Beragam Trik Serangan Email

Geng penjahat dunia maya dan kelompok hacker yang disponsori negara terus mengembangkan teknik serangan phising mereka, bereksperimen dengan berbagai umpan, mengadopsi trik social engineering baru, dan merancang cara baru untuk menghindari deteksi pada tahun 2021.

Menurut laporan para penjahat dunia maya yang biasanya fokus pada serangan malware untuk mengumpulkan kredensial orang di masa lalu, baru-baru ini mengalihkan fokus mereka ke serangan phising. Para ahli mengamati pelaku ancaman mengirimkan email yang meniru merek-merek terkenal seperti Microsoft, UPS, Amazon, Apple, dan Zoom.

Ancaman yang terus berkembang

Dunia harus fokus dengan masalah keamanan siber melalui phising, karena para pelaku kejahatan di dunia maya juga melakukan hal serupa dalam membangun serangan phising mereka yang saat ini fokus bagaimana serangan mereka di tahun ini dapat menghindari deteksi.

Ini berarti bahwa pelaku membuat sedikit dan sering kali melakukan perubahan acak pada artefak email yaitu template, konten, subjek, nama pengirim, domain. Morphing memungkinkan mereka membuat serangan phising sulit dideteksi untuk solusi pertahanan email berbasis tanda tangan.

Namun, serangan phising polimorfik bukanlah hal baru. Para ahli mulai mengamati mereka setidaknya sejak 2016. Serangan pertama hanya mengubah URL yang disematkan yang menunjuk ke halaman arahan mereka yang hanya digunakan selama beberapa jam.

URL ini sulit untuk diberi label sebagai berbahaya oleh pemindaian otomatis dan perangkat lunak daftar hitam karena umurnya yang pendek. Membuat perubahan terus-menerus pada URL memungkinkan pelaku menghindari deteksi.

Sementara alat deteksi phising menjadi lebih efektif dalam menerapkan kemampuan deteksi baru, pelaku mulai memvariasikan semakin banyak komponen dalam pesan untuk menghindarinya. Pelaku ancaman juga mengubah taktik mereka dengan hanya mengirimkan sejumlah kecil pesan untuk menghindari gangguan yang dapat dengan mudah dideteksi oleh filter email.

Serangan phising jauh lebih bertarget.

Setelah aktor jahat memperoleh kredensial seorang karyawan dalam suatu organisasi, mereka akan menggunakannya untuk menargetkan rekan kerja dalam operasi bedah dan polimorfik.

Trik lain yang digunakan oleh pelaku ancaman di balik kampanye phising adalah penggunaan situs HTTPS. Menurut ENISA, lebih dari dua pertiga (74%) situs phising mengadopsi HTTPS pada Q4 2020. Para ahli di ENISA menunjukkan bahwa kehadiran ikon kunci di bilah alamat browser dapat mengelabui korban agar berpikir bahwa pesan dikirim dari situs terpercaya. Dalam beberapa kasus, pelaku ancaman juga menggunakan situs sah yang telah diretas untuk menghosting halaman phising, sehingga sulit untuk mendeteksi aktivitas berbahaya.

Phising as a service

Pakar keamanan juga memperingatkan munculnya phising-as-a-Service (PaaS) di dunia bawah tanah kejahatan maya.

Penjahat dapat membayar kit phising yang dapat diakses dengan berlangganan layanan tersebut. Seorang peneliti keamanan mengidentifikasi lebih dari 5.334 kit phising unik pada Juni 2019 yang ditawarkan dengan harga mulai dari $50 hingga $80 untuk langganan bulanan. Sebagian besar kit (87%) termasuk mekanisme penghindaran seperti pengkodean karakter HTML dan enkripsi konten. Beberapa layanan ini dihosting di layanan cloud yang sah dengan nama dan sertifikat sistem nama domain (DNS) yang tepat.

Pada bulan November 2020, para peneliti di WMC Global telah melihat kampanye phising Office 365 kreatif baru yang telah membalikkan gambar yang digunakan sebagai latar belakang untuk halaman arahan untuk menghindari ditandai sebagai berbahaya oleh solusi keamanan yang memindai web untuk situs phising.

Mekanisme penghindaran bot telah diterapkan di beberapa situs web phising yang dirancang untuk mencuri kredensial Office 365.

