Investigasi serangan phising sangat diperlukan dalam kasus serangan yang melibatkan phising di dalamnya. Dengan mampu melacak keberadaannya, banyak hal yang dapat dipelajari dari sebuah serangan phising.
Sebagai vektor serangan yang paling sering digunakan, phising selalu meninggalkan jejak yang dapat dilacak, untuk melakukannya butuh tindakan yang tepat.
Investigasi Serangan Phising
Perusahaan membutuhkan pengetahuan praktis tentang mengidentifikasi penjahat dunia maya yang terlibat dalam phising yang menimpa perusahaannya.
Berikut adalah langkah-langkah untuk memandu penyelidikan Anda selanjutnya.
1. Menganalisis Data Awal, Mencari Artefak
Investigasi serangan phising dapat dimulai dengan menganalisis jenis serangan phising, garis waktu, metode distribusi, konten berbahaya, dan indikator utama (email, nama lampiran, tautan, domain, dll.).
Kemudian, periksa umpan yang mengelabui korban untuk membuka email atau situs web berbahaya. Umumnya, umpannya adalah email, kode berbahaya, atau situs web phising.
Cara Mencari Artefak
Investigasi Email
- Lampiran seperti dokumen pembayaran palsu
- Tautan phising, yang sering disamarkan sebagai URL yang sah
- Stempel waktu terkirim/diterima, yang membantu menyusun garis waktu insiden dan terkadang menentukan zona waktu pengirim
- Header email (Berasal dari, Jalur-Kembali, Balas-ke, Terima-Dari), yang memungkinkan Anda mengekstrak alamat email dan domain asli pelaku, bahkan dari detail email palsu
- Header tambahan (X-PHP-SCRIPT, X-ORIGINATING-SCRIPT), yang merupakan artefak langka namun sangat berharga yang memungkinkan penyelidik untuk menentukan skrip email tertentu, URL, dan terkadang alamat IP
Serangan phising dapat melibatkan kode berbahaya. Dalam penyelidikan, kita tidak terlalu fokus dengan cara kerja kode. Hal terpenting terletak di permukaan:
- Alamat IP dan domain yang digunakan untuk berkomunikasi dengan server command and control dan sumber daya eksternal, ini akan berguna saat menganalisis infrastruktur musuh
- Informasi kontak pengembang tertinggal dalam kode (mis., nama panggilan, alamat email, kontak messenger)
- Komentar teks, catatan, fungsi perangkat lunak tidak aktif, nama variabel dan fungsi, gaya pengkodean
Analisis Situs Web Phising
URL yang mengarah ke situs phising sering ditemukan di mailout yang ditargetkan. Analisis situs web phising meliputi:
- Menganalisis data pendaftaran WHOIS dan catatan DNS yang tersedia
- Memperhatikan fitur fungsional dan tumpukan teknologi situs web
- Meneliti kode halaman web
- Memeriksa formulir dan antarmuka otorisasi
- Melacak aktivitas jaringan saat aplikasi klien berinteraksi dengan server Web phising
2. Analisis Sumber Objek
Server yang menghosting konten phising patut mendapat perhatian dan analisis khusus. Seperti memindai port, mencari direktori terbuka, melakukan pencarian URL dan penemuan konten, memeriksa sertifikat SSL, dan mencari subdomain.
Tujuan utama menganalisis sumber objek adalah untuk menemukan petunjuk yang membantu mengaitkan operasi phising. Ini berkisar dari alamat IP eksternal dan domain baru hingga pengidentifikasi iklan, nama panggilan, nomor telepon, dan email.
Penjahat dunia maya tidak meninggalkan alamat atau nomor telepon asli mereka dalam kode situs phising atau mengirim email dari akun mereka sendiri (walaupun terkadang hal itu terjadi). Namun, setiap tindakan meninggalkan jejak, dan tugas analis adalah menemukan jejak sebanyak mungkin dan menghubungkan titik-titik tersebut.
Perkaya Pengetahuan Tentang Para Penyerang
Maksimalkan pengetahuan Anda tentang cakupan visibilitas mereka dengan mendeteksi operasi phising lainnya, insiden baru dan yang sebelumnya tidak diketahui, proyek pengujian, sumber daya yang tidak terkait peretasan, dan lingkaran sosial terdekat mereka.
Seringkali, bahkan peretas yang paling sukses pun memiliki pekerjaan biasa dan menjalani kehidupan normal. Mereka berusaha untuk tidak mencampuradukkan kegiatan hukum dan kriminal mereka. Di sinilah beberapa ketidakkonsistenan muncul yang membantu penyelidik merekonstruksi rangkaian peristiwa dan menghubungkan dua sisi kepribadian pelaku ancaman.
Penyerang adalah manusia dan cenderung melakukan kesalahan, terutama pada tahap awal karir kriminal mereka. Itulah mengapa “hadiah” seperti kesalahan konfigurasi server, informasi kontak pribadi yang salah ditentukan, dan nama panggilan dapat mengidentifikasi sisi hukum peretas.
Misalnya, seorang penjahat menggunakan kembali nama panggilan yang dia gunakan dalam aktivitas kejahatan dunia maya di forum medis, di mana dia meminta nasihat tentang gambar sinar-X yang mencantumkan nama lengkapnya.
3. Menghubungkan semua petunjuk
Pada titik ini, jika beruntung, Anda memiliki basis data petunjuk yang lengkap seperti domain, nama panggilan, akun di forum peretas, dan nomor telepon. Di sini, Open Source Intelligence (OSINT) berperan. Indikator mulai bergabung menjadi rantai panjang yang mengarah dari serangan phising asli ke orang atau grup tertentu.
Alat analisis grafik jaringan dan kecerdasan ancaman serta sistem atribusi, yang menyimpan informasi tentang infrastruktur pelaku (mis., IP, domain, server, dll.), dapat sangat membantu. Mereka terus-menerus memperbarui database aktor ancaman mereka. Meskipun Anda tidak pernah dapat sepenuhnya mengotomatiskan penyelidikan, Anda dapat menggunakan alat ini untuk membantu menentukan cakupannya.
4. Memvalidasi Koneksi: Aturan Tiga
Langkah selanjutnya adalah membangun dan menguji hipotesis untuk membuat rantai tautan dari aktivitas phising ke orang-orang tertentu.
Bahkan jika penyelidikan mengidentifikasi orang tertentu, teruslah mencari informasi independen tambahan yang membantu membuktikan keterlibatan mereka.
Setelah mengonfirmasi hipotesis Anda dengan setidaknya tiga fakta independen, Anda dapat mengatakan bahwa Anda berhasil mengidentifikasi penyerang.
5. Menangkap Para Penjahat (jika Bisa)
Bahkan pekerjaan analitis dan penelitian yang sangat baik pun bisa sia-sia. Bagaimana? Bayangkan sebuah kasus di mana pelaku yang tinggal di satu negara membahayakan perusahaan di negara lain dan menggunakan infrastruktur yang berlokasi di negara ketiga. Katakanlah Anda bahkan menentukan lokasi fisik mereka. Jika negara tidak memiliki perjanjian ekstradisi, tidak ada cara untuk menangkap pelakunya.
Baca lainnya:
- Layanan Phising Crypto Tipu Ribuan Korban
- Phising Layanan Microsoft 365
- Phising Masalah Siber Terbesar
- Qbot Menyebar Melalui Phising
- Phising QRIS
- Layanan Phising Telegram
Sumber berita: