Kes 1 : Iklan Jawatan Kosong lead to Telegram Takeover

[!IMPORTANT] Cuba lihat gambar di atas, pernah tak tuanx / puanx dapat mesej macam ini dari rakan telegram anda untuk pinjam duit? Kejadian ini masih lagi aktif berlaku pada masa sekarang ni. Ramai yang telah menjadi mangsa penipuan ini. Ada yang mengalami kerugian hampir puluh ribu. Scammer menggunakan method yang sama cuma storyline berbeza. Antaranya ialah bantuan STR, MyKasih, Dalam IC ada duit, Iklan jawatan kosong dan banyak lagi. Kita perlu ambil tahu dan diharapkan artikel ini dikongsikan kepada ahli keluarga kita agar dapat mengelak dari menjadi mangsa seterusnya. Bagaimana ianya berlaku? Yuk scroll..

Gambar atas ni adalah screenshot iklan jawatan kosong dari halaman facebook pada salah satu page scammer.

Tuanx / puanx boleh lihat pada setiap komen pada posting iklan jawatan kosong tersebut. Begitu banyak individu yang tags kawan masing2. Secara tak langsung scammer telah berjaya mengaburi mata pembaca. Misi scammer untuk spread iklan ni berjaya. Scammer tak perlu lagi fikir macam mana nak hebahkan pautan phishing beliau.

Kita lihat pada jumlah share posting iklan ini, ianya mencecah 1.3K jumlah shares. Komen pula 456. Bagi scammer, ianya adalah satu kejayaan. Jumlah komen dan share ini akan memberi lebih point kepada phishing beliau untuk nampak lebih legit dan official.

Ini adalah pautan iklan tersebut : Link.

Jom buka pautan phishing tersebut

Selepas klik pautan phishing tersebut, kita akan landing ke satu website dimana terpapar iklan jawatan kosong pengambilan segera. Terdapat 2 form yang perlu diisi iaitu nama penuh dan nombor phone yang ada akaun telegram. Kemudian klik log masuk.

Disini kita dapat lihat, nak daftar permohonan jawatan kosong kenapa perlu login akaun telegram? ianya satu perkara yang pelik.

Halaman page seterusnya pula, kita dikehendaki untuk memasukkan OTP yang dihantar ke phone kita.

Halaman seterusnya pula kita dikehendaki untuk memasukkan password akaun telegram. Kemudian klik button log masuk.

Paparan halaman seterusnya, tunggu 5 minit sambil mereka menyemak kelayakan kita. 🤯💩 Masa ini semua details dah ada pada scammer; Nama, Phone Number, OTP dan Password account telegram. Tiba masa untuk scammer mendapatkan access / takeover akaun telegram kita.

[!CAUTION] Tatkala inilah objektif utama phishing ini akan dijalankan. Scammer ini kemudiannya akan menggunakan teknik Social Enginering, dengan menggunakan akaun telegram kita yang telah di takeover, beliau akan DM setiap rakan-rakan telegram kita untuk pinjam duit. Rakan kita pula mungkin tidak akan syak apa-apa memandangkan meseg itu adalah dari kita sendiri.

Kalau kita view page source, kita akan dapat lihat ada satu part ada string pendaftaran Selangkah Selangor. Why Selangkah plak ni? 😄

Dalam red square tu kita nampak yang scammer ni hanya pinjam gambar dari website lain.

Domain details. Memang selalunya scammer akan guna lets Encrypt punya SSL sebab ianya free. Setel part domain SSL

Screenshot ini pula menunjukkan domain tersebut didaftarkan oleh Rumahweb Indonesia. Kebarangkalian scammer ini berasal dari Indonesia, tapi anything can be, orang kita pun boleh buat perkara sama.

Senarai subdomain under semakan-status.info (Semuanya phishing page)

Kes 2 : Phishing | Dalam IC ada duit 😄

[!NOTE] Dalam screenshot atas ni kita dapat lihat cubaan scammer menipu dengan mengatakan dalam ic ada duit 💩.

Dalam kedua-dua screenshot di atas ni, scammer wrap actual pishing link dengan link shortener. (redr.me & bitly.ws). Imbasan terhadap domain yang scammer gunakan menunjukkan domain tersebut telah di senarai hitam.

Imbasan pada laman sesawang yang kedua pula menunjukkan domain tersebut telah redirect ke satu pautan lain (Actual phishing link).

Dalam gambar di atas ni kita boleh lihat senarai subdomain under domain yang sama. Banyak website phishing yang telah dibangunkan untuk tujuan money scam.

Gambar di atas menunjukkan hasil tangkap layar pada kesemua website phishing under domain wrmy6.com, fuhh 😅. Website phishing ni kalau kita view source dia, kesemuanya lebih kurang sama, dia hanya perlu sunting text dan gambar sahaja untuk menampakkan ianya legit dan cantik.

Kes 3 : Phishing | Bantuan Rahmah Kerajaan

[!NOTE] Dalam screenshot atas ni adalah scammer menggunakan storyline Bantuan Rahmah Kerajaan. Sama jugak method yang dia gunakan. Untuk check kelayakan kena login akaun telegram menggunakan pautan yang dia bagi dalam mesej tersebut.

Web phishing yang ini pula kita lihat sama je design dengan yang sebelum ni. Hanya gambar dan tajuk yang berubah. Yang lain sama. Masih lagi perlu login telegram untuk menyemak kelayakan.

Gambar atas ni pulak adalah screenshot of phishing page by domain. Banyakkan? 😃

Senarai domain yang didaftar di bawah domain ID yang sama.

Godek-godek ada jumpa beberapa nama pelajar.

Jom Report Domain Abuse

Domain bantuanrahmahkerajaan.my.id ni didaftarkan under domain ID PANDI.

Selesai report domain bantuanrahmahkerajaan.my.id

Report to google

Report Telegram Account

Analisis ini tidaklah terlalu deep, mostly basic je. Saya tak reti sangat. Semoga artikel ini berguna untuk anda & family. Boleh share. Paling risau kalau perkara ni berlaku pada ibu ayah kita. Aidilfitri makin dekat, takut scammer pun busy dengan modus operandi seterusnya.