Evolusi Serangan Phising

Evolusi Serangan Phising
ARTIKEL Email Security

Serangan phising telah berubah secara signifikan selama bertahun-tahun. 15-20 tahun yang lalu, situs phising sederhana sudah cukup untuk mendapatkan informasi rahasia saat itu, detail kartu kredit. Saat ini, evolusi serangan phising berkembang, dengan serangan dan metode pertahanan telah menjadi jauh lebih canggih, seperti yang akan kami uraikan di bawah ini.

Pada saat itu, teknik pertahanan utama terhadap situs phising kartu kredit melibatkan membanjiri mereka dengan sejumlah besar nomor, dengan harapan dapat membanjiri mereka sehingga mereka tidak dapat mengidentifikasi detail kartu kredit yang sebenarnya.

Namun, pelaku beradaptasi dengan memvalidasi data menggunakan metode seperti algoritma Luhn untuk memverifikasi kartu kredit asli, memeriksa informasi penerbit melalui Bank Identification Number (BIN), dan melakukan donasi mikro untuk menguji apakah kartu tersebut aktif.

Berikut ini contoh bagaimana penyerang memvalidasi nomor kartu kredit yang dimasukkan ke situs phising.

Teknik Anti Researcher

Seiring semakin canggihnya evolusi serangan phising, penyerang menambahkan teknik anti researcher untuk mencegah analis keamanan mempelajari dan menutup operasi mereka.

Strategi umum termasuk pemblokiran IP setelah akses satu kali untuk menciptakan kepura-puraan palsu bahwa situs phising ditutup, dan mendeteksi server proxy, karena peneliti sering menggunakan proxy saat menyelidiki.

Penyerang juga telah mengacak struktur folder di URL mereka selama beberapa dekade terakhir, menghalangi peneliti melacak situs phising berdasarkan nama direktori umum yang digunakan dalam kit phising.

Menghindari Antivirus

Cara lain untuk menghindari kontrol keamanan di masa lalu adalah dengan memodifikasi tanda tangan malware dengan layanan enkripsi.

Hal ini membuatnya tidak terdeteksi oleh sistem antivirus berbasis tanda tangan. Berikut ini adalah contoh layanan semacam itu yang dulunya sangat populer:

Menghindari Verifikasi Perangkat

Mari beralih ke teknik penghindaran modern lainnya. Pertama, serangan phising yang menargetkan korban dengan mengumpulkan informasi perangkat terperinci seperti versi Windows, alamat IP, dan perangkat lunak antivirus sehingga penyerang dapat meniru perangkat korban dengan lebih baik.

Data ini membantu mereka melewati pemeriksaan keamanan, seperti verifikasi ID perangkat, yang digunakan organisasi, seperti bank, untuk mengonfirmasi login yang sah. Dengan mereplikasi lingkungan perangkat korban misalnya, versi Windows, detail pemutar media, spesifikasi perangkat keras, penyerang dapat menghindari kecurigaan saat login dari lokasi atau perangkat yang berbeda.

Beberapa layanan web gelap bahkan menyediakan mesin virtual prakonfigurasi yang mencerminkan profil perangkat korban, menambahkan lapisan anonimitas ekstra bagi penyerang.

Dan memungkinkan akses yang lebih aman ke akun yang disusupi. Ini menunjukkan bagaimana ilmu data dan kustomisasi telah menjadi bagian integral dari operasi kriminal.

Menghindari Deteksi Anomali

Kasus lain adalah ketika peneliti menghadapi sekelompok orang yang menggunakan malware untuk mengeksploitasi sesi perbankan langsung, menunggu korban untuk masuk sebelum dengan cepat melakukan transaksi yang tidak sah.

Tantangannya adalah bahwa tindakan ini tampaknya berasal dari sesi autentikasi milik korban sendiri, sehingga menyulitkan pendeteksian.

Hal ini mengakibatkan permainan kucing-kucingan antara penyerang dan peneliti keamanan:

Awalnya, para peneliti menerapkan pemeriksaan kecepatan, menandai transaksi yang diselesaikan terlalu cepat sebagai kemungkinan penipuan.

Sebagai tanggapan, para penyerang memodifikasi kode mereka untuk mensimulasikan kecepatan mengetik manusia dengan menambahkan penundaan di antara penekanan tombol.

Ketika para peneliti menyesuaikannya dengan menambahkan pemeriksaan waktu acak, para penyerang membalasnya dengan penundaan variabel, yang semakin menyatu dengan perilaku yang sah.

Hal ini menggambarkan kompleksitas dalam mendeteksi penipuan perbankan otomatis yang canggih di tengah transaksi yang sah.

Serangan Phising Penghindaran

Sekarang mari kita beralih ke serangan yang lebih baru. Salah satu serangan paling menonjol yang dianalisis mencakup serangan phising pintar yang dirancang untuk meniru dukungan Microsoft.

Insiden tersebut dimulai dengan pesan kesalahan 403 yang mengarahkan pengguna ke halaman yang mengklaim sebagai “dukungan Microsoft”, lengkap dengan perintah untuk “mendapatkan bantuan dan dukungan yang tepat.”

Halaman tersebut menyajikan opsi untuk dukungan “Beranda” atau “Bisnis”, tetapi terlepas dari opsi mana yang dipilih, halaman tersebut mengarahkan pengguna ke halaman login Office 365 yang meyakinkan.

Halaman login palsu ini dibuat sebagai bagian dari skema social engineering untuk mengelabui pengguna agar memasukkan kredensial Microsoft mereka.

Serangan tersebut memanfaatkan pemicu psikologis, seperti meniru pesan kesalahan dan perintah dukungan, untuk membangun kredibilitas dan mengeksploitasi kepercayaan pengguna terhadap merek Microsoft.

Ini adalah upaya phising canggih, yang berfokus pada social engineering daripada hanya mengandalkan teknik penghindaran tingkat lanjut, cara efektif.

Rantai Pengalihan yang Menipu

Dalam analisis berikutnya, dalam menyelidiki serangan phising dengan teknik pengalihan rumit untuk menghindari deteksi. Prosesnya dimulai dengan tautan awal menipu.

Yang disamarkan sebagai mesin pencari populer di Tiongkok, yang dialihkan melalui beberapa URL menggunakan kode status HTTP seperti 402 dan 301, sebelum akhirnya mendarat di halaman phising yang dihosting di tautan web terdesentralisasi (IPFS).

Urutan pengalihan multi-langkah ini mempersulit pelacakan dan pencatatan, sehingga mempersulit peneliti keamanan siber untuk melacak asal sebenarnya dari halaman phising tersebut.

Peneliti juga menemukan beberapa teknik penghindaran dalam kode situs phising. Misalnya, halaman phising menyertakan JavaScript berkode Base64 yang memblokir interaksi keyboard.

Penananman kode pada halaman phising ini secara efektif menonaktifkan kemampuan peneliti untuk mengakses atau menganalisis kode secara langsung.

Taktik pengaburan tambahan mencakup breakpoint di alat pengembang, yang memaksa pengalihan ke beranda Microsoft yang sah untuk menghalangi pemeriksaan lebih lanjut.

Dengan menonaktifkan titik henti ini di alat pengembang Chrome, peneliti akhirnya melewati penghalang ini, yang memungkinkan akses penuh ke kode sumber situs phising.

Taktik ini menyoroti pertahanan berlapis yang canggih yang diterapkan penyerang untuk menggagalkan analisis dan menunda deteksi, memanfaatkan anti-sandboxing, pengaburan JavaScript, dan rantai pengalihan.

Deteksi Berbasis Sumber Daya Phising

Penyerang terus-menerus mengadaptasi teknik pertahanan mereka sendiri untuk menghindari deteksi. Peneliti mengandalkan elemen statis, seperti sumber daya gambar dan ikon, untuk mengidentifikasi halaman phising.

Misalnya, situs phising yang menargetkan Microsoft 365 sering kali meniru logo dan ikon resmi tanpa mengubah nama atau metadata, sehingga lebih mudah dikenali.

Awalnya, konsistensi ini memberi pembela metode deteksi yang andal. Namun, pelaku ancaman telah beradaptasi dengan mengacak hampir setiap elemen halaman phising mereka.

