Omar Mokhtar 🇲🇾 Profile picture
Aug 21, 2019 40 tweets 10 min read Read on X
Terbaca kat satu website, dalam Malaysia, sebanyak 70% scam berlaku antaranya adalah sebab phishing.

Bukti ramai rakyat Malaysia belum sedar security threat yang satu ni. Walaupun anda bukan orang IT, tapi anda perlu ambil tahu!

Ini bebenang tentang phishing, baca sampai habis.
⚠️ Disclaimer: screenshot di atas hanya contoh sahaja. Saya skrinshot web sebenar dan edit sikit supaya nampak seperti phishing website untuk beri gambaran tentang macamana rupa bentuk phishing. Namun, website dan URL yang tertera tu tak wujud.
Mulanya, saya fikir takkan la mudah-mudah ja orang terpedaya untuk login ke phishing website? Takkan la tak dapat bezakan ori dan fake?

Tapi memandangkan kekurangan pendedahan kepada masyarakat tentang ini dan kepakaran attacker, so logik sangat la ramai mangsa boleh terkena.
Baca sampai habis thread ni, inshaAllah saya akan explain lebih details macamana kita nak validate dan avoid phishing ni at the first place.

Saya tulis dalam bahasa layman seboleh mungkin supaya lebih mudah dihadam.

Kalau boleh sebarkan juga untuk benefit lebih ramai orang.
1. Definisi layman tentang phishing:

Attacker clone website organisasi besar seperti bank. lure mangsa ke website tersebut melalui email, SMS, etc. Kemudian dorang lure mangsa untuk bagi diorang maklumat sensitif.

P/s: sebab tu la namanya phishing, dia pancing mangsa dulu.
Ini flowchart untuk kukuhkan kefahaman asas anda.

📜 Nota: situasi ni hanya gambaran asas. Cara sebenar mereka mungkin lebih licik daripada ni, sampai kita sendiri pun tak perasan.
Once anda login/signup ke web tu, attacker akan rekod login details anda (username & password) ke satu tempat seperti database ataupun text file.

Semakin ramai yang login, semakin banyaklah rekod diorang. Diorang akan guna rekod ini untuk login ke akaun bank mangsa yang sebenar.
Selain dapatkan login details, dorang boleh jugak lure mangsa untuk masukkan debit/credit card information.

Itu pasal la tetiba ada orang boleh call/wasep korang mintak TAC number. Cuba ingat balik, pernah ke korang login ke website phishing ni? Mungkin korang tak perasan. Haa..
So macamana ramai gila orang terpedaya? Ini antara possibilities:

- kurang kesedaran
- web phishing nampak terlalu real.
- attacker cukup power dalam social engineering*.

*Apa itu social engineering? Bahasa mudah, kaedah untuk deceive mangsa. Kita pergi ke point seterusnya, 👇🏻
2. Definisi social engineering dalam information security:

Attacker manipulate mangsa secara psikologi supaya mangsa buat kesilapan dan berikan maklumat sensitif (seperti emel & password, kad kredit, TAC dan sebagainya).

Sebelum attack, dorang study background korang dulu.
Dorang study korang kerja apa, alamat rumah, nombor IC, internet banking yang korang pakai, apps yang korang guna dan sebagainya.

Sebab tu ada yang dapat panggilan bagitau korang terlibat money laundering lah, penyeludupan lah. And they can tell your personal info correctly.
Bila anda dah jadi target, diorang akan conduct attack yang agak terancang untuk lure anda buat keputusan terburu-buru.

Inilah yang dinamakan 'spear phishing'. Spear phishing lebih targeted kepada mangsa tertentu, dan phishing jenis ni la yang paling berkesan dan kerap berlaku.
3. Kaedah

Phishing melalui SMS/email - dorang tak hantar emel bagitau korang terlibat jenayah, ni hanya berkesan untuk phone call. Korang bukak emel pun 5 tahun sekali, tak jadi aa 😅

So dorang 'represent' sebagai organisasi besar, nak bagi rewards yang menarik kat korang.
Imagine SMS di atas datang dari Maxis (padahal bukan dari Maxis). Korang klik link tu dan tetiba muncul website Maxis nampak macam legitttt je! 😤

Korang pun carelessly terdedahkan maklumat sensitif kat website tu. Ha pastu siaplah pastu...
Selain bait mangsa dengan rewards, boleh jadi attacker represent diri diorang as a bank atau even BNM through email.

