Ridwan Sachroni
SG 3
4. Ekstrak file
7. cek email dari dojoku88@gmail.com, karena email tersebut dikirim lebih awal
8. Berdasarkan properties email tersebut, pengirim adalah Gigih Supriyatno, tetapi email yang
digunakan bukan yang berdomain @bssn.go.id
10. Berdasarkan hasil analisis header, ada kemungkinan merupakan email spam
11. Namun ketika dilihat detailnya, alasan di kategorikan spam nya tidak jelas. Sehingga ada
kemungkinan email itu bukan spam dan filter yang lain pun tidak mendeteksinya sebagai spam
12. Email ini patut dicurigai karena gigih supriyatno mengirimkan email ke phorensic18 bukan
menggunakan email berdomain bssn dan juga dia meminta akses ke drive dengan mengirimkan link
berikut ke email: https://docs.google.com/document/d/1HJJ-
U034bAbkIRkhBcm5tLYAS7tlSTNYE1it9Mn9Pdg/edit?usp=sharing_erl&userstoinvite=dojoku88@gmail.c
om&ts=5ad0587b
13. Buka email dari riquelme@villareal.cf di outlook, kemudian download attachment nya
8. Cek file signature dan isinya, kemudian bandingkan file signature nya dengan file signature database
13. ditemukan hal yang menarik karena ternyata imagenya mempunyai signature file pdf
13. dan ternyata file dengan nama yang sama juga ditemukan di email riquelme@villareal.cf
14. sayangnya kedua file tersebut tidak dapat dibuka dengan pdf viewer
15. analisa email selanjutnya
18. setelah ditelusuri email diatas dikirimkan oleh gigih supriyatno melalui server bssn dengan ip
118.97.58.5
19. Selanjutnya image yang tadi telah disave dianalisa
20. karena file image tidak dapat dibuka, selanjutnya image di buka dengan hex editor
21. sama seperti file sebelumnya image ini pun memiliki signature pdf, sedangkan image png memiliki
signature seperti ini
22. sama seperti file sebelumnya, file tidak dapat dibuka oleh pdf viewer dan tidak dapat di konversi
Kesimpulan:
- Berdasarkan data diatas ada kemungkinan email dari riquelme@villareal.cf yang masuk
merupakan phising dengan trojan horse.
- Berdasarkan data diatas, email phishing masuk dari email Riquelme@villareal.cf pada tanggal
26 November 2018 pukul 7:50:46 AM dan user mengakses nya
- Selanjutnya google memberi peringatan ke phorensic18 bahwa akses ke aplikasi yang tidak
aman telah diaktifkan pada pukul 9:18:20 AM pada tanggal 26 November 2018
- Dikarenakan target belum dapat diserang maka attacker kemungkinan mencoba cara lain
- Karena kemungkinan user mengakses gmail dari jaringan internal kantor, kemungkinan lain yang
timbul adalah email internal user diambil alih menggunakan trojan seperti yang tercatat pada
pukul 9:47:39 AM tanggal 26 November 2018 dan mengirimkan email ke
phorensic18@gmail.com. Karena domain emailnya lebih menyakinkan, kemungkinan target
untuk meng klik attachment pun lebih besar.
- Seoerti dalam screenshot diatas, klien menggunakan email klien thunderbird yang berjalan
diatas MAC OS X. Mac OS tersebut mempunyai fitur untuk memfilter email dengan api
com.apple.quarantine.0081. Tanggal ketika file dikarantina adalah 29 November 2018, tiga hari
setelah kejadian.