Cyberthreat.id – Peneliti keamanan siber dari TrustWave menemukan kampanye phising baru yang menggunakan chatbot Facebook Messenger untuk menyamar sebagai tim dukungan perusahaan dan mencuri kredensial yang digunakan untuk mengelola halaman Facebook.

Chatbots adalah program yang meniru orang-orang dukungan langsung dan biasanya digunakan untuk memberikan jawaban atas pertanyaan sederhana, atau kasus dukungan pelanggan triase sebelum diserahkan kepada karyawan langsung.

Dikutip dari Bleeping Computer, pelaku ancaman menggunakan chatbots untuk mencuri kredensial bagi pengelola halaman Facebook, yang biasanya digunakan oleh perusahaan untuk memberikan dukungan atau mempromosikan layanan mereka.

Menurut para peneliti, serangan phishing dimulai dengan email yang memberi tahu penerima bahwa halaman Facebook mereka telah melanggar Standar Komunitas. Mereka juga hanya diberi waktu 48 jam untuk mengajukan banding atas keputusan tersebut, atau halaman mereka akan dihapus.

Pengguna akan ditawari kesempatan untuk menyelesaikan masalah di pusat Dukungan Facebook, dan untuk mengaksesnya, mereka didesak untuk mengklik tombol "Ajukan Banding Sekarang". Saat mengklik tombol itu korban akan dibawa ke percakapan Messenger di mana chatbot menyamar sebagai agen dukungan pelanggan Facebook.

“Chatbot tersebut akan mengirimkan tombol "Ajukan Banding Sekarang" di Messenger kepada korban, yang membawa korban ke situs web yang disamarkan sebagai "Kotak Masuk Dukungan Facebook," tetapi URL-nya bukan bagian dari domain Facebook,” kata para peneliti di TrustWave.

TrustWave mengatakan, nomor kasus pada halaman itu tidak cocok dengan yang disajikan oleh chatbot sebelumnya. Sementara itu, halaman phishing utama, yang ditampilkan di bawah, akan meminta pengguna yang ingin mengajukan banding atas keputusan penghapusan halaman untuk memasukkan alamat email, nama lengkap, nama halaman, dan nomor telepon mereka.

Setelah data ini dimasukkan ke dalam kolom dan tombol “Kirim” ditekan, akan muncul pop-up yang meminta kata sandi akun. Setelah itu, semua informasi dikirim ke database aktor ancaman melalui permintaan POST. Akhirnya, korban diarahkan ke halaman 2FA palsu di mana mereka didesak untuk memasukkan OTP yang mereka terima melalui SMS di nomor telepon yang diberikan.

“Setelah verifikasi, para korban masuk ke halaman Facebook sebenarnya yang berisi pedoman kekayaan intelektual dan hak cipta yang dianggap relevan dengan pelanggaran pengguna,” kata peneliti.

Karena serangan phishing dilakukan secara otomatis, eksploitasi aktual dari kredensial yang dicuri dapat terjadi pada fase selanjutnya. Sehingga, pelaku ancaman perlu menciptakan rasa legitimasi yang salah ini di benak korban untuk menunda tindakan perbaikan pelanggaran.

Sebagai informasi, pelaku ancaman semakin banyak menggunakan chatbot dalam serangan phishing untuk mengotomatiskan pencurian kredensial dan untuk meningkatkan volume operasi mereka tanpa menghabiskan banyak sumber daya atau waktu.

Jenis penipuan ini lebih sulit untuk dideteksi, karena banyak situs menggunakan AI dan chatbots sebagai bagian dari halaman dukungan mereka, membuatnya tampak normal saat ditemui saat membuka kasus dukungan.

Seperti biasa, garis pertahanan terbaik melawan serangan phishing adalah menganalisis URL apa pun untuk halaman yang meminta kredensial login, dan jika domain tidak cocok dengan URL reguler situs yang sah, maka jangan masukkan kredensial apa pun di situs itu.