Dalam email tu dorang gesa mangsa untuk update bank account di web phishing tersebut.

Lepas je mangsa login, terus keluar form untuk isi nombor kredit kad. Dem!
Tapi kekadang saya rasa ada ja scammer jenis noob, dia nak scam kita, so dia bawak pi website phishing dia. Dah la design macam budak tadika baru kenal komputer,

Pastu kat address bar tu tulis *.wixsite.com pulak 🤦🏻‍♂️

GUNA WIXSITE?! Am I a joke to you?! 🥶
Untuk orang IT, memang la kita ketawa. Tengok ja website tu tahu dah ada yang tak kena.

Tapi untuk kebanyakan orang, diorang mungkin boleh terpedaya sebab tak tahu.

Tapi itu baru scammer jenis noob.. guna free website dan free domain.

Kalau dapat ke scammer yang licik? Haa..
Scammer yang licik ni even orang bijak IT pun boleh terpedaya jugak kalau careless.

Website phishing dorang nampak TERLALU REAL, ramai orang tak dapat nak distinguish sama ada dia legit dan fake.

Even the URL pun nampak seakan-akan organisasi tu punya. Contoh macamni 👇🏻
Bila jumpa website phishing level macamni, walaupun si mangsa check URL website tu, somehow dia pun akan rasa ragu-ragu.

"Eh diorang ada URL baru ke untuk Internet Banking ni?"

"Eh siap ada HTTPS tu, mestilah betul kan?"
4. Adakah HTTPS menentukan keaslian website?

Jawapan: tidak semestinya.

Yang menentukan legit ke tak sesebuah website tu adalah domain tu sendiri, not HTTPS alone.

Tanda website legit kena ada dua ni serentak:

✅ Domain yang betul
✅ HTTPS wajib ada
HTTPS ada tujuan yang tersendiri, secara asasnya adalah untuk prevent man-in-the-middle attack, especially bila connect ke public Wi-Fi contohnya.

Website yang collect maklumat sensitif wajib ada benda ni. Nak baca lanjut pasal HTTPS, boleh baca sini 👇🏻

Kenapa saya kata HTTPS tak 100% menentukan web tu legit?

Okay, nak dapatkan HTTPS tu kena ada SSL Certificate. SSL ni biasanya di-sign oleh authority yang globally recognised seperti GlobalSign, Symantec.

Dulu, nak dapatkan certificate ni kosnya mahal dan tak semua mampu.
Namun, harini ada authority yang provide SSL Certificate ni for free untuk semua orang.

Tujuannya adalah untuk encourage lebih banyak website untuk guna HTTPS sebab lebih secure.

Tapi downside dia, scammer boleh take advantage from this untuk deceive pengguna yang taktau.
Ada juga bank/company yang invest duit lebih sikit untuk SSL Certificate ni. Hence, web diorang ada nama company. Kalau bukak kat sesetengah browser, the address turns green.

Kalau macamni, confirm legit.
Internet banking kebiasaannya hanya boleh diakses melalui SATU DOMAIN sahaja. Kalau banyak domain pun, pengguna perlu tahu setiap domain yang legit. Tapi saya rasa memang satu ja.

So jangan akses website yang nampak serupa, tapi domain dia tak legit!
5. PrivateWord/PrivatePhoto

Internet Banking biasanya datang dengan feature ni. Upon registration kita kena pilih yang mana berkenan di hati.

Setiap kali nak login mesti kita jumpa benda ni. Antara tujuannya untuk validate kita berada di website yang betul la.
Laman web phishing taktahu apa PrivateWord/PrivateImage kita. So benda ni memang dorang takleh cheat la.

Tapi boleh ja web phishing tu bagi mangsa login terus tanpa perlu tunjuk pun PrivateWord tu. Sebab mangsa bukan kisah pun benda tu.

