Investigasi Serangan Phising

Investigasi serangan phising sangat diperlukan dalam kasus serangan yang melibatkan phising di dalamnya. Dengan mampu melacak keberadaannya, banyak hal yang dapat dipelajari dari sebuah serangan phising.

Sebagai vektor serangan yang paling sering digunakan, phising selalu meninggalkan jejak yang dapat dilacak, untuk melakukannya butuh tindakan yang tepat.

Perusahaan membutuhkan pengetahuan praktis tentang mengidentifikasi penjahat dunia maya yang terlibat dalam phising yang menimpa perusahaannya.

Berikut adalah langkah-langkah untuk memandu penyelidikan Anda selanjutnya.

1. Menganalisis Data Awal, Mencari Artefak

Investigasi serangan phising dapat dimulai dengan menganalisis jenis serangan phising, garis waktu, metode distribusi, konten berbahaya, dan indikator utama (email, nama lampiran, tautan, domain, dll.).

Kemudian, periksa umpan yang mengelabui korban untuk membuka email atau situs web berbahaya. Umumnya, umpannya adalah email, kode berbahaya, atau situs web phising.

Cara Mencari Artefak

Investigasi Email

Lampiran seperti dokumen pembayaran palsu
Tautan phising, yang sering disamarkan sebagai URL yang sah
Stempel waktu terkirim/diterima, yang membantu menyusun garis waktu insiden dan terkadang menentukan zona waktu pengirim
Header email (Berasal dari, Jalur-Kembali, Balas-ke, Terima-Dari), yang memungkinkan Anda mengekstrak alamat email dan domain asli pelaku, bahkan dari detail email palsu
Header tambahan (X-PHP-SCRIPT, X-ORIGINATING-SCRIPT), yang merupakan artefak langka namun sangat berharga yang memungkinkan penyelidik untuk menentukan skrip email tertentu, URL, dan terkadang alamat IP

Serangan phising dapat melibatkan kode berbahaya. Dalam penyelidikan, kita tidak terlalu fokus dengan cara kerja kode. Hal terpenting terletak di permukaan:

Alamat IP dan domain yang digunakan untuk berkomunikasi dengan server command and control dan sumber daya eksternal, ini akan berguna saat menganalisis infrastruktur musuh
Informasi kontak pengembang tertinggal dalam kode (mis., nama panggilan, alamat email, kontak messenger)
Komentar teks, catatan, fungsi perangkat lunak tidak aktif, nama variabel dan fungsi, gaya pengkodean

Analisis Situs Web Phising

URL yang mengarah ke situs phising sering ditemukan di mailout yang ditargetkan. Analisis situs web phising meliputi:

Menganalisis data pendaftaran WHOIS dan catatan DNS yang tersedia
Memperhatikan fitur fungsional dan tumpukan teknologi situs web
Meneliti kode halaman web
Memeriksa formulir dan antarmuka otorisasi
Melacak aktivitas jaringan saat aplikasi klien berinteraksi dengan server Web phising

2. Analisis Sumber Objek

Server yang menghosting konten phising patut mendapat perhatian dan analisis khusus. Seperti memindai port, mencari direktori terbuka, melakukan pencarian URL dan penemuan konten, memeriksa sertifikat SSL, dan mencari subdomain.

Tujuan utama menganalisis sumber objek adalah untuk menemukan petunjuk yang membantu mengaitkan operasi phising. Ini berkisar dari alamat IP eksternal dan domain baru hingga pengidentifikasi iklan, nama panggilan, nomor telepon, dan email.

Penjahat dunia maya tidak meninggalkan alamat atau nomor telepon asli mereka dalam kode situs phising atau mengirim email dari akun mereka sendiri (walaupun terkadang hal itu terjadi). Namun, setiap tindakan meninggalkan jejak, dan tugas analis adalah menemukan jejak sebanyak mungkin dan menghubungkan titik-titik tersebut.

Perkaya Pengetahuan Tentang Para Penyerang

Maksimalkan pengetahuan Anda tentang cakupan visibilitas mereka dengan mendeteksi operasi phising lainnya, insiden baru dan yang sebelumnya tidak diketahui, proyek pengujian, sumber daya yang tidak terkait peretasan, dan lingkaran sosial terdekat mereka.

Seringkali, bahkan peretas yang paling sukses pun memiliki pekerjaan biasa dan menjalani kehidupan normal. Mereka berusaha untuk tidak mencampuradukkan kegiatan hukum dan kriminal mereka. Di sinilah beberapa ketidakkonsistenan muncul yang membantu penyelidik merekonstruksi rangkaian peristiwa dan menghubungkan dua sisi kepribadian pelaku ancaman.

Penyerang adalah manusia dan cenderung melakukan kesalahan, terutama pada tahap awal karir kriminal mereka. Itulah mengapa “hadiah” seperti kesalahan konfigurasi server, informasi kontak pribadi yang salah ditentukan, dan nama panggilan dapat mengidentifikasi sisi hukum peretas.

Misalnya, seorang penjahat menggunakan kembali nama panggilan yang dia gunakan dalam aktivitas kejahatan dunia maya di forum medis, di mana dia meminta nasihat tentang gambar sinar-X yang mencantumkan nama lengkapnya.

3. Menghubungkan semua petunjuk

Pada titik ini, jika beruntung, Anda memiliki basis data petunjuk yang lengkap seperti domain, nama panggilan, akun di forum peretas, dan nomor telepon. Di sini, Open Source Intelligence (OSINT) berperan. Indikator mulai bergabung menjadi rantai panjang yang mengarah dari serangan phising asli ke orang atau grup tertentu.

Alat analisis grafik jaringan dan kecerdasan ancaman serta sistem atribusi, yang menyimpan informasi tentang infrastruktur pelaku (mis., IP, domain, server, dll.), dapat sangat membantu. Mereka terus-menerus memperbarui database aktor ancaman mereka. Meskipun Anda tidak pernah dapat sepenuhnya mengotomatiskan penyelidikan, Anda dapat menggunakan alat ini untuk membantu menentukan cakupannya.

4. Memvalidasi Koneksi: Aturan Tiga

Langkah selanjutnya adalah membangun dan menguji hipotesis untuk membuat rantai tautan dari aktivitas phising ke orang-orang tertentu.

Bahkan jika penyelidikan mengidentifikasi orang tertentu, teruslah mencari informasi independen tambahan yang membantu membuktikan keterlibatan mereka.

Setelah mengonfirmasi hipotesis Anda dengan setidaknya tiga fakta independen, Anda dapat mengatakan bahwa Anda berhasil mengidentifikasi penyerang.

5. Menangkap Para Penjahat (jika Bisa)

Bahkan pekerjaan analitis dan penelitian yang sangat baik pun bisa sia-sia. Bagaimana? Bayangkan sebuah kasus di mana pelaku yang tinggal di satu negara membahayakan perusahaan di negara lain dan menggunakan infrastruktur yang berlokasi di negara ketiga. Katakanlah Anda bahkan menentukan lokasi fisik mereka. Jika negara tidak memiliki perjanjian ekstradisi, tidak ada cara untuk menangkap pelakunya.

Baca lainnya:

Layanan Phising Crypto Tipu Ribuan Korban
Phising Layanan Microsoft 365
Phising Masalah Siber Terbesar
Qbot Menyebar Melalui Phising
Phising QRIS
Layanan Phising Telegram

Sumber berita:

Prosperita IT New

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.