Phising Tidak Sesederhana Itu

Pikirkan tentang pelatihan kewaspadaan keamanan terbaru Anda terkait serangan phising. Pelatihan tersebut kemungkinan mencakup panduan tentang menghindari mengklik tautan mencurigakan dan latihan untuk mengidentifikasi perbedaan karakter yang tidak kentara, seperti membedakan antara huruf “O” dan angka nol, tapi phising tidak sesederhana itu lagi.

Sayangnya, masa ketika pengguna teknologi yang paling pemula sekalipun dapat dengan mudah mengenali email phising telah berakhir.

Dalam beberapa tahun terakhir, penyerang telah menjadi lebih canggih dan kreatif. Kesalahan ketik dan masalah tata bahasa tidak lagi menjadi perhatian bagi pelaku ancaman yang tidak berbahasa Inggris, karena evolusi AI yang cepat telah berkontribusi secara signifikan terhadap kualitas serangan ini.

Baru-baru ini, para peneliti keamanan menyelidiki operasi phising yang cerdik di mana email berbahaya memungkinkan pelaku ancaman mengakses perusahaan.

Bahasan berikut ini akan mengungkap taktik yang digunakan pelaku serangan untuk menghindari deteksi dan membagikan trik menghadapinya yang ditemukan selama penelitian.

Phising Tidak Sesederhana Itu

Seorang nasabah asuransi yang berbasis di Inggris menghadapi serangan phising yang unik. Dimulai ketika aturan penghapusan yang dibuat dari alamat IP AS ditemukan di mailbox seorang manajer eksekutif. Aturan ini, bernama “a,” menghapus email yang berisi kata kunci tertentu di alamat email tersebut secara permanen.

Setelah pelanggan diberitahu tentang serangan tersebut, peneliti mengidentifikasi email phising berjudul “ML Payment #05323” dan pengirimnya. Peneliti memetakan semua penerima email, mereka yang menanggapi, mereka yang melaporkannya, dan komunikasi lainnya dengan domain pelaku ancaman. Lembar kerja yang komprehensif ini sangat penting untuk penanggulangan insiden.

Awalnya, satu-satunya indikator kompromi kami adalah alamat email penerima dan IP sumber dari peristiwa pembuatan aturan penghapusan, yang ternyata merupakan IP Microsoft umum dan, oleh karena itu, tidak terlalu berguna dalam kasus tersebut.

Namun, penyelidikan tersebut berubah menjadi menarik ketika kami menemukan bahwa email phising tersebut tampaknya berasal dari pengirim tepercaya: CEO perusahaan pelayaran internasional besar, yang sebelumnya telah berkomunikasi dengan karyawan pelanggan kami. Pelaku ancaman mungkin telah membahayakan akun email CEO, menggunakannya untuk merusak lebih banyak perusahaan.

Kata kunci spesifik dalam aturan penghapusan adalah bagian dari domain pengirim. Aturan ini dirancang untuk menghapus semua email ke atau dari domain ini, tanpa meninggalkan jejak. Langkah selanjutnya adalah menganalisis file EML asli untuk memahami metodologi phising.

Email Phising

Email phising asli dikirim ke 26 penerima di perusahaan tersebut. Alih-alih melampirkan file PDF, email tersebut menyertakan tautan ke PDF yang dihosting di server AWS.

Lampiran Phising

PDF tersebut tampaknya merupakan pesan OneDrive resmi, yang menunjukkan bahwa pengirim telah membagikan file. Meskipun seorang profesional keamanan siber mungkin mengidentifikasi email tersebut sebagai upaya phising, pesan berkualitas tinggi tersebut dapat dengan mudah menipu pengguna rata-rata.

Tautan Berbahaya

Yang menarik, tautan PDF tersebut berisi frasa “atoantibot.” ATO adalah singkatan dari pengambilalihan akun. Sekilas, tautan tersebut tampaknya melindungi dari serangan ATO, tetapi upaya phising tersebut pada akhirnya justru sebaliknya.

Untuk mengembangkan sebagian serangan, pelaku ancaman menggunakan platform publik Render, platform cloud terpadu yang memungkinkan pengembang untuk membangun, menyebarkan, dan menskalakan aplikasi dan situs web dengan mudah.

Dengan memanfaatkan platform yang sah, penyerang memastikan aktivitas jahat mereka menyatu dengan mulus, sehingga menyulitkan sistem keamanan email untuk mendeteksi ancaman tersebut.

Setelah mengklik untuk “melihat dokumen yang dibagikan”, pengguna dialihkan ke “login.siffinance[.]com”, halaman autentikasi Microsoft palsu. Pada titik ini, ketika korban memasukkan kredensialnya, penyerang mencapai tujuannya. Pengguna kemudian dialihkan ke situs resmi Microsoft Office, sehingga insiden tersebut tampak seperti gangguan.

