Microsoft: Serangan Phishing ke Pengguna Office 365 Kian Canggih

Cyberthreat.id – Serangan email phishing yang menargetkan pengguna dan admin Office 365 kini kian canggih dengan teknik pengelabuan alamat pengirim yang tampak asli.

Tim Intelijen Keamanan Microsoft akhir Juli lalu mengeluarkan peringatan tersebut di akun Twitter-nya. Menurut peneliti, penyerang mulai mengelabui pengguna dengan tiga taktik yaitu halaman palsu Office 365, meng-hosting di aplikasi web Google, dan situs web Microsoft SharePoint yang telah disusupi.

"Serangan phishing aktif mengombinasikan dari alamat email pengirim asli yang tampak sah, alamat pengirim tampilan palsu yang berisi nama pengguna dan domain target, dan nama tampilan yang meniru layanan sah untuk mencoba dan menyelinap melalui filter email," tutur Tim Intelijen Keamanan Microsoft dikutip dari ZDNet, diakses Selasa (3 Agustus 2021).

Alamat pengirim asli itu memiliki variasi kata “rujukan” dan menggunakan berbagai domain tingkat atas, seperti domain com[.]com yang memang terkenal dipakai untuk teknik spoofing dan typo-squatting.

Dalam temuannya, peneliti mendapati penyerang juga menggunakan Microsoft SharePoint dengan tampilan yang menarik untuk memikat calon korban mengkliknya. Email ini berpura-pura sebagai permintaan “berbagi file” (file share) untuk mengakses “Staff Reports”, “Bonuses”, “Pricebooks”, dan dokumen lain yang dihosting di program Excel.

Selain penyerang menaruh logo Microsoft di email tersebut, sehingga penerima email dibuat agar mudah percaya, URL phishing utama juga memanfaatkan sumber daya penyimpanan Google. URL ini diarahkan ke domain Google App Engine AppSpot, sebuah tempat untuk meng-hosting aplikasi berbasis web.

"Email tersebut berisi dua URL yang memiliki header HTTP yang salah. URL phishing utama adalah sumber daya penyimpanan Google yang mengarah ke domain AppSpot yang mengharuskan pengguna untuk masuk sebelum akhirnya menyajikan domain Google User Content lainnya dengan halaman phishing Office 365," tutur Microsoft.

URL kedua disematkan dalam pengaturan pemberitahuan yang menautkan korban ke situs SharePoint yang disusupi. Kedua URL memerlukan masuk (login) untuk membuka halaman terakhir; ini memungkinkan serangan yang melewati “kotak pasir” (sandbox).

“Serangan ini lebih licik dari biasanya,” Microsoft meneaskan.

"Operator juga diketahui menggunakan infrastruktur URL yang sah seperti Google, Microsoft, dan Digital Ocean untuk meng-hosting halaman phishing mereka," kata Microsoft.

Phishing adalah komponen kunci dari serangan kompromi email bisnis (BEC), yang merugikan pengguna internet AS lebih dari US$ 4,2 miliar pada tahun lalu, menurut FBI. Jumlah ini jauh lebih tinggi daripada serangan ransomware profil tinggi. BEC, yang bergantung pada akun email yang disusupi atau alamat email yang mirip dengan yang sah, sulit untuk difilter karena menyatu dalam komunikasi yang tampak normal.

Microsoft pun mendorong pengguna memakai fitur perlindungan “Safe Links” Defender untuk Office 365 dari phishing. Dengan begitu, pengguna akan diberitahu apakah link tersebut phishing atau bukan, karena fitur ini mencocokkan dengan daftar halaman phishing yang telah diketahui sebelumnya.

Microsoft juga telah menerbitkan detail temuan phishing di GitHub.[]