Cyberthreat.id – Pelaku ancaman di dunia maya  sedang menyebarkan jebakan phising yang menyamar sebagai Pfizer untuk mencuri informasi bisnis dan informasi keuangan korban.

Pfizer adalah perusahaan farmasi terkenal asal Amerika Serikat yang memproduksi salah satu vaksin mRNA untuk melawan Covid-19.

Pelaku phishing bertujuan untuk mengeksploitasi nama merek yang dikenal luas, karena peluang keberhasilan mereka lebih besar dibanding meniru entitas fiksi. Dengan mengatasnamakan perusahaan besar sekelas Pfizer, mereka berharap perusahaan-perusahaan yang ditargetkan akan merespon dengan email balasan yang mencantumkan informasi keuangan perusahaan yang ditargetkan. 

Dilansir BleepingComputer, Senin (20 Desember 2021), upaya jebakan phishing yang diungkap oleh perusahaan keamanan siber INKY itu telah dimulai 15 Agustus 2021.

Pelaku di balik kampanye ini  menggabungkan lampiran PDF dengan domain baru yang sengaja dibuat  meniru laman resmi Pfizer. Mereka menelurkan akun email dari domain ini untuk distribusi email phishing guna melewati aplikasi perlindungan email.

Domain didaftarkan melalui Namecheap, yang menerima cryptocurrency sebagai metode pembayaran, memungkinkan para aktor tetap anonim.

Beberapa contoh yang dilihat oleh INKY adalah :

- Pfizer-nl[.]com

- Pfizer-bv[.]org

- Pfizerhtlinc[.]xyz

- Pfizertenders[.]xyz

Yang pertama, Pfizer-nl[.]com, tampaknya sengaja dibuat untuk mengelabui orang agar percaya bahwa itu adalah portal online resmi Pfizer yang punya kantor di Belanda.
 

Jebakan Halus

Baris subjek atau judul email biasanya menggunakan kalimat mendesak,undangan untuk mengirim harga penawaran, dan topik terkait pasokan peralatan industri, seperti terlihat di bawah ini.

Karena penyebaran varian COVID-19 baru yang semakin cepat, pelaku phishing tidak mengalami banyak kesulitan untuk merangkai kata.

Dari 400 contoh kasus yang dianalisis INKY, pelaku phishing menggunakan dokumen PDF tiga halaman yang terlihat profesional yang membahas tanggal jatuh tempo, syarat pembayaran, dan detail lainnya yang merupakan permintaan penawaran harga yang sah.

PDF yang dikirimkan tidak bercampur dengan tautan yang menjatuhkan malware atau URL phishing yang dapat dideteksi oleh sistem keamanan email dan ketikan pun dibuat secara jelas. Tak ada tanda-tanda mencurigakan bahwa itu adalah penipuan.

Namun, penerima diminta untuk mengirimkan email mereka ke alamat domain Pfizer yang meniru identitas, seperti quote@pfizerbvl[.] com atau quotation@pfizersupplychain[.]com  

Selain itu, adanya  persyaratan pembayaran di dalam PDF merupakan indikasi bahwa pelaku ancaman akan meminta untuk membagikan rincian perbankan. Jika diberikan, dapat menjadi pintu masuk bagi pelaku untuk melancarkan serangan Business Email Compromise (BEC) terhadap klien perusahaan tersebut di masa depan. (Baca juga: Waspadai Aksi ‘Business Email Compromise’, Apa Itu?)

Jika menerima email seperti itu, disarankan untuk tidak menanggapinya.

Saat menerima email dengan permintaan penawaran yang tidak biasa, sebaiknya hubungi menghubungi perusahaan di nomor reguler mereka dan meminta untuk berbicara langsung dengan orangnya.

Jika orang tersebut tidak bekerja di perusahaan atau tidak mengetahui email ini, Anda dapat mengabaikan permintaan dan menghapus email tersebut.[]

Editor: Yuswardi A. Suud