Awas, Undangan File Kalender Dijadikan Kendaraan Phising

Cyberthreat.id - Waktu terus berlalu sementara penjahat cyber tiada henti berupaya menemukan lebih banyak cara dan berinovasi untuk mengirimkan email phishing kepada pengguna akhir (end-user). Baru-baru ini, Cofense Phishing Defense Center (PDC) mempelajari modus penjahat cyber menggunakan undangan (menggunakan file) kalender untuk meningkatkan serangan phishing.

Peneliti Cofense mendeteksi serangan phishing di lingkungan email perusahaan yang dilindungi oleh Proofpoint dan Microsoft. Operasi phishing yang diteliti berlangsung dengan cara mengirimkan file kalender .ICS yang mengundang lampiran berisi tautan phishing dengan subjek "Deteksi Kesalahan dari Pusat Pesan" (Fault Detection from Message Center).

File ICS adalah file kalender yang disimpan dalam format kalender universal yang digunakan oleh beberapa program email dan kalender, termasuk Microsoft Outlook, Google Calendar, dan Apple Calendar. Ini memungkinkan pengguna untuk mempublikasikan dan berbagi informasi kalender di web dan melalui email. File ICS sering digunakan untuk mengirim permintaan pertemuan ke pengguna lain, yang dapat mengimpor acara ke kalender mereka sendiri.

File kalender disimpan dalam format teks biasa berisi informasi seperti judul, ringkasan, waktu mulai, dan waktu akhir untuk acara kalender. Format Kalender juga mendukung pembaruan dan pembatalan acara.

Kemudian, email yang digunakan adalah akun yang sudah diretas sebelumnya, seperti email milik distrik sekolah untuk memotong filter email yang mengandalkan teknologi DomainKeys Identified Mail (DKIM) dan Sender Policy Framework (SPF). DKIM dan SPF berfungsi mengotentikasi domain pengirim.

DKIM sendiri adalah metode otentikasi email yang dirancang untuk mendeteksi alamat pengirim yang dipalsukan dalam email, teknik yang sering digunakan dalam phishing dan spam email. DKIM memungkinkan penerima untuk memeriksa apakah email yang diklaim berasal dari domain tertentu memang diotorisasi oleh pemilik domain tersebut.

SPF adalah metode otentikasi email yang dirancang untuk mendeteksi penempaan (penguatan) alamat pengirim selama pengiriman email berlangsung. SPF saja, masih terbatas hanya untuk mendeteksi pengirim palsu yang diklaim dalam amplop email yang digunakan ketika surat dipantulkan (bounce).

Undangan palsu ini mengajukan entri kalender yang menampilkan URL, yang dihosting di situs SharePoint Microsoft. Situs itu juga menampilkan tautan lain ke situs phishing yang dihosting oleh Google yang menunjukkan halaman login Wells Fargo palsu.

Operasi ini menipu pengguna untuk mengirimkan rincian login, PIN, dan nomor akun. Termasuk mengirimkan kredensial email. Tak sampai di situ, dengan cerdiknya tautan ini kemudian mengarahkan korban ke situs web Wells Fargo yang sah guna menghilangkan kecurigaan.

Contoh kasus

Scammers mengambil keuntungan dan memanfaatkan pengaturan kalender default yang tidak berbahaya untuk mencoba menipu pengguna agar mengklik tautan jahat.

Bulan lalu seorang penyerang menyamar sebagai anggota Tim Keamanan Wells Fargo dan mengirimkan serangan phishing yang termuat dalam undangan aplikasi kalender, menargetkan lingkungan yang dilindungi oleh FireEye.

Oktober tahun lalu, dalam kasus Penipuan Kalender Google, scammers mengirimkan undangan kalender palsu ke alamat email korban dan menipu mereka untuk membuka lampiran yang sarat dengan malware atau mengklik tautan jahat.

Untuk mengantisipasi serangan ini, pengguna tidak boleh mengklik tautan yang mencurigakan atau lampiran yang ada di dalam email, apalagi tidak ada permintaan sebelumnya. Pengguna juga harus mengubah pengaturan kalender agar undangan - misalnya undangan rapat - tidak muncul secara otomatis.[]