Cybertreat.id - Email berisi jebakan phishing masih menjadi vektor utama untuk menginfeksi malware ke jaringan suatu perusahaan, termasuk membajak email perusahaan. Kejahatan Business Email Compromise (BEC) adalah penyebab nomor satu kerugian finansil karena kejahatan internet.

Serangan yang lumayan canggih dalam skema pembajakan email dikenal dengan istilah hijacked email reply chain. Serangan jenis ini dilakukan dengaan membajak rantai korespondensi email yang sah, lalu menyisipkan email phishing ke dalam rantai percakapan email.

Bagaimana Reply Chain Attack Bekerja

Dikutip dari laporan Sentinel One, pembajakan rantai balasan email dimulai dengan pengambilalihan akun email, baik dengan menebak kata sandi atau metode lain.

Setelah berhasil menguasai satu atau lebih akun email, peretas memantau utas percakapan korespondensi email, lalu mengirim malware atau tautan berbahaya ke satu atau lebih peserta yang terlibat dalam rantai percakapan email.     

Teknik ini sangat efektif karena orang-orang yang terlibat dalam percakapan mengira mereka sedang berkorespondensi dengan orang yang sama. Mereka tidak sadar, salah satu akun email mereka telah diambil alih oleh orang lain. Pola ini tentu lebih efektif dibanding jika si penyerang mengirim email baru untuk membangun percakapan, atau  mencoba memalsukan alamat email orang lain. Sebaliknya, penyerang mengirim email berbahaya mereka dari akun asli salah satu peserta percakapan.

Karena penyerang memiliki akses ke seluruh utas, mereka dapat menyesuaikan peran malspam mereka agar sesuai dengan konteks percakapan yang sedang berlangsung. Dengan cara ini, besar kemungkinan korban akan membuka lampiran berbahaya atau mengklik tautan berbahaya.

Sebagai ilustrasi, anggaplah  akun milik "Sam" telah disusupi, dan penyerang melihat bahwa Sam dan "Georgie" dan mungkin peserta yang lain, sedang mendiskusikan metode penjualan baru. Penyerang dapat membuat email balasan di utas dengan tema penjualan itu untuk mengirim dokumen berbahaya ke Georgie.

Ilustrasi: Sentinel One

Untuk menjaga agar pemilik akun yang disusupi tidak mengetahui perilaku penyerang, peretas akan sering menggunakan Kotak Masuk alternatif untuk menerima pesan.

Ini melibatkan penggunaan aturan klien email untuk merutekan pesan tertentu dari Kotak Masuk biasa dan ke folder yang tidak mungkin diperiksa oleh pemegang akun asli, seperti folder Sampah. Dengan teknik ini, jika Georgie dalam contoh ini membalas email phishing Sam, balasannya dapat dialihkan sehingga Sam yang asli tidak pernah melihatnya.

Alternatif lain, ketika peretas berhasil mencapai pengambilalihan akun, mereka dapat menggunakan pengaturan klien email untuk meneruskan email dari penerima tertentu ke akun lain.

Malware Mana yang Menggunakan Serangan Email Balasan?
Serangan berantai email balasan mulai muncul pada tahun 2017. Pada tahun 2018 kampanye trojan perbankan Gozi ISFB/Ursnif juga mulai menggunakan teknik ini, meskipun dalam beberapa kasus rantai korespondensi itu sendiri dipalsukan hanya untuk menambah legitimasi. Di tempat lain, penyerang meretas akun yang sah dan menggunakannya untuk membajak utas yang ada dan mengirim spam ke penerima lain.

Lampiran berbahaya dapat memanfaatkan VBScript dan PowerShell melalui Office Macros untuk mengirimkan muatan seperti Emotet, Ursnif, dan pemuat lainnya atau malware trojan perbankan.

Peneliti SentinelLabs telah menunjukkan bagaimana malware Valak menggunakan plugin khusus yang dirancang untuk mencuri kredensial khusus untuk digunakan dalam serangan berantai email balasan.

Bagaimana Cara Mencegah Serangan Rantai Email Balasan?
Mengingat titik asal mereka yang tepercaya dan sah serta fakta bahwa penyerang memiliki riwayat email dan konteks percakapan, mungkin sulit untuk menemukan serangan berantai balasan yang dibuat dengan baik, terutama jika serangan itu muncul di (atau tampaknya menjadi bagian dari) serangan berantai yang panjang.

Namun, ada beberapa rekomendasi yang bisa Anda ikuti agar tidak menjadi korban penipuan jenis ini.

Pertama, karena serangan email balasan bergantung pada peretasan akun, pastikan bahwa semua akun email perusahaan Anda mengikuti praktik terbaik untuk keamanan. Itu harus mencakup otentikasi dua faktor atau multi-faktor, kata sandi unik di setiap akun dan kata sandi yang panjangnya 16 karakter atau lebih.

Pengguna harus didorong untuk secara teratur memeriksa pengaturan klien email dan pengaturan email mereka sendiri untuk memastikan bahwa pesan tidak dialihkan atau dihapus tanpa disadari.

Kedua, kunci atau larang sepenuhnya penggunaan Office Macros jika memungkinkan. Meskipun ini bukan satu-satunya cara lampiran berbahaya dapat membahayakan perangkat, Macro tetap menjadi vektor serangan yang umum.

Ketiga, pengetahuan adalah kekuatan, jadi perluas pelatihan kesadaran pengguna Anda untuk memasukkan diskusi tentang serangan berantai balasan email dan cara kerjanya dengan merujuk staf ke artikel seperti ini.

Pengguna email perlu meningkatkan kesadaran mereka tentang cara kerja serangan phishing dan bagaimana penyerang mengembangkan teknik mereka. Yang terpenting, mereka perlu memahami mengapa penting untuk memperlakukan semua permintaan untuk membuka lampiran atau mengklik tautan dengan hati-hati, dari mana pun sumbernya.

Amankan perangkat Anda, didik pengguna Anda, latih staf Anda, dan biarkan penjahat frustasi karena gagal menjadikan Anda sebagai target serangan.[]