Untuk menghindari deteksi, penyerang akan:

  1. Mengacak Nama Sumber Daya – Nama file gambar dan ikon, yang sebelumnya statis, diacak secara besar-besaran pada setiap pemuatan halaman.
  2. Acak Judul Halaman dan URL – Judul, subdomain, dan jalur URL terus berubah, menciptakan string acak baru setiap kali halaman diakses, sehingga lebih sulit dilacak.
  3. Terapkan Tantangan Cloudflare – Mereka menggunakan tantangan ini untuk memverifikasi bahwa manusia (bukan pemindai otomatis) mengakses halaman, yang membuat deteksi otomatis oleh alat keamanan lebih sulit.

Meskipun menggunakan teknik ini, peneliti telah menemukan cara baru untuk melewati penghindaran ini, yang ujungnya menjadi permainan adaptasi terus menerus.

Kelas Master

Kelas master mengungkap lebih banyak serangan malware dan phising serta cara mereka menghindari tindakan tradisional, termasuk:

  1. Penyebar malware untuk distribusi muatan.
  2. File HTML dalam email phising untuk memulai pengunduhan malware multi-langkah yang melibatkan file zip yang dilindungi kata sandi.
  3. Penyelundupan file dan manipulasi magic byte.
  4. Penyelundupan SVG dan pengodean B64.
  5. Memanfaatkan aplikasi cloud tepercaya (misalnya, Trello, Google Drive) untuk perintah dan kontrol guna menghindari deteksi oleh sistem keamanan standar.
  6. Penyuntikan cepat dalam malware untuk menyesatkan alat analisis malware berbasis AI.
  7. Menggunakan kembali alat penghapus rootkit TDSS Killer untuk menonaktifkan layanan EDR, khususnya menargetkan Microsoft Defender.
  8. Bot Telegram sebagai sarana untuk menerima kredensial yang dicuri, yang memungkinkan penyerang untuk dengan cepat membuat zona penyimpanan baru sesuai kebutuhan.
  9. AI generatif yang digunakan oleh penyerang untuk menyederhanakan pembuatan dan distribusi serangan.
  10. Perburuan ancaman berbasis jaringan tanpa agen titik akhir.

Apa yang Akan Terjadi Selanjutnya

Bagaimana para peneliti dapat memperoleh keunggulan dalam permainan kucing-kucingan yang sedang berlangsung ini? Berikut adalah beberapa strategi:

  1. Pelatihan phising & Kesadaran Keamanan – Meskipun tidak sepenuhnya aman, pelatihan kesadaran meningkatkan kemungkinan mengenali dan mengurangi ancaman siber.
  2. Pemantauan Kredensial – Memanfaatkan alat yang menganalisis pola koneksi dapat secara preemptif memblokir aktivitas yang berpotensi berbahaya.
  3. Pembelajaran Mesin & Deteksi Ancaman – Alat canggih untuk mengidentifikasi ancaman canggih.
  4. Platform Perburuan Ancaman Terpadu – Pendekatan platform tunggal yang terkonvergensi (bukan solusi beberapa titik) untuk perburuan ancaman yang diperluas. Ini termasuk perburuan ancaman berbasis jaringan tanpa agen titik akhir dan menggunakan analisis lalu lintas jaringan untuk mendeteksi IoC.
  5. Pengurangan Permukaan Serangan – Secara proaktif mengurangi permukaan serangan dengan mengaudit firewall, menyetel konfigurasi, dan meninjau pengaturan keamanan secara berkala. Mengatasi kesalahan konfigurasi dan mengikuti saran vendor dapat membantu mengamankan pertahanan organisasi terhadap ancaman baru.
  6. Menghindari Platform Bloat – Beberapa titik kritis serangan di sepanjang rantai penghentian ancaman sangat penting, tetapi ini tidak berarti menambahkan banyak solusi titik. Platform yang terkonvergensi dengan satu antarmuka yang benar-benar dapat melihat semuanya: jaringan, data, melalui mesin lintasan tunggal yang berjalan melalui setiap paket dan memahami apakah paket tersebut berbahaya atau tidak.

Demikian pembahasan mengenai evolusi serangan phising, semoga informasi bisa memberi gambaran perkembangan evolusi phising saat ini sehingga dapat memberi manfaat.

Baca artikel lainnya:

Sumber berita:

Prosperita IT News