Hmm tu la masalah dia.
6. Web phishing biasanya tak perfek 100%.

Kalau nampak hyperlink ke apa, cuba klik, berfungsi ke tak. Scammer tu mungkin fikir untuk retain pengguna di website dia, so dia tak buat hyperlink ke luar.

Cuba tengok image yang sepatutnya bertukar-tukar. Berfungsi ke tak?
Kebiasaan orang yang dah biasa develop web/app ni, dia boleh detect ada yang tak kena dengan user experience (UX) website tu.

Tekan button login takde loading, takde PrivateWord, etc. Mesti ada something wrong somewhere.
7. Detect email phishing

Kadang-kadang email phishing ni dia trick sender (gambar pertama, dalam bulatan) tu dengan nama organisasi/company yang dia 'represent'. Saya pernah jumpa emel macamni dulu.

So nampak seolah-olah organisasi tu yang hantar emel kat kita.
Tapi bila tengok email header, sendernya adalah orang yang berbeza. Usually from a random personal email.

Untuk tengok email header, rujuk gambar sebelum tweet ni. Email header biasanya dalam bentuk code. Attacker takleh tipu kat sini, mesti terdedah juga email sebenar dia.
8. Be skeptic.

Jadi skeptic sikit sebelum nak login kat memana website, especially Internet Banking. Check URL betul ke tak. Kalau betul baru login. Ala basic je ni.. semua orang tau.

Tapi tu la, tau tau pun ramai masih careless jugak.
9. Kalau rasa macam pernah terkena, apa nak buat?

Pertama sekali, tukar password Internet Banking serta merta.

Kemudian report kepada authority (MCMC), polis dan bank yang terlibat. Tahulah diorang ambik tindakan nanti.

mcmc.gov.my/make-a-complai…
Also, kalau dapat phishing email, report jugak. Next time dia tak boleh hantar lagi dah email kat orang lain.

Ini akan membantu email services seperti Gmail untuk analyse email phishing jugak untuk keselamatan kita dan pengguna lain di masa depam.
So itu saja yang saya nak kongsi harini. Kalau rasa nak baca thread saya yang lain, check my compilation of threads here:

Ada orang share dia hampir kena scam dengan scammer yg menyamar sebagai Boost.

Nasib baik membe ni sedar awal sikit, dia masuk duit pastu keluar balik hahah.

Sometimes offer scammer ni too good to be true. Sengaja dorang pique mangsa punya greed. RM8k beb, sapa ja taknak?
I am starting to think that scammers are almost similar to flu pathogens – they always evolve to get around you.
Anyone else pernah ada pengalaman kena scam?

What if kita expose modus operandi scammer ni so next time orang lain boleh elak daripada masuk lubang yang sama 🤔?

My dm is open if you wanna share 🙌🏻

(but make sure tulis dalam bentuk perenggan 😅)
Another sharing from a kind person. Always watch your parents.

Something similar happened to my mom too but luckily she asked me first.

Parents mungkin tak pandai IT, so anak-anak kena la ambil tahu benda ni to protect yourself and your parents as well.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Omar Mokhtar 🇲🇾

Omar Mokhtar 🇲🇾 Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @omarqe

Feb 3, 2022
SELAMAT KE SIMPAN PASSWORD KAT CHROME?

Sebenarnya, simpan password kat browser adalah tidak disyorkan atas faktor-faktor keselamatan.

Bebenang 🧶
Dalam bebenang ni aku akan terangkan (secara ringkas):

1. Tak boleh ke guna password sama je, kan senang nak ingat?

2. Kenapa bahaya simpan password kat browser macam Google Chrome?

3. Bagaimana password manager berfungsi?

4. Apa password manager yg disyorkan?

5. Kesimpulan
1. KENAPA TAK BOLEH GUNA PASSWORD SAMA?

Aku faham, dalam sehari kita guna banyak servis online; Facebook lah, Twitter lah, Internet Banking lah dan macam-macam lagi.

Ada orang mungkin ada lebih 100 akaun di Internet. Sebab malas nak ingat, depa ulang-guna password yang sama ja.
Read 41 tweets
Oct 28, 2021
Untuk pelajar-pelajar Sains Komputer, aku cadangkan korang mula bina portfolio sejak tahun pertama korang.

Dalam industri IT ni, terutamanya programming, tak kisahlah korang fresh grad ke apa, kalau ada skills, inshaAllah kau akan cemerlang dalam game ni.
Skills korang tu dipersembahkan melalui portfolio yang tiptop.

Portfolio yang tiptop makan masa untuk dibina. So harini jugak korang dah kena mulakan.
Apa boleh letak dalam portfolio?

1. Projek hobi
2. Projek freelance
3. Projek FYP
4. Projek startup
5. Hackathon

Dan lain-lain.
Read 10 tweets
Jun 11, 2021
Aku saja redesign balik app MySejahtera yang sedia ada tu. Dua screen je boleh buat (nak lebih bayar la hehe).

Mungkin tak fancy sangat; sebab aku cuba follow prinsip “familiarity” dalam UI design.
Apa itu prinsip “familiarity”?

Prinsip ini bermaksud design yang kita buat tu mesti kena selari dengan pengetahuan sedia ada pengguna.

Manfaatnya sangat besar kalau kita guna prinsip ni, sebab pengguna tak perlu susah payah lagi dah nak belajar semula cara guna app kita.
Sebagai contoh,

Cuba tengok “Reels” di Instagram dan “Shorts” di YouTube. Nampak familiar kan? Tengok pun dah tahu macamana nak guna/browse content kat situ.

Sebab dia follow cara TikTok.
Read 12 tweets
May 10, 2021
Adik-adik yang berminat nak jadi Software Developer, kos yang korang perlu ambil di universiti adalah Software Engineering.

Tapi sebelum buat keputusan untuk ambil kos ni, mohon baca bebenang ini sampai habis dulu. Ada beberapa benda yg aku rasa korang perlu tahu.

[Bebenang 🧶] Image
Software Engineering (SE) adalah salah satu cabang daripada Computer Science. Korang akan grad sebagai Bachelor of Computer Science (Software Engineering).

Di kebanyakan uni, SE terletak di bawah Fakulti Sains Komputer & Teknologi Maklumat (FSKTM), bukan Fakulti Kejuruteraan ye.
Di bawah Computer Science ni ada banyak cabang:

- Software Engineering
- Artificial Intelligence
- Data Science
- Multimedia
- Network
- Information Systems
- dll.

Walaupun korang ambil kos selain SE, korang masih boleh ceburi kerjaya sebagai Software Engineer. Tiada masalah.
Read 40 tweets
Feb 24, 2021
PERSONAL BRANDING @ LINKEDIN?

Dalam tweet aku sebelum ni, aku cakap buatlah LinkedIn dari awal, terutamanya kepada para pelajar. Janganlah bila dah grad baru nak buat; sebab nak bangunkan personal branding ni makan masa ya anak-anak.

Jom, aku kongsikan?

[Bebenang 🧶]
Daripada tweet tu, ramai yang bertanya,

"Apa yang saya nak share di LinkedIn ni tuan?"

"Bila masa yang sesuai untuk saya buat LinkedIn ni?"

Dan macam-macam lagi soalan-soalan lain. Jadi aku rasa tak moleklah kalau aku biar saja tweet tu tergantung begitu tanpa berkongsi lebih.
1. PERSONAL BRANDING? 🌱
=====================

Personal branding adalah tentang bagaimana kau nak orang kenal kau.

Contoh kalau kau nak orang kenal kau sebagai make-up artist, kau cerita tentang tips make up. Kalau kau nak orang kenal sebagai chef, kau kongsi tips/video resepi.
Read 42 tweets
Feb 22, 2021
Wahai para pelajar, aku sarankan korang buatlah LinkedIn dari awal.

Situ lubuk recruiter aku rasa. Kau update je kerja-kerja kau and apa kau boleh buat, nanti ada la yang tanya “are you open for new opportunities?”.

Aku ni sampai ambik keputusan tak reply terus semuanya 🤣🤣 Image
Tak tertakluk kepada pelajar saja, kepada sesiapa nak cari peluang baru terutama dalam bidang teknologi ni.
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

:(