$100K Returned — Malvertising Scam Foiled
Para penipu asal Rusia menyamar sebagai proyek kripto melalui malvertising dan malware pencuri data. Kami mendeteksi operasi tersebut, memulihkan akses dompet, dan mengembalikan lebih dari $100K. Dana tambahan yang berhasil dipulihkan disumbangkan ke @_SEAL_Org. Di bawah ini: rincian, IOC, dan pelajaran yang dapat dipetik.

Gambaran Umum
Sebuah proyek mata uang kripto menjadi korban serangan rekayasa sosial yang menyamar sebagai kemitraan periklanan yang sah. PhishDestroy memulihkan akses dompet dan mengembalikan lebih dari $100.000 dalam dana yang terkompromi, kemudian mengalihkan hadiah yang ditawarkan ke sebuah organisasi eksternal demi menjaga independensi.
Yang Perlu Anda Ketahui
- Dompet digital tersebut sudah diretas; dananya sudah dipindahkan.
- Akses telah dipulihkan dan $100K+ tidak diizinkan untuk tetap bersama pelaku.
- Proyek tersebut menawarkan hadiah, yang ditolak dan dialihkan ke @_SEAL_Org sebagai gantinya.
- Pekerjaan ini dilakukan secara mandiri sebagai upaya pribadi, bukan sebagai pekerjaan berbayar.
Bagaimana Modus Operasi Penipuan Ini
- Korban menerima proposal kemitraan/iklan untuk sebuah game kripto.
- Serangan tersebut tampak meyakinkan: situs web yang profesional, akun X (Twitter) yang sudah mapan, serta panggilan video yang tampak sah.
- Selama panggilan telepon, para penyerang meminta agar aplikasi "workplace viewer" diinstal untuk mengakses materi-materi tersebut.
- "Penonton" itu adalah malware pencuri.
- Para penyerang menarik dana, menukar token antar-rantai, dan memindahkan aset ke dompet mereka sendiri.
Tindakan Tanggap Darurat yang Telah Dilakukan
- Telah dipastikan terjadi pelanggaran dan pergerakan lebih lanjut telah dihentikan.
- Akses dompet telah dipulihkan untuk pemilik yang sah.
- Kontrol atas dompet penerima milik penyerang telah diamankan dan dialihkan kepada tim korban.
- Langkah-langkah tindak lanjut yang terkoordinasi untuk mengurangi risiko sisa.
Penguatan Keamanan Pasca-Insiden
Keamanan Perangkat
- Panduan langkah demi langkah untuk menangani perangkat yang terinfeksi dengan aman
- Isolasi jaringan, pencabutan sesi, rotasi kredensial/kunci, rencana pembangunan ulang yang bersih
Pengaturan Operasional
- Stasiun kerja baru dan bersih yang khusus digunakan untuk operasi dompet digital
- Sistem operasi terbaru, unduhan eksklusif dari vendor, dompet perangkat keras, ekstensi minimal, profil peramban terpisah, 2FA
Persiapan Forensik
- Panduan pembuatan snapshot disk dan pengumpulan log sistem/aplikasi
- Penyimpanan barang bukti untuk penyelidikan hukum yang mungkin dilakukan
Memahami "Adverting"
Iklan adalah teknik rekayasa sosial bergaya bisnis di mana para penjahat meniru alur kerja yang biasa (pembelian iklan, kemitraan, hubungan masyarakat) untuk mengelabui korban agar menginstal "klien" berbahaya.
Tanda-tanda peringatan yang umum:
- "Pasang pengelola/pembantu iklan kami untuk menyinkronkan materi iklan"
- "Gunakan klien Zoom/Telegram khusus kami untuk panggilan ini"
- "Buka kit media/NDA kami melalui penampil yang aman"
Imbalan dan Kemandirian
- Proyek tersebut menawarkan imbalan karena jumlah yang berhasil dipulihkan melebihi kerugian awal.
- PhishDestroy menolak untuk menerima hadiah tersebut.
- Seluruh surplus dialokasikan ke @_SEAL_Org.
- Hal ini menjaga kemandirian — tanpa sumber pendanaan maupun kewajiban apa pun.
Prinsip-Prinsip Dasar
- Hanya kemerdekaan — tanpa anggaran atau syarat apa pun.
- Pendekatan yang berfokus pada hasil daripada sekadar diskusi.
- Penolakan terhadap "klien khusus" apa pun atau perangkat lunak yang belum terverifikasi.
- Pengungkapan selektif yang membantu para korban, bukan pelaku ancaman.
- Tekanan langsung terhadap infrastruktur penyerang.
Rekomendasi Praktis
Untuk Proyek & Tim
- Jangan pernah menginstal penampil/klien/pembaruan di tempat kerja yang berasal dari pihak ketiga yang tidak terverifikasi.
- Unduh Zoom/Telegram hanya dari situs resmi penyedia layanan tersebut.
- Hindari tautan bersponsor untuk dompet, jembatan, dan airdrop.
- Pilihlah dompet perangkat keras yang memiliki penyimpanan seed secara offline.
- Jika terjadi pelanggaran keamanan: batalkan sesi, pindahkan dana, ganti kunci, terbitkan ulang kode rahasia, dan segera minta bantuan.
Untuk Komunitas
- Laporkan aktivitas mencurigakan melalui bot Telegram kami.
- Akses panduan tindakan penting dan sumber daya di phishdestroy.io/tindakan-darurat.
Kesimpulan
Meskipun dana tersebut telah dipindahkan, PhishDestroy akses telah dipulihkan dan memastikan bahwa pelaku serangan tidak dapat mempertahankan aset yang dicurinya. Dengan menolak hadiah tersebut dan mengalihkan dana yang tersisa ke tujuan lain, organisasi tersebut mempertahankan model operasionalnya yang tidak dibayar dan independen, yang berfokus pada penanggulangan insiden yang cepat dan efektif.



