Operasi phising berskala besar yang disebut sebagai operasi PoisonSeed membahayakan akun pemasaran email perusahaan untuk mendistribusikan email yang berisi frasa awal kripto yang digunakan untuk menguras dompet mata uang kripto.
Menurut peneliti keamanan, operasi tersebut menargetkan Coinbase dan Ledger menggunakan akun yang disusupi di beberapa mail server seperti:
- Mailchimp.
- SendGrid.
- HubSpot.
- Mailgun.
- Zoho.
Para peneliti menghubungkan operasi tersebut dengan insiden terkini, seperti kasus akun Mailchimp yang terjadi pada pertengahan Maret 2025, di mana akun yang sah digunakan untuk mengirimkan email phising frasa awal Coinbase.
Meskipun operasi PoisonSeed memiliki kesamaan dengan operasi oleh pelaku CryptoChameleon dan Scattered Spider, peneliti mengkategorikannya secara terpisah karena perbedaan kode dan faktor pembeda lainnya.
Rantai Serangan PoisonSeed
Langkah pertama dalam serangan tersebut adalah mengidentifikasi target bernilai tinggi dengan akses ke CRM dan platform email massal.
Hal ini dapat dilakukan dengan memeriksa email apa yang digunakan perusahaan untuk buletin atau pemasaran mereka dan menemukan karyawan di posisi terkait.
Kemudian, mereka menargetkan mereka dengan email phising yang dibuat secara profesional yang dikirim dari alamat palsu, membawa mereka ke halaman login palsu yang dihosting di domain yang diberi nama dengan hati-hati agar tampak sah.
Misalnya, dalam email yang menargetkan pelanggan MailChimp, pelaku ancaman menggunakan domain:
- mail-chimpservices[.]com.
- mailchimp-sso[.]com.
- mailchimp-ssologin[.]com.
Setelah kredensial mereka dicuri, penyerang mengekspor milis dan membuat kunci API baru untuk mempertahankan akses ke akun yang dibajak bahkan jika korban dengan cepat mengubah kata sandi mereka.
Spam Phising
Penyerang kemudian menggunakan akun yang disusupi untuk mengirim spam phising bertema kripto ke milis yang diekstraksi dengan peringatan yang mendorong tindakan penerima, seperti ‘Coinbase sedang bertransisi ke dompet dengan penyimpanan mandiri.’
Email phising tersebut menyertakan frasa awal dompet Coinbase, yang memberi tahu pengguna untuk memasukkannya ke dompet kripto baru sebagai bagian dari peningkatan atau migrasi.
Jika korban mengikuti instruksi ini dan mentransfer aset mereka ke dalamnya, mereka pada dasarnya “meracuni” dompet mereka, yang memungkinkan pelaku ancaman untuk mengakses dan mengurasnya.
Hal ini karena saat membuat dompet baru, korban tidak menggunakan frasa awal yang berasal dari Coinbase seperti yang mereka yakini.
Tetapi menggunakannya untuk dompet yang sudah berada di bawah kendali pelaku, sehingga dengan sendirinya memudahkan pelaku mengambilalih.
Mentransfer kripto mereka ke dompet tersebut pada dasarnya sama saja dengan menyerahkan semua aset digital mereka kepada pelaku.
Penanganan Terbaik
Cara terbaik untuk menangani permintaan mendesak yang masuk melalui email adalah dengan mengabaikannya.
Dan secara mandiri masuk ke platform yang diklaim dan memeriksa apakah ada peringatan yang tertunda untuk akun Anda.
Pengguna dompet mata uang kripto tidak boleh menggunakan frasa awal yang disediakan oleh orang lain, karena platform yang sah tidak akan pernah mengirim frasa awal yang dibuat sebelumnya.
Pengguna harus selalu membuat frasa awal mereka sendiri saat membuat dompet baru dan tidak pernah membagikannya dengan orang lain.
Baca lainnya:
- Mengurangi Ancaman Keamanan Email
- Phising Email
- Fitur Phising
- Psikologi dan Phising
- Remote Access Phising
- Dominasi Business Email Compromise
- Investigasi Serangan Phising
- Layanan Phising Crypto Tipu Ribuan Korban
- Phising Layanan Microsoft 365
- Phising Masalah Siber Terbesar
Sumber berita: