara manual ditandai sebagai “bukan spam.”

Berdasarkan analisis laporan pengguna pada Agustus 2025, penipuan lowongan kerja palsu muncul sebagai jenis penipuan yang paling umum. Para pelaku memanfaatkan kebutuhan kerja masyarakat dengan menawarkan peluang kerja palsu untuk mencuri data pribadi dan finansial korban. Selain itu, Google juga menemukan berbagai bentuk penipuan finansial, seperti tagihan palsu, langganan fiktif, investasi bodong, hingga penipuan pengiriman paket dan penyamaran lembaga pemerintah. Menariknya, tren baru menunjukkan bahwa sebagian pelaku kini mengirim pesan dalam bentuk grup chat, bukan pesan langsung, agar terlihat lebih meyakinkan di mata korban.

Fenomena ini terjadi karena pesan grup sering kali terasa lebih alami dan kurang mencurigakan, terlebih jika pelaku menambahkan rekan mereka sendiri ke dalam grup untuk menciptakan kesan percakapan yang sah. Google juga mencatat bahwa aktivitas pesan berbahaya ini memiliki pola waktu tertentu, biasanya dimulai sekitar pukul 5 pagi waktu Pasifik dan memuncak antara pukul 8 hingga 10 pagi, dengan volume tertinggi pada hari Senin—saat pengguna sibuk memulai minggu kerja dan kurang waspada terhadap pesan masuk.

Sebagian besar kampanye penipuan mengandalkan strategi “Spray and Pray”, yakni mengirim pesan massal dengan harapan sebagian kecil korban akan terpancing. Pesan-pesan ini sering memanfaatkan rasa urgensi dengan topik seperti notifikasi paket, tagihan tol, atau kejadian terkini. Tautan berbahaya dalam pesan tersebut biasanya disamarkan menggunakan URL shortener agar sulit dikenali, lalu mengarahkan korban ke situs berbahaya untuk mencuri data pribadi mereka.

Namun, tidak semua penipuan bergerak cepat. Ada juga metode “Bait and Wait”, di mana pelaku dengan sabar membangun kepercayaan korban melalui percakapan panjang, berpura-pura menjadi perekrut kerja atau teman lama. Dalam skema seperti ini—termasuk romance scam atau “pig butchering”—penjahat siber sering menggunakan data publik seperti nama dan jabatan korban untuk membuat pendekatan mereka lebih meyakinkan. Strategi ini dirancang agar korban mengalami kerugian finansial besar secara perlahan dan sistematis.

Baik menggunakan pendekatan cepat maupun yang lebih halus, tujuannya tetap sama: mencuri uang atau informasi pribadi korban. Data seperti nomor telepon biasanya diperoleh dari dark web marketplaces yang menjual informasi hasil kebocoran data. Operasi semacam ini didukung oleh ekosistem kompleks yang mencakup pemasok perangkat SIM farm untuk pengiriman pesan massal, Phishing-as-a-Service (PhaaS) untuk mencuri kredensial korban, hingga layanan pesan massal pihak ketiga yang menyebarkan tautan berbahaya secara otomatis.

Google menggambarkan lanskap pesan penipuan ini sebagai dinamis dan mudah berubah, di mana para pelaku terus berpindah ke wilayah dengan regulasi terlemah. Ketika satu negara memperketat pengawasan, para penipu dengan cepat beralih ke wilayah lain, menciptakan siklus abadi perpindahan hotspot penipuan di seluruh dunia. Upaya Google untuk memerangi ancaman ini menunjukkan bahwa meski para pelaku terus beradaptasi, teknologi keamanan juga terus berkembang untuk melindungi pengguna Android di mana pun mereka berada.

Smishing Triad: Kampanye Smishing Global Terkait China Serang 194.000 Domain Jahat (Malicious) di Seluruh Dunia

Kampanye Smishing Skala Besar Mengguncang Dunia Siber

Sebuah kampanye smishing global yang sangat masif berhasil diungkap oleh tim riset keamanan dari Palo Alto Networks Unit 42, yang mengidentifikasi lebih dari 194.000 domain berbahaya sejak 1 Januari 2024. Serangan ini menargetkan berbagai layanan di seluruh dunia, menunjukkan koordinasi tingkat tinggi di antara para pelaku ancaman siber.

Menurut laporan peneliti Reethika Ramesh, Zhanhao Chen, Daiping Liu, Chi-Wei Liu, Shehroze Farooqi, dan Moe Ghasemisharif, domain-domain tersebut terdaftar melalui registrar berbasis Hong Kong dan menggunakan nameserver berbahasa Mandarin. Namun, infrastruktur utama serangan justru dihosting pada layanan cloud populer asal Amerika Serikat, seperti Cloudflare.

