Cyberthreat.id – Biro Investigasi Federal (FBI) mengeluarkan peringatan kepada industri mengenai serangan siber yang menargetkan kredensial karyawan melalui penipuan lewat panggilan suara (vishing) dan chatroom.

Dikutip dari Security Week, FBI mengatakan para penjahat siber ini menargetkan pekerja yang bekerja dari rumah (WFH), dengan berusaha mengeksploitasi miskonfigurasi dan kurangnya pemantauan akses jaringan jarak jauh dan hak istimewa pengguna.

Menurut FBI [PDF], dalam kampanye ini, ada pergeseran taktik yang digunakan oleh penjahat siber, yaitu dengan menargetkan semua karyawan, tidak hanya karyawan dengan jabatan tinggi dan memiliki hak akses istimewa.

Dalam upaya peretasan ini, penjahat siber menggunakan social engineering (rekayasa sosial atau manipulasi psikologis) untuk menargetkan karyawan perusahaan besar yang berbasis di AS dan internasional. Sebagai bagian dari serangan vishing, karyawan diminta untuk mengakses halaman web palsu yang dibuat mirip dengan aslinya, lalu diminta memasukkan nama pengguna dan kata sandi perusahaan mereka. (Baca juga: Teknik Rekayasa Sosial Populer Dipakai Hacker, Ini Solusi yang Disarankan)

“Setelah mendapatkan akses ke jaringan, mereka memiliki akses jaringan yang lebih besar, termasuk kemampuan untuk meningkatkan hak istimewa dari akun karyawan yang disusupi, sehingga memungkinkan mereka untuk mendapatkan akses lebih lanjut ke jaringan yang sering menyebabkan kerugian finansial yang signifikan,” ungkap FBI.

Bahkan dalam salah satu serangan, penjahat siber berhasil menemukan salah satu karyawan melalui ruang obrolan perusahaan, dan kemudian meyakinkan mereka untuk masuk ke halaman VPN palsu untuk mengungkapkan identitas mereka.

Setelah berhasil mendapatkan nama pengguna dan sandi yang disusupi, pelaku ancaman kemudian masuk ke VPN perusahaan dan mulai mencari karyawan yang memiliki hak istimewa lebih tinggi. Mereka menemukan seorang karyawan yang dapat mengubah nama pengguna dan email dan menggunakan layanan pesan ruang obrolan untuk melakukan penipuan berikutnya dan mengambil kredensial milik karyawan.

Menurut Departemen Layanan Keuangan New York, metode yang sama sebelumnya digunakan dalam peretasan Twitter oleh tiga anak muda yang mendapat akses ke alat internal Twitter dan mengambil kendali atas akun-akun orang ternama. Kasus Twitter itu mewakili bagaimana serangan dilakukan: penjahat dunia maya menelepon banyak karyawan untuk menipu demi mendapat identitas mereka, sampai mereka akhirnya memanen orang-orang yang memiliki hak istimewa yang mereka cari.

“Para hacker menggunakan informasi pribadi tentang karyawan untuk meyakinkan mereka bahwa hacker itu orang yang sah dan, oleh karena itu, dapat dipercaya. Sementara beberapa karyawan melaporkan panggilan tersebut ke tim pemantauan penipuan internal Twitter, setidaknya satu karyawan percaya kebohongan peretas,” kata Departemen Layanan Keuangan New York dalam sebuah laporan yang merinci insiden tersebut.

Sebagai langkah antisipasi, FBI menyarankan perusahaan dan organisasi untuk menerapkan otentikasi multi-faktor (MFA) untuk akun karyawan, mengadopsi prinsip hak istimewa paling rendah (terutama untuk akun karyawan baru), memantau secara rutin lingkungan untuk akses atau modifikasi yang tidak sah, menerapkan segmentasi jaringan, dan masalah untuk akun admin: satu untuk email dan satu lagi untuk membuat perubahan pada sistem.

FBI juga menyarankan agar perusahaan memberikan latihan dan pemahaman kepada karyawannya mengenai vishing untuk mencegah mereka menjadi korban dari serangan ini.

Informasi lebih lengkap tentang bagaimana serangan vishing dilakukan, dapat dibaca di sini: Mengenal Serangan Vishing dan Modus yang Dipakainya.[]

Editor: Yuswardi A. Suud