Video: JPMorgan Chase Hacked: Cyberattack Breaches Bank's Security (Desember 2024)
Spammer menggunakan pelanggaran data JPMorganChase bulan lalu dalam serangan phishing baru yang bertujuan membuat korban menyerahkan informasi rahasia.
Pelanggaran data jarang merupakan akhir dari kampanye cyber. Geng di belakang pelanggaran dapat menggunakan informasi tersebut sebagai pengintaian untuk meluncurkan serangan yang lebih bertarget, atau menghasilkan uang dengan menjual data yang dicuri. Penjahat lain mengambil keuntungan dari kebingungan dengan "serangan kuda-kudaan" yang bermain di atas ketakutan para korban akan pelanggaran asli. Dalam hal apa pun, pengguna harus tetap waspada terhadap tanda-tanda kegiatan yang curang atau mencurigakan.
Bulan lalu, JPMorganChase mengatakan data pribadi milik sekitar 465.000 pemegang kartu UCARD, atau hanya di bawah 2 persen dari total pengguna, diekspos dalam pelanggaran data. UCARD, kartu debit prabayar yang sering digunakan oleh bisnis dan lembaga pemerintah untuk mengeluarkan pengembalian pajak, kompensasi pengangguran, dan manfaat lainnya, memiliki sekitar 25 juta pengguna di seluruh negeri. Raksasa keuangan itu mengatakan pada saat itu bahwa mereka tidak akan mengeluarkan kartu pengganti karena tidak ada bukti kegiatan penipuan terkait dengan kartu dan akun.
Piggyback Phishing Attack
Para pengguna yang menerima surat pemberitahuan dari Chase tahu pasti mereka terpengaruh dan bisa melakukan sesuatu. 98 persen lainnya dibiarkan "dalam semacam limbo keamanan data, " kata Paul Ducklin, seorang peneliti Sophos. Para pengguna ini harus menunggu dan melihat apakah investigasi JPMorganChase menemukan detail tambahan atau lebih banyak korban.
Penjahat dunia maya menargetkan pengguna ini dalam kampanye phishing.
Email phishing ini menargetkan "Chase Paymentech User" dan memberi tahu penerima "masalah yang disebabkan oleh pelanggaran basis data baru-baru ini, " tulis Ducklin di Naked Security. Pengguna diminta mengklik tautan dan melengkapi profil untuk memverifikasi identitasnya. Phish yang sebenarnya itu sendiri tidak "sangat canggih, " karena pengguna diarahkan ke halaman pedagang, bukan halaman UCARD palsu, kata Ducklin.
Karena email serangan itu menggunakan gambar dan stylesheet Chase sendiri, mereka lolos "keributan visual biasa, " kata Ducklin. Dan karena pengguna sudah khawatir tentang pelanggaran dan mencari informasi, mereka siap untuk penipuan ini.
Para penjahat sering mencoba untuk mengambil uang dari pelanggaran keamanan dengan memangsa ketakutan calon korban untuk menipu mereka agar berbagi informasi rahasia atau mengambil tindakan tertentu. Anda harus selalu waspada terhadap komunikasi yang meminta Anda mengklik tautan atau memberikan informasi rahasia. Seperti yang ditunjukkan Ducklin, tidak seperti lembaga keuangan yang baru-baru ini memiliki insiden keamanan akan mengirim email yang meminta Anda mengklik tautan yang membawa Anda ke halaman login.
"Setiap kali Anda menerima tautan email yang masuk ke halaman login, seperti ini, Anda dapat segera memastikan itu palsu, " Ducklin memperingatkan.
Just Don't Click
Ingat bahwa Chase, atau bisnis apa pun yang sah, tidak akan pernah meminta informasi pribadi melalui email. Sementara beberapa perusahaan menggunakan email untuk memberi tahu pengguna tentang pelanggaran (seperti Adobe), jika terjadi pelanggaran di mana catatan keuangan atau kesehatan dikompromikan, Anda kemungkinan besar akan menerima pemberitahuan dan semua komunikasi tindak lanjut melalui surat pos.
"Jenis-jenis serangan ini dapat terlihat sangat kredibel, dan sulit bagi orang untuk melihatnya sebagai palsu, " kata Lee Weiner, wakil presiden senior produk dan teknik di Rapid7. Jadi, alih-alih mencoba mencari tahu apa yang nyata dan yang tidak, orang hanya perlu membiasakan diri tidak mengklik tautan.
Sebaliknya, mereka harus "pergi langsung ke situs yang Anda inginkan menggunakan browser web Anda dan kemudian menggunakan navigasi situs sendiri untuk menemukan halaman Anda, " kata Weiner. Atau hanya mengangkat telepon dan menelepon, atau berjalan untuk berbicara langsung dengan karyawan.