Smishing Triad: Dari Penipuan SMS ke Ekosistem PhaaS Global

Kampanye ini diatribusikan pada kelompok peretas Smishing Triad, entitas yang memiliki keterkaitan dengan China. Kelompok ini dikenal karena membanjiri ponsel korban dengan pesan SMS palsu berupa pemberitahuan pelanggaran tol atau kesalahan pengiriman paket. Tujuannya jelas — memancing pengguna agar segera bereaksi dan menyerahkan data sensitif mereka.

Keuntungan finansial dari operasi ini sangat besar. Menurut laporan The Wall Street Journal, para pelaku telah menghasilkan lebih dari 1 miliar dolar AS dalam tiga tahun terakhir. Bahkan, laporan terbaru dari Fortra menyebutkan bahwa kit phishing milik Smishing Triad kini menargetkan akun pialang saham untuk mencuri kredensial perbankan dan kode autentikasi. Serangan terhadap akun-akun ini meningkat lima kali lipat pada kuartal kedua tahun 2025 dibandingkan periode yang sama tahun sebelumnya.

Peneliti keamanan Alexis Ober menjelaskan bahwa setelah berhasil membobol akun, pelaku menggunakan taktik manipulasi pasar saham yang disebut “ramp and dump.” Teknik ini meninggalkan jejak yang nyaris tak terlacak, meningkatkan risiko finansial secara signifikan bagi para korban.

Ekosistem Kriminal Terstruktur dalam Model PhaaS

Unit 42 menemukan bahwa Smishing Triad telah berevolusi dari sekadar pembuat phishing kit menjadi komunitas kriminal aktif yang mengintegrasikan berbagai pelaku dalam satu ekosistem Phishing-as-a-Service (PhaaS).

Ekosistem ini terdiri dari berbagai peran penting:

• Pengembang phishing kit yang merancang template serangan,

• Broker data yang menjual nomor telepon target,

• Penyedia domain sementara,

• Penyedia hosting server,

• Spammer yang mengirim pesan secara massal,

• Pemindai nomor aktif (liveness scanner), serta

• Pemindai blocklist untuk memastikan domain berbahaya tidak terdeteksi terlalu cepat.

Analisis Unit 42 menunjukkan bahwa 93.200 dari 136.933 domain utama (68,06%) terdaftar di bawah Dominet (HK) Limited, registrar asal Hong Kong. Domain dengan akhiran “.com” mendominasi, namun dalam tiga bulan terakhir terjadi peningkatan signifikan pada domain “.gov”.

Siklus Domain Cepat untuk Hindari Deteksi

Dari seluruh domain yang dianalisis, 39.964 (29,19%) aktif hanya selama dua hari atau kurang, dan lebih dari 71% aktif kurang dari seminggu. Sebanyak 82,6% domain hanya bertahan maksimal dua minggu, sementara kurang dari 6% memiliki masa aktif lebih dari tiga bulan.

Menurut Unit 42, tingginya tingkat pergantian domain menunjukkan strategi yang bergantung pada pendaftaran domain baru secara berkelanjutan agar mampu menghindari deteksi sistem keamanan. Total 194.345 nama domain (FQDN) tersebut terhubung dengan sekitar 43.494 alamat IP unik, sebagian besar berada di AS dan dihosting oleh Cloudflare (AS13335).

Layanan yang Paling Sering Ditiru

Penelitian juga menemukan beberapa temuan penting:

• USPS (U.S. Postal Service) menjadi layanan paling sering ditiru dengan 28.045 domain palsu.

• Layanan tol dan transportasi merupakan kategori dengan volume serangan tertinggi, dengan sekitar 90.000 domain phishing.

• Infrastruktur serangan terbesar berada di Amerika Serikat, diikuti oleh China dan Singapura.

• Serangan juga meniru bank, bursa kripto, layanan pengiriman, kepolisian, perusahaan milik negara, media sosial, hingga e-commerce di Rusia, Polandia, dan Lituania.

Pada serangan yang berpura-pura sebagai layanan pemerintah, korban sering diarahkan ke halaman palsu yang menampilkan tagihan tol atau biaya layanan yang belum dibayar. Dalam beberapa kasus, pelaku bahkan menggunakan jebakan ClickFix, memancing korban untuk menjalankan kode berbahaya dengan dalih menyelesaikan verifikasi CAPTCHA.