Halaman Phising

Kembali ke “humor peretas” yang disebutkan di atas, penyerang telah menonaktifkan (atau menon-aktifkan) domain jahat, tetapi jika Anda mencoba mengaksesnya hari ini, domain tersebut dialihkan ke lelucon internet populer yang dikenal sebagai Rickrolling.

Setelah memasukkan kredensial pada halaman phising, korban secara tidak terduga menanggapi email penyerang. Namun, karena pelanggan tidak dapat mengambil email yang dikirim, isi pesan tersebut menjadi misteri. Dua menit kemudian, login berhasil dari alamat IP AS (138.199.52[.]3) terdeteksi, meskipun korban berada di Inggris. “Perjalanan yang mustahil” ini mengonfirmasi akses penyerang.

Untungnya, tim keamanan pelanggan kami bertindak cepat, menonaktifkan akun, mengakhiri sesi, dan mengatur ulang kredensial pengguna dalam waktu 30 menit. Satu-satunya tindakan yang berhasil dilakukan penyerang adalah membuat aturan penghapusan.

Alur Kerja Serangan

Investigasi mengungkap bahwa insiden ini merupakan bagian dari operasi phising yang lebih luas yang menargetkan beberapa perusahaan. Penyerang menggunakan beberapa taktik canggih yang membuat deteksi dan investigasi menjadi sulit:

Menutupi jejak: Setelah memperoleh akses ke lingkungan M365 korban, tindakan pertama adalah membuat aturan penghapusan.

Menggunakan alamat pengirim tepercaya: Penyerang menggunakan alamat email yang familier, sehingga mengurangi kecurigaan di antara karyawan.

Memanfaatkan platform yang sah: AWS menghosting PDF berbahaya, dan Render digunakan untuk membangun sebagian situs web penyerang. Platform ini membantu penyerang menghindari perangkat lunak keamanan email.

Metode Russian nesting doll: Mirip dengan nesting doll, penyerang menyematkan beberapa tautan di dalam satu sama lain, sehingga menciptakan rantai kompleks yang mengaburkan situs phising terakhir.

Setiap tautan mengarah ke halaman lain yang tampak sah, menggunakan platform yang kredibel untuk melewati filter keamanan email. Hal ini membuat email phising tampak tidak berbahaya dan sulit dideteksi. Pada saat pengguna mencapai halaman autentikasi palsu, mereka sudah lelah menjelajahi banyak situs, sehingga mereka kurang waspada dan lebih mungkin tertipu.

Kesadaran Keamanan Pengguna

Seperti yang sering terjadi dalam keamanan siber, proses ini dimulai dan diakhiri dengan kesadaran keamanan pengguna. Meskipun mungkin sulit bagi pengguna rata-rata untuk mengenali email phising yang canggih, ada beberapa praktik terbaik yang dapat Anda ajarkan kepada pengguna untuk membantu mereka terhindar dari jebakan ini:

• Kebiasaan email: Dorong pengguna untuk membuka pesan atau file bersama langsung dari platform yang relevan alih-alih mengeklik tautan email.
• Verifikasi tautan: Arahkan kursor ke tautan email untuk memeriksa URL. Pastikan URL tersebut cocok secara logis dengan konten email.
• Keamanan kredensial: Verifikasi URL halaman autentikasi sebelum memasukkan kredensial.
• Pengenalan phising: Ajarkan pengguna tentang cara mengidentifikasi email phising dan memahami risiko terkait.

Langkah-langkah Teknis

Berikut ini adalah beberapa langkah teknis yang akan membantu Anda melindungi diri dari serangan phising dan pengambilalihan akun:

• Kebijakan kata sandi: Terapkan kata sandi yang rumit dan wajibkan perubahan setiap 90 hari.
• Autentikasi multifaktor (MFA): Terapkan MFA untuk semua pengguna.
• Keamanan email: Terapkan solusi keamanan email yang tangguh.
• Mekanisme pelaporan: Sediakan cara mudah bagi pengguna untuk melaporkan email yang mencurigakan.
• Peringatan email eksternal: Tambahkan peringatan default untuk email yang diterima dari sumber eksternal.

Kita sudahi penjelasan mengenai phising tidak sesederhana itu, semoga informasi yang dipaparkan mengenai perkembangan phising di dunia ini dapat memberi manfaat. Terima kasih.

Baca lainnya:

• Memahami Keamanan Siber
• Serangan Phising Kredensial
• Hacker Buru Pengguna Zimbra
• Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
• Lawas Salah Satu Dasar Kerentanan
• Subyek Umum dalam Phising
• Remote Access Phising
• Ajang Pengelabuan Saat Berlibur
• Pengelabuan Eksploitasi TLD

Sumber berita:

Prosperita IT News