Setuju. Majoriti Internet scam di Malaysia datang dari spear phishing.

Spear phishing berbeza daripada phishing biasa di mana scammer tu nampak legit & sangat sukar dikesan.

Rata-rata yang kena spear phishing ni tak perasan pun yang sebenarnya tu phishing walaupun dia pakar IT. https://twitter.com/aisyahshakirah/status/1264609544254058496

Cara yang bagus untuk elak daripada kena hack ni adalah dengan berfikir seperti seorang hacker.

Tapi dalam konteks ni kita bincang tajuk yang lebih spesifik iaitu scam. Maka korang kena berfikir seperti seorang scammer.

Macamana? Dengan belajar dan memahami konsep tersebut.

However, I'm still not sure if a scammer can do immediate damage with your account number in their hands — but I think they might not be able to, but the information you exposed to the public is seriously useful lol.

I'll tell you why.

Katakan korang share nombor akaun Maybank, now scammer dah tahu nama penuh & korang guna Maybank.

Jadi yang tinggal sekarang adalah untuk dapatkan maklumat seperti emel, nombor IC, alamat & etc. bagi membolehkan diorang jalankan Social Engineering* lebih mendalam ke atas korang.

*Social Engineering (SE) adalah aktiviti untuk trick mangsa supaya mendedahkan maklumat sulit tentang dirinya.

Social Engineering is actually a whole chapter or subject in hacking. Memang ada pelajaran khusus yang terperinci dan mendalam tentangnya.

1. Acquiring Personal Data

Macamana scammer boleh dapatkan maklumat sulit yang lelain tentang korang?

Korang kena tahu kat Malaysia ni data breach bersepah-sepah kau dan aku mungkin sebahagian dari breach tersebut. Tapi itulah ramai tak sedar atau langsung taknak ambik tahu.

Sebab tak tahu atau taknak ambik tahulah yang ada orang boleh simple-simple je kongsi maklumat sulit tu kepada awam haha.

Hanya beri nombor akaun bank kepada orang tertentu saja lah. Janganlah siarkan pada umum wahai sekalian manusia.

Just ingat ni,

Setiap inci maklumat korang sebenarnya berguna untuk para scammer; sebab bila scammer tu boleh bagitahu maklumat korang dengan tepat dan terperinci, lebih tinggi peluang korang terpedaya dengan diorang.

2. Social Engineering

Kalau data lookup tadi tak berjaya, SE lah langkah yang seterusnya untuk collect maklumat korang.

P/s: biasanya hacker pun macamtu juge, kalau tools tak berjaya, cuba buat SE pulak untuk pecah masuk ke dalam sistem.

Kita tak tahu scammer tu siapa. Boleh jadi dia pernah hubungi kita sebelum ni dengan identiti lain. Kali pertama minta maklumat seperti nombor IC, alamat dan nombor phone.

Next, menyamar sebagai identiti bank pulak. Kali ni guna balik data yang diorang dah dapat sebelum ni.

3. Modus Operandi Spear Phishing

Aku agak 50-50 nak share apa yang korang bakal baca untuk point ni. Jadi aku letak disclaimer siap-siap.

Disclaimer 1: Aku guna nama bank sebenar supaya korang faham & "immersed" ke dalam situasi sebenar bagaimana spear phishing ni berlaku.

Disclaimer 2: Links, SMS dan screenshots yang digunakan adalah BUKAN dari bank sebenar. Ia hanya digunakan sebagai CONTOH seperti yang dinyatakan di dalam Disclaimer 1.

Disclaimer 3: If you wanna share this, please share the whole thread. Don't take it by some parts.

Boleh jadi scammer tu hantar emel/SMS cakap berlaku transaksi sebanyak RM5,000 dari akaun korang.

Korang baca ni terus gelabah bila masa pulak aku buat transaksi ni. Tanpa ragu korang terus pergi ke link tu. Link tu nampak legit gila kan?

Tapi sesiapa saja boleh beli domain tu.

Once kau bukak link tu, muncul login page Mebank4U yang nampak betul-betul legit. Kau pun masukkan username dan password.

Kau tak perasan pun Secure Word kau sebab dia tak tunjuk. Kau ingat Secure Word tu small matter je sebab yelah kau mana ambik tahu langsung benda camni.

Kau tekan login, terus dia pegi ke page suruh update nombor kad kredit. Kat page tu dia dah isi siap-siap dah data peribadi kau macam nama penuh, IC, alamat, NOMBOR AKAUN dan lelain.

Kau pun masukkan nombor kad kredit tanpa rasa bersalah dan kau tekan save sebab kau ingat real.

There you go. Kau baru je bagi kat scammer:

- username dan password internet banking
- maklumat kad debit/kredit

Dua benda ni bila korang isi kat situ, memang lingkup terus.

Jadi, kalau korang guna Internet Banking, korang kena ambik tahu pasal benda ni.

Aku tahu mungkin ramai yang tak baca guidelines yang setiap bank bagi. Di sini aku bagitahu kat korang benda kecik yang mungkin korang tak perasan.

Kalau bank SMS ada transaksi dari akaun korang, diorang takkan provide link. Dia suruh call number kat belakang kad.

Korang kena faham satu lagi, naming convention untuk domain name ni.

Contoh http://id.maybank.com , ia adalah legit subdomain dari http://maybank.com . Kalau http://id-maybank.com  ia bukan subdomain, ia adalah domain baru!

Aku bagitahu ni takut memang ada yang taktau lol https://twitter.com/omarqe/status/1101330373995163648

Korang tengok eh.

Kita nampak orang share nombor bank IN MASS tau. Kalau 1000 orang share tu, mesti antara 1000 tu ada segelintir yang tak tahu-menahu pasal benda ni dan boleh jadi mangsa scam yang seterusnya.

Good luck ya.

Baru perasan bebenang ni tergantung. Sambungan yang bawah-bawah dia tak post.

Untuk elak salah faham,

Sebenarnya memang semua orang boleh kena spear phishing ni walaupun dia tak share nombor akaun secara public.

This thread is to explain one of those possible risks that one could face when exposing *private information* such as that online.

Kongsi nombor akaun secara public ni adalah sangat-sangat tak digalakkan untuk dibuat kalau takde keperluan yang mendesak.

Lelagi bila korang tayang lifestyle yang mewah di media sosial.