Microsoft Ungkap Bisnis Jebakan Phishing Skala Besar

Ilustrasi Microsoft OneDrive

Cyberthreat.id - Micosoft pada hari Selasa (21 September 2021) mengungkap temuannya tentang bisnis phishing skala besar (phishing-as-a-service) yang menjual halaman login palsu untuk layanan cloud seperti OneDrive yang membantu penjahat siber tanpa keahlian teknis mencuri kata sandi dan nama pengguna organisasi bisnis.

Dilansir ZDnet, penawaran alat jebakan phishing bukanlah hal baru, tetapi bisnis ini menarik perhatian tim keamanan Microsoft karena menggunakan lebih dari 300 ribu subdomain.

Bisnis phishing itu, yang diidentifikasi sebagai  BulletProofLink dan beberapa nama lainnya, menyediakan template email dan situs web palsu seperti yang dilakukan kit phishing. Selain itu, layanan ini menawarkan pengiriman email, layanan hosting, pencurian kredensial. Penyedia layanan juga mengklaim menyediakan tautan dan log 'sepenuhnya tidak terdeteksi' (FUD) dan tersedia untuk dibeli dengan berlangganan mingguan, dua mingguan, bulanan, atau tahunan.

Seperti dijelaskan Microsoft, penyedia layanan phishing adalah salah satu tautan dalam rantai yang dapat membantu geng ransomware membongkar file-encrypting ransomware pain pada target, terutama dengan memberikan kata sandi kepada penyerang yang dapat mencobanya di jaringan yang disusupi.

Jika pembeli ransomware beruntung, kredensial dapat menyertakan kata sandi untuk akun admin bernilai tinggi, memungkinkan pergerakan yang lebih besar dalam jaringan yang disusupi.

"Penyedia layanan phishing ini meng-hosting tautan dan halaman dan penyerang yang membayar untuk layanan ini nantinya hanya menerima kredensial yang dicuri.

Tidak seperti dalam operasi ransomware tertentu, penyerang tidak mendapatkan akses ke perangkat secara langsung dan sebaliknya hanya menerima kredensial curian yang belum diuji," tulis Tim Microsoft Defender for Office 365 dalam posting blog.

Microsoft prihatin dengan bisnis seperti ini karena mereka menawarkan lusinan template untuk halaman login layanan web populer dan memungkinkan siapa pun mencuri kredensial atau pemerasan. Saat ini halaman "login scam" tersedia untuk Microsoft OneDrive, LinkedIn, Adobe, Alibaba, American Express, AOL, AT&T, Dropbox, dan Google Docs.

Model bisnis phishing ini juga mengkhawatirkan terjadinya "pencurian ganda", di mana penyedia layanan phishing menangkap kredensial atas nama satu pelanggan dan kemudian menjual kredensial ke pelanggan lain.

BulletProofLink memasarkan dirinya secara terbuka di web dan di forum bawah tanah. Nama lainnya:  Anthrax. Cara penggunaan alat phishingnya bahkan tersedia di YouTube dan Vimeo untuk membantu pelanggan menggunakan alat penipuannya.

Microsoft menerbitkan penelitiannya tentang operasi ini untuk membantu pelanggan menyempurnakan aturan penyaringan email dan mengadopsi teknologi keamanan yang ditawarkannya. Meskipun kit phishing dijual satu kali dalam file ZIP dengan template phishing untuk menyiapkan halaman login atau email palsu, layanan phishing-as-a-service ini  mencakup seluruh paket.


Alur kerja kit phishing BulletProofLink | Microsoft

Microsoft juga menemukan dalam operasinya, BulletProofLink menggunakan 300.000 subdomain yang disebut Microsoft sebagai "penyalahgunaan subdomain tak terbatas", di mana penyerang telah mengkompromikan server sistem nama domain (DNS) situs web atau ketika situs yang disusupi dikonfigurasi dengan DNS yang memungkinkan subdomain wildcard.

Subdomain ini "memungkinkan penyerang menggunakan URL unik untuk setiap penerima sementara hanya harus membeli atau kompromi satu domain selama berminggu-minggu", kata Microsoft.

Mereka berguna sebelum penyerang dapat dengan mudah mengkompromikan DNS situs dan tidak repot meretas situs itu sendiri. Ini juga memungkinkan bisnis phishing untuk membuat banyak URL unik yang sulit dideteksi.

Model penyedia layanan ransomware juga memengaruhi cara bisnis phishing beroperasi. Salah satu teknik ransomware yang terkenal adalah mencuri data sebelum mengenkripsinya dan kemudian menjual data itu atau menggunakannya untuk menaikkan daya tawar selama proses negosiasi pembayaran.

"Kami telah mengamati alur kerja yang sama dalam ekonomi kredensial yang dicuri dalam phishing-as-a-service," kata Microsoft.

"Dengan kit phishing, operator mudah menyertakan lokasi sekunder untuk kredensial yang akan dikirim dan berharap pembeli kit phishing tidak mengubah kode untuk menghapusnya. Ini berlaku untuk kit phishing BulletProofLink, dan di kasus di mana penyerang yang menggunakan layanan menerima kredensial dan log pada akhir minggu alih-alih melakukan upaya peretasan sendiri, operator  mempertahankan kendali atas semua kredensial yang mereka jual kembali," tambah Microsoft.[]