Tiga Teknik Phishing Tercerdik 2019 yang Dideteksi Microsoft
Cyberthreat.id – Awal Desember lalu, Microsoft merilis laporan tren malware dan cybersecurity 2019. Salah satu tren yang disorot adalah serangan email phishing yang meningkat aktivitasnya selama dua tahun terakhir.
Microsoft mengatakan, phishing tumbuh dari bawah 0,2 persen pada Januari 2018 menjadi sekitar 0,6 persen pada Oktober 2019. Angka 0,6 persen tersebut mewakili persentase email phishing yang terdeteksi dari total volume email yang dianalisis perusahaan.
Dalam unggahan di blog-nya, Microsoft mengulas tiga serangan phishing yang terbilang cerdik pada tahun ini.
“Kami menemukan serangan ini saat mempelajari sinyal Office 365 Advanced Threat Protection (ATP), yang kami gunakan untuk melacak dan memahami aktivitas penyerang dan membangun pertahanan yang tahan lama terhadap ancaman email yang semakin canggih,” tulis Microsoft, Rabu (11 Desember 2019).
Pertama, operasi malware berlapis, di mana geng peretas (hacker) “meracuni” hasil pencarian Google. Skemanya sebagai berikut:
- Penjahat siber mengarahkan lalu lintas web yang dibajak dari situs yang sah ke situs web yang mereka kuasai.
- Domain tadi menjadi hasil pencarian Google teratas untuk istilah yang sangat spesifik.
- Phisher (pelaku) mengirim email kepada para korban yang menghubungkan hasil pencarian Google untuk istilah tertentu.
- Jika korban mengklik tautan Google, dan kemudian hasil teratas, mereka akan mendarat di situs web yang dikendalikan penyerang.
- Situs web ini kemudian akan mengarahkan pengguna ke halaman phishing.
“Orang mungkin berpikir bahwa mengubah hasil pencarian Google membutuhkan banyak upaya, tetapi ini sebenarnya cukup mudah,” tulis ZDNet, Rabu (11 Desember 2019).
“Karena penyerang tidak menargetkan kata kunci dengan lalu lintas tinggi, tetapi berfokus pada omong kosong seperti "hOJoXatrCPy."
Lebih lanjut, Microsoft mengatakan "kampanye ini dibuat lebih tersembunyi dengan menggunakan hasil pencarian spesifik lokasi”.
"Ketika diakses oleh pengguna di Eropa, URL phishing mengarah ke situs web redirector c77684gq [.] Beget [.] Tech, dan akhirnya ke halaman phishing. Di luar Eropa, URL yang sama tidak menghasilkan hasil pencarian," kata perusahaan itu.
Kedua, trik cerdas lain yang digunakan oleh phisher pertama kali terlihat dalam kampanye phishing yang terdeteksi Microsoft pada Agustus lalu.
Ketika sebagian besar email phishing menyertakan tautan ke URL phishing yang ingin mereka gunakan untuk memikat pengguna, kampanye trik ini, penyerang menyertakan tautan yang menunjuk ke halaman yang tidak ada.
Ketika sistem keamanan Microsoft akan memindai tautan, mereka akan menerima pesan “404 error back” (karena tautan itu tidak ada), dan Microsoft akan menganggap tautan itu aman.
Namun, jika pengguna nyata mengakses URL tersebut, situs phishing akan mendeteksi pengguna dan mengarahkan mereka ke halaman phishing yang sebenarnya alih-alih halaman kesalahan standar 404 server.
Microsoft mengatakan bahwa ketika trik ini digabungkan dengan teknik-teknik seperti algoritma pembuatan subdomain dan mengubah domain utama secara berkala, penyerang dapat menghasilkan "URL phishing yang sebenarnya tidak terbatas."
Ketiga, trik phishing yang disoroti Microsoft adalah memanfaatkan server man-in-the-middle (MitM).
"Alih-alih penyerang menyalin elemen dari situs web palsu palsu, komponen man-in-the-middle menangkap informasi spesifik perusahaan seperti logo, spanduk, teks, dan gambar latar belakang dari situs rendering Microsoft. [...] Hasilnya adalah pengalaman yang sama persis seperti halaman masuk yang sah, yang secara signifikan dapat mengurangi kecurigaan," tulis Microsoft.
Teknik berbasis MitM ini tidak sempurna, karena URL situs phishing masih terlihat di bilah alamat, sama seperti di situs phishing lainnya.
Dengan kondisi itu, sebetulnya pengguna bisa terhindar dari halaman login yang tampak sah. Caranya cek URL halaman dengan cermat.