Cyberhtreat.id - Peneliti keamanan siber mengatakan serangan phishing baru-baru ini yang menargetkan setidaknya 10.000 pengguna email Microsoft. Pelaku mengirim email dengan berpura-pura berasal dari kurir email populer - termasuk FedEx dan DHL Express.

Kedua penipuan tersebut  menargetkan pengguna email Microsoft dan bertujuan mendapatkan  kredensial akun email kantor mereka.

Pelaku menggunakan halaman phishing yang dihosting di domain yang sah, termasuk dari Quip dan Google Firebase - memungkinkan email lolos melalui filter keamanan yang dibuat untuk memblokir tautan jahat yang terdeteksi.

"Judul email, nama pengirim dan konten yang dibuat cukup sukses mengelabui penerima email dan membuat para korban mengira email tersebut benar-benar dari FedEx dan DHL Express," kata para peneliti di Armorblox pada hari Selasa seperti dilansir dari Threat Post, Rabu (24 Februari 2021).

Email yang berpura-pura dari FedEx | Sumber: Threat Post.

“Email yang memberi tahu tentang dokumen yang dipindai dan berpura-pura dari FedEx atau pengiriman DHL yang terlewat bukanlah hal yang luar biasa; sebagian besar pengguna akan cenderung mengambil tindakan cepat pada email ini daripada mempelajarinya secara mendetail untuk mengetahui adanya ketidakkonsistenan,” tambah peneliti.

Dalam kasus yang mengatasnamakan FedEx, pelaku mengirim email ke target dengan judul,"Anda mendapatkan paket FedEx baru yang dikirimkan kepada Anda."

Email ini berisi beberapa informasi tentang dokumen agar tampak sah - seperti ID, jumlah halaman dan jenis dokumen - bersama dengan link untuk melihat dokumen yang seharusnya.

Jika penerima mengklik email tersebut, mereka akan diarahkan ke file yang dihosting di Quip. Quip, yang hadir dalam versi gratis, adalah alat untuk Salesforce yang menawarkan dokumen, spreadsheet, slide, dan layanan obrolan."Kami telah mengamati tren berkelanjutan dari aktor jahat yang menghosting halaman phishing di layanan yang sah seperti Google Sites, Box, dan Quip (dalam kasus ini), ”kata peneliti. (Baca juga: Google Sites Dipakai Peretas untuk Sebar Link Phishing Lewat Twitter Kemenkeu)

“Sebagian besar layanan ini memiliki versi gratis dan mudah digunakan, yang membuatnya bermanfaat bagi jutaan orang di seluruh dunia, tetapi sayangnya juga menurunkan standar bagi penjahat dunia maya untuk meluncurkan serangan phishing yang berhasil,” tambah peniliti.

Halaman ini berisi logo FedEx dan berjudul "Anda telah menerima beberapa file FedEx yang masuk." Halaman itu juga menyertakan tautan bagi korban untuk meninjau dokumen yang seharusnya.

Setelah para korban mengklik halaman ini, mereka akhirnya akan dibawa ke halaman phishing yang menyerupai portal login Microsoft, yang dihosting di Google Firebase, platform yang dikembangkan oleh Google untuk membuat aplikasi seluler dan bukanlah hal yang luar biasa; sebagian besar pengguna akan cenderung mengambil tindakan cepat pada email ini daripada mempelajarinya secara mendetail untuk mengetahui adanya ketidakkonsistenan,” tambah peneliti.web. Google Firebase semakin banyak digunakan oleh serangan phishing selama setahun terakhir untuk menghindari deteksi.

Sebagai catatan, jika korban memasukkan kredensial di halaman itu, muncul pesan error. Padahal dibalik itu, kredensialnya telah terekam di laman phising, dan dapat digunakan oleh pelaku untuk mengambil alih email kantor mereka.

"Ini mungkin menunjukkan beberapa mekanisme validasi backend yang memeriksa kebenaran detail yang dimasukkan," kata para peneliti.

“Bergantian, penyerang mungkin mencari alamat email dan kata sandi sebanyak mungkin dan pesan kesalahan akan terus muncul terlepas dari detail yang dimasukkan.”

Sementara dalam kasus lain, pelaku menyamar sebagai kurir internasional Jerman DHL Express, dengan email yang memberi tahu penerima bahwa "Paket Anda telah tiba", dengan alamat email mereka di akhir judul.

Email tersebut memberi tahu penerima bahwa paket tidak dapat dikirim kepada mereka karena detail pengiriman yang salah - dan meminta penerima email mengambil paketnya di kantor pos.

Email tersebut meminta penerima untuk memeriksa "dokumen pengiriman" yang terlampir jika mereka ingin mendapatkan paketnya. Dokumen terlampir adalah file HTML (berjudul "DOC PENGIRIMAN") yang, ketika dibuka, menampilkan pratinjau spreadsheet yang tampak seperti dokumen pengiriman.

Pratinjau itu dilapisi dengan kotak permintaan masuk yang meniru pembaca PDF Adobe. Peneliti mencatat bahwa mungkin saja penyerang mencoba menipu untuk mendapatkan kredensial Adobe - tetapi kemungkinan besar mereka mencoba mendapatkan kredensial email kantor korban.

"Bidang email di kotak login telah diisi sebelumnya dengan email kantor korban," kata peneliti.

“Penyerang mengandalkan korban untuk berpikir sebelum bertindak dan memasukkan sandi email kantor mereka ke dalam kotak ini tanpa terlalu memperhatikan merek Adobe.”

“Penyerang mengandalkan korban untuk berpikir sebelum bertindak dan memasukkan sandi email kantor mereka ke dalam kotak ini tanpa terlalu memperhatikan merek Adobe.”

Serupa dengan serangan phishing FedEx, saat korban memasukkan detail mereka di halaman ini, muncul pesan kesalahan input.

Menurut peneliti Armorblox, upaya peretasan ini tampaknya terkait dengan pandemi Covid-19 yang menyebabkan orang-orang beralih ke platform online untuk membeli barang, bahan makanan, dan berbagai aksesori rumah tangga. Itu sebabnya, pengiriman barang belanjaan online berada pada titik

Serupa dengan serangan phishing FedEx, saat korban memasukkan detail mereka di halaman ini, muncul pesan kesalahan input.

Menurut peneliti Armorblox, upaya peretasan ini tampaknya terkait dengan pandemi Covid-19 yang menyebabkan orang-orang beralih ke platform online untuk membeli barang, bahan makanan, dan berbagai aksesori rumah tangga. Itu sebabnya, pengiriman barang belanjaan online berada pada titik tertinggi sepanjang masa.[]