Peneliti WMC Global mengamati teknik ini diterapkan dalam kit phising yang dikembangkan oleh aktor ancaman yang menjualnya ke banyak pengguna.

Kit phising yang menggunakan trik ini secara otomatis mengembalikan latar belakang menggunakan Cascading Style Sheets (CSS) agar terlihat seperti latar belakang halaman login Office 365 yang sah.

Sementara perayap web pendeteksi phising disajikan gambar terbalik, calon korban diarahkan ke salah satu laman landas phising ini yang akan melihat latar belakang asli, bukan yang terbalik.

Teknik phising yang inovatif Baru-baru ini, para ahli juga mengamati kampanye phising lainnya yang ditujukan untuk pengguna Office 365 yang menggunakan teknik inovatif, seperti memanfaatkan layanan cloud publik untuk menghosting halaman arahan phising.

Teknik inovatif lain yang diamati oleh para peneliti yang menargetkan pengguna Office 365 memanfaatkan layanan cloud dari Oracle dan Amazon untuk infrastruktur mereka. Pelaku ancaman menggunakan akun yang disusupi untuk mengirim pesan phising dan menggunakan Amazon Web Services (AWS) dan Oracle Cloud dalam rantai pengalihan.

Sebelum korban mendarat di halaman arahan terakhir, mereka dialihkan melalui beberapa proxy, termasuk load balancer AWS. Sebagian besar halaman login Office 365 palsu dihosting di layanan komputasi Oracle Cloud, tetapi para ahli juga mengamati penggunaan Amazon Simple Storage Service.

Para pakar keamanan siber juga menemukan lebih dari 40 situs web yang disusupi yang digunakan dalam kampanye phising Office 365 ini. Analisis kode HTML untuk halaman Office 365 palsu menunjukkan bahwa pelaku memilih kit PaaS.

Pada November 2020, Microsoft melacak kampanye phising Office 365 yang sedang berlangsung yang menargetkan perusahaan. Pelaku ancaman di balik kampanye memanfaatkan URL redirector dengan kemampuan untuk mendeteksi koneksi masuk dari lingkungan sandbox.

Setelah mendeteksi koneksi untuk sandbox, redirector akan mengarahkan mereka ke situs yang sah untuk menghindari deteksi, sementara koneksi dari calon korban yang sebenarnya dialihkan ke halaman phising.

Pada bulan Agustus, para peneliti menganalisis teknik phising baru yang digunakan oleh peretas di dalam serangan Magecart. P

eretas menargetkan pengunjung beberapa situs web dengan menggunakan nama domain yang salah ketik, dan favicon yang dimodifikasi untuk menyuntikkan skimmer perangkat lunak yang digunakan untuk mencuri informasi kartu pembayaran. Teknik ini dikenal sebagai serangan homoglyph. Idenya sederhana dan terdiri dari penggunaan karakter yang terlihat sama untuk menipu pengguna.

Cara mencegah serangan phising yang canggih, berikut adalah beberapa saran untuk organisasi yang ingin mengurangi serangan phising:

  • Latih karyawan untuk mengidentifikasi email berbahaya. Kampanye phising simulasi dapat memungkinkan perusahaan untuk menguji ketahanan dan daya tanggap staf.
  • Gunakan cloud email security seperti VIMANAMAIL yang memiliki pemindaian dan filter berlapis untuk memastikan email yang dikirim ke kotak masuk perusahaan atau karyawan bersih dari phising.
  • Terapkan solusi pertahanan yang menggunakan teknik mesin pembelajaran untuk mengidentifikasi situs phising secara real-time.
  • Nonaktifkan eksekusi otomatis kode, makro, rendering grafik, dan pramuat tautan email di klien email dan perbarui secara berkala.
  • Terapkan SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication, Reporting & Conformance), dan DKIM (Domain Keys Identified Mail) untuk mengidentifikasi spam.
  • Terapkan deteksi anomali di tingkat jaringan untuk email masuk dan keluar.
  • Periksa nama domain situs web yang Anda kunjungi untuk kesalahan ketik, terutama untuk situs web sensitif, mis. situs bank. Mengandalkan koneksi HTTPS saja tidak cukup.
  • Aktifkan otentikasi dua faktor (2FA) kapan pun berlaku untuk mencegah pengambilalihan akun.