Vimanamail kali ini akan membahas mengenai tautan phising dan fitur pelacakan melalui kasus phising terbaru dari platform pengiriman SendGrid.
SendGrid adalah platform pengiriman email berbasis cloud milik Twilio, yang membantu perusahaan menjalankan kampanye pemasaran email dalam skala besar dengan tingkat keterkiriman dan analisis yang tinggi.
Platform ini memiliki lebih dari 80,000 pelanggan termasuk merek populer seperti Uber, Spotify, AirBnB, dan Yelp karena kemudahannya dan fleksibilitasnya
Dengan segala kelebihannya dalam mengirim email dengan baik, hal ini menarik bagi penjahat siber untuk memanfaatkannya untuk operasi phising.
Dari eksploitasi yang dilakukan, diketahui penjahat siber menggunakan beberapa trik dan salah satunya adalah melalui tautan phising dan fitur pelacakan.
Target Kredensial Pengguna
Diketahui bahwa peretas telah menyusupi akun di platform email SendGrid dan menggunakannya untuk melancarkan serangan phising terhadap pelanggan SendGrid lainnya.
Serangan ini merupakan upaya untuk mengumpulkan kredensial layanan email dengan reputasi baik yang akan membantu pelaku melewati filter spam dalam serangan lainnya.
Dari hasil pengamatan, operasi ini menggunakan berbagai trik yang kompleks, seperti:
- Mengklaim akun korban telah ditangguhkan sementara praktik pengirimannya ditinjau
- Akun korban ditandai untuk dihapus karena kegagalan pembayaran baru-baru ini,
- Lalu penggunaan fitur SendGrid lainnya untuk menutupi tujuan sebenarnya dari tautan jahat apa pun.
Tautan Phising dan Fitur Pelacakan
Email phising yang menyamar sebagai notifikasi SendGrind dikirim melalui server SMTP SendGrind, namun alamat email di bidang Dari berasal dari domain lain
Pelaku menggunakan nama domain yang telah dikonfigurasi oleh pelanggan SendGrid yang disusupi agar dapat mengirim email melalui platform untuk operasi mereka sendiri.
Setidaknya sembilan domain milik perusahaan dari berbagai industri termasuk cloud hosting, energi, layanan kesehatan, pendidikan, properti, rekrutmen, dan penerbitan.
Karena domain tersebut telah dikonfigurasi untuk menggunakan SendGrid untuk pengiriman email, email phising melewati semua fitur keamanan anti spoofing seperti DKIM dan SPF karena domain tersebut telah menyiapkan kebijakan DNS yang benar.
Penggunaan akun SendGrid yang disusupi menjelaskan mengapa SendGrid menjadi sasaran operasi phising, Para penjahat dapat menggunakan akun yang disusupi untuk menyusupi akun SendGrid lebih lanjut dalam satu siklus, sehingga memberi mereka pasokan akun SendGrid baru yang stabil.
Selain alamat mencurigakan di kolom Dari, tidak ada hal lain yang membuat email jahat tersebut tampak tidak asli bagi penerimanya. Tautan di balik tombol yang disertakan dalam email ditutupi menggunakan fitur pelacakan klik SendGrid.
Ini berarti URL menunjuk ke skrip yang dihosting di Sendgrid.net, kemudian melakukan pengalihan ke halaman phising yang dibuat oleh penyerang.
Namun, URL halaman phising diteruskan ke skrip SendGrid sebagai parameter yang dikodekan sehingga tidak terlihat oleh pengguna sebagai teks yang jelas ketika mengarahkan kursor ke tombol.
Halaman Phising Tanpa Server
Halaman phising itu sendiri juga dihosting menggunakan JSPen, sebuah alat yang memungkinkan seluruh halaman web dibuat dengan cepat di dalam browser berdasarkan kode yang diteruskan sebagai fragmen URL setelah karakter #. Ini juga dikenal sebagai halaman web tanpa server.
Dalam hal ini, fragmen URL JSPen berisi elemen <source> yang memuat file JavaScript yang dihosting di Azure. Skrip ini berisi kode terenkripsi AES yang menghasilkan seluruh halaman yang meniru halaman login SendGrid. Saat kredensial dimasukkan, skrip menggunakan API SendGrid untuk menentukan apakah kombinasi nama pengguna dan kata sandi sudah benar.
Jika ya, ia kemudian meminta API SendGrid untuk mengirim kode autentikasi dua faktor ke ponsel pengguna dan menampilkan bidang autentikasi dua faktor bertema SendGrid di halaman tersebut. Saat kode dimasukkan, skrip kembali memeriksa apakah valid dan memunculkan kesalahan jika tidak.
Teknik memvalidasi kredensial dan kode 2FA dan mengembalikan kesalahan jika tidak berfungsi mempersulit pengguna untuk menguji apakah halaman tersebut palsu.
Selain itu, yang paling sederhana tentu saja mereka selalu dapat memeriksa URL-nya dan menyadari bahwa mereka tidak berada di domain SendGrid.
Halaman JSPen dan file JavaScript berbahaya yang dihosting di Azure tidak lagi tersedia saat ini sehingga para pengguna tidak perlu khawatir lagi.
namun peneliti menunjukkan bahwa pelaku dapat dengan mudah mengirim email phising atas nama pelanggan yang disusupi menggunakan domain sah mereka.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: