Ancaman phising layanan Microsoft 365 yang diketahui baru-baru ini tidaklah main-main, dengan potensi yang bisa sangat merepotkan bagi banyak perusahaan di dunia.
Platform phising-as-a-service (PhaaS atau PaaS) baru bernama Greatness telah dimanfaatkan oleh penjahat dunia maya untuk menargetkan pengguna bisnis layanan cloud Microsoft 365 setidaknya sejak pertengahan 2022, yang secara efektif menurunkan standar masuknya serangan phising.
Untuk saat ini, hanya terfokus pada halaman phising Microsoft 365, menyediakan afiliasinya dengan pembuat lampiran dan tautan yang menciptakan halaman umpan dan masuk yang sangat meyakinkan.
Target Greatness
PhaaS ini berisi fitur-fitur seperti mengisi alamat email korban dan menampilkan logo perusahaan yang sesuai dan gambar latar belakang, diambil dari halaman login Microsoft 365 asli perusahaan yang menjadi target.
Operasi Greatness sebagian besar mengarah bidang manufaktur, perawatan kesehatan, dan teknologi yang berlokasi di AS, Inggris Raya, Australia, Afrika Selatan, dan Kanada.
Dengan lonjakan aktivitas yang terdeteksi pada Desember 2022 dan Maret 2023, menempatkan ancaman phising layanan Microsoft 365 patut untuk diperhitungkan.
Namun ancaman phising layanan microsoft 365 ini diprediksi akan terus memperluas cakupan serangannya di masa depan.
Yang artinya PhaaS Greatness bisa menjadi ancaman global yang perlu menjadi perhatian banyak pihak, tidak hanya pemerintah tapi juga bisnis.
Amunisi Serangan
Phising layanan microsoft 365 Greatness menawarkan pelaku, pemula, atau lainnya, toko serba ada yang hemat biaya dan dapat diskalakan.
Sehingga memungkinkan untuk merancang halaman login yang meyakinkan terkait dengan berbagai layanan online dan melewati perlindungan autentikasi dua faktor (2FA).
Secara khusus, halaman umpan yang tampak asli berfungsi sebagai proxy terbalik untuk mengumpulkan kredensial dan kata sandi satu kali (OTP) berbasis waktu yang dimasukkan oleh para korban.
Rantai serangan dimulai dengan email jahat yang berisi lampiran HTML, yang, setelah dibuka, mengeksekusi kode JavaScript yang disamarkan yang mengarahkan pengguna ke halaman arahan dengan alamat email penerima yang sudah diisi sebelumnya dan meminta kata sandi dan kode MFA mereka.
Kredensial dan token yang dimasukkan selanjutnya diteruskan ke saluran Telegram afiliasi untuk mendapatkan akses tidak sah ke akun yang bersangkutan.
Phising Kit
Phising kit AiTM dilengkapi dengan panel administrasi yang memungkinkan afiliasi untuk mengonfigurasi bot Telegram, melacak informasi yang dicuri, dan bahkan membuat lampiran atau tautan jebakan.
Terlebih lagi, setiap afiliasi diharapkan memiliki kunci API yang valid agar dapat memuat halaman phising. Kunci API juga mencegah alamat IP yang tidak diinginkan untuk melihat halaman phising dan memfasilitasi komunikasi di balik layar dengan halaman login Microsoft 365 yang sebenarnya dengan menyamar sebagai korban.
Phising kit dan API melakukan serangan man-in-the-middle, meminta informasi dari korban bahwa API kemudian akan mengirimkan ke halaman login yang sah secara real time.
Ini memungkinkan afiliasi PaaS mencuri nama pengguna dan kata sandi, bersama dengan cookie sesi yang diautentikasi jika korban menggunakan MFA.
Temuan ini muncul ketika Microsoft telah mulai menerapkan pencocokan nomor dalam pemberitahuan push Microsoft Authenticator mulai 8 Mei 2023, untuk meningkatkan perlindungan 2FA dan menangkis serangan bom yang cepat.
Baca lainnya:
- Phising Masalah Siber Terbesar
- Qbot Menyebar Melalui Phising
- Phising QRIS
- Layanan Phising Telegram
- Phising ChatGPT
- Phising Merek Terkenal
Sumber berita: