Dompet digital bukan lagi tempat yang selamat

Kaspersky mengesyorkan sentiasa menggunakan alat keselamatan dengan tembok api pada peranti penting...

Jika dahulu, kehilangan dompet digital selalunya disebabkan oleh pengguna secara tidak sengaja mendedahkan kunci peribadi mereka, kini penggodam telah mencipta alat untuk "membantu" pengguna menderma aset mereka tanpa mengetahuinya.

Dua insiden berprofil tinggi baru-baru ini yang menggambarkan trend ini ialah kemunculan sambungan berniat jahat dan kempen APT yang menyasarkan kakitangan industri Blockchain.

TheHackerNews melaporkan bahawa pada pertengahan November 2025, komuniti keselamatan dikejutkan dengan penemuan sambungan penyemak imbas Chrome yang dipanggil "Safery: Ethereum Wallet". Menyamar sebagai dompet Ethereum yang selamat dan fleksibel, sambungan ini sebenarnya adalah "mesin penghisap darah" yang direka dengan canggih.

Menurut penyelidik keselamatan, "Safery", penyerang siber menggunakan teknologi Blockchain untuk menyembunyikan jenayah mereka. Khususnya, apabila pengguna memasukkan frasa pemulihan (frasa benih) ke dalam dompet palsu ini, perisian hasad akan menyulitkan frasa tersebut ke dalam alamat dompet pada rangkaian Sui (blockchain Sui).

Penyerang hanya perlu menjejak dan menyahsulit alamat penerima untuk memulihkan frasa benih asal dan mengalirkan dompet digital mangsa secara senyap. Bahayanya terletak pada hakikat bahawa keseluruhan proses kecurian data kelihatan sama seperti transaksi Blockchain biasa, menjadikan sistem pemantauan keselamatan hampir "buta".

Penemuan daripada Kaspersky menunjukkan bahawa mereka bukan sahaja menyerang pengguna biasa, kumpulan jenayah siber terkenal BlueNoroff (juga dikenali sebagai Sapphire Sleet atau APT38) telah menggunakan dua kempen serangan sasaran baharu, GhostCall dan GhostHire, yang ditujukan terus kepada pengaturcara dan eksekutif dalam bidang Web3.

Dalam kempen GhostCall, penggodam mendekati sasaran melalui Telegram, menyamar sebagai pemodal teroka (VC). Bahagian yang menakutkan ialah kejuruteraan sosial yang terperinci: mereka menjemput mangsa untuk menyertai mesyuarat video di tapak web palsu seperti Zoom atau Microsoft Teams.

Apabila mengambil bahagian, mangsa akan melihat video peserta lain. Sebenarnya, ini bukan Deepfakes seperti yang dipercayai oleh ramai orang, tetapi rakaman audio/video sebenar mangsa terdahulu yang dicuri oleh penggodam.

"Keaslian" ini membuatkan mangsa tidak berjaga-jaga dan memuat turun "kemas kini" palsu dengan mudah yang mengandungi AppleScript berniat jahat (untuk macOS) atau fail boleh laku berniat jahat (untuk Windows).

Menurut laporan terkini daripada Kaspersky mengenai teknik pancingan data pada tahun 2025, penggodam telah "menghidupkan semula" helah pancingan data Kalendar tetapi pada peringkat perniagaan (B2B).

Daripada menghantar e-mel "spam" besar-besaran, mereka menghantar jemputan mesyuarat palsu yang mengandungi pautan berniat jahat dalam perihalan acara. Walaupun pengguna tidak membuka e-mel, peringatan daripada apl kalendar telefon mereka masih boleh menarik mereka untuk mengklik pada pautan kerana ingin tahu.

Selain itu, penggunaan kod QR telah mengambil bentuk baharu, membenamkan kod QR dalam lampiran PDF. PDF ini kadangkala dilindungi kata laluan (kata laluan dihantar dalam e-mel atau e-mel berasingan) untuk memintas alat pengimbasan virus automatik.

Mengimbas kod QR memaksa pengguna menggunakan peranti mudah alih peribadi mereka – yang selalunya tidak mempunyai perlindungan keselamatan teguh yang sama seperti komputer korporat – untuk mengakses tapak pancingan data palsu.

Penyelidik keselamatan di Kaspersky menunjukkan teknik yang ketara di mana penggodam mencipta halaman log masuk palsu (cth., menyamar sebagai perkhidmatan storan pCloud) yang mampu berinteraksi masa nyata dengan perkhidmatan sebenar melalui API.

Apabila pengguna memasukkan maklumat log masuk dan kod OTP mereka ke dalam tapak palsu, tapak tersebut segera memajukan data tersebut ke perkhidmatan sebenar. Jika maklumat itu betul, penggodam akan mengambil alih sesi log masuk sebelum pengguna menyedarinya.

Selain itu, untuk mengelak daripada dikesan dan dianalisis oleh penapis keselamatan untuk tapak web pancingan data, penggodam telah menyediakan "rantaian pengesahan". Apabila pengguna mengklik pada pautan, mereka perlu melalui banyak lapisan kod pengesahan CAPTCHA atau halaman pengesahan palsu sebelum sampai ke halaman destinasi (halaman log masuk Google/Microsoft palsu). Ini kedua-duanya menapis bot pengesahan automatik dan mewujudkan rasa kepercayaan palsu kepada pengguna bahawa tapak web itu selamat sepenuhnya.

Bahaya pancingan data dikuatkan oleh model "Phishing-as-a-Service", seperti yang dibuktikan oleh tuntutan mahkamah baru-baru ini Google terhadap penggodam di sebalik platform Lighthouse.

Pada tahun 2025, garis antara keselamatan dan bahaya dalam dunia mata wang kripto adalah lebih tipis berbanding sebelum ini.

Penjenayah siber bukan lagi hanya penulis perisian hasad, mereka adalah "ahli psikologi" yang memahami tingkah laku pengguna dan "jurutera" yang tahu cara memanfaatkan teknologi keselamatan (seperti blockchain, pengesahan 2 faktor) untuk menyerang mangsa mereka.

Bagi pelabur, nasihat "jangan kongsi kunci peribadi anda" tidak lagi mencukupi. Pakar Kaspersky mengatakan bahawa menyemak asal sambungan dengan teliti, berhati-hati terhadap sebarang jemputan mesyuarat dalam talian atau tawaran kerja yang tidak dijangka, dan berhati-hati terhadap permintaan log masuk daripada e-mel (walaupun dengan perlindungan PDF atau CAPTCHA) adalah kemahiran hidup wajib dalam era digital yang penuh dengan perangkap ini.

Menurut pakar Kaspersky, sentiasa gunakan alat keselamatan dengan tembok api pada peranti penting, daripada komputer riba Windows hingga MacBook, malah jangan lupa bahawa telefon pintar, yang dianggap sebagai komputer kecil, juga memerlukan aplikasi perlindungan.

Komen (0)