Cyberthreat.id – Peneliti dari Akami mengungkapkan bahwa kit phising canggih menargetkan pembeli Amerika Utara sejak pertengahan September, menggunakan umpan yang meniru berbagai merek terkenal.

Dikutip dari Bleeping Computer, kit ini menggunakan beberapa teknik deteksi penghindaran dan menggabungkan beberapa mekanisme untuk menjauhkan yang bukan targetnya dari halaman phishingnya. Salah satu fitur kit yang paling menarik adalah sistem berbasis token yang memastikan setiap korban dialihkan ke URL halaman phishing yang unik.

“Kampanye ini dimulai pada September 2022 dan berlanjut sepanjang Oktober, menginar pembeli online yang mencari diskon special liburan dengan tema sentral dari email phishing yang dikirim ke calon korban adalah kesempatan untuk memenangkan hadiah,” kata peneliti Akamai.

Peneliti menjelaskan, tautan dalam email tidak membunyikan alarm apa pun karena mengarah ke situs phishing setelah serangkaian pengalihan, sementara pemendek URL menyembunyikan sebagian besar URL. Selain itu, penyerang menyalahgunakan layanan cloud yang sah seperti Google, AWS, dan Azure, menyalahgunakan reputasi baik mereka untuk melewati mekanisme perlindungan.

Menurut peneliti, setiap orang yang mengunjungi situs phishing memenangkan hadiah yang dijanjikan setelah menyelesaikan survei singkat. Selain itu, pengatur waktu lima menit memastikan mereka yang mengikuti survei diresapi dengan perasaan mendesak. Beberapa merek yang ditiru termasuk perusahaan barang olahraga Dick's, pembuat koper kelas atas Tumi, Delta Airlines, dan klub grosir, Sam's Club dan Costco.

Untuk meningkatkan keefektifan kampanye, pelaku phishing memasukkan testimonial pengguna palsu yang menunjukkan hadiah yang diterima. Setelah "memenangkan" hadiah, korban diminta untuk menanggung biaya pengiriman untuk menerima hadiah, yang mana mereka harus memasukkan rincian kartu pembayaran mereka.

“Tentu saja, tidak ada hadiah yang harus dikirimkan, dan detail kartu kredit dicuri oleh pelaku ancaman untuk digunakan dalam pembelian online,” kata peneliti.

Peneliti mengatakan sekitar 89% pengguna yang menggunakan domain phishing berasal dari Amerika Serikat dan Kanada. Bergantung pada lokasi persisnya, pengalihan membawa mereka ke situs phishing berbeda yang meniru merek yang tersedia secara lokal.

Setiap email phishing berisi tautan ke halaman arahan dengan jangkar (#) biasanya digunakan untuk mengarahkan pengunjung ke bagian tertentu dari halaman yang ditautkan. Dalam kampanye phishing ini, tag jangkar mewakili token yang digunakan oleh JavaScript pada pendaratan phishing untuk merekonstruksi URL yang menjadi tujuan pengalihan target.

 

“Nilai yang ada setelah jangkar HTML tidak akan dianggap sebagai parameter HTTP dan tidak akan dikirim ke server, namun nilai ini akan dapat diakses oleh kode JavaScript yang berjalan di browser korban,” kata peneliti,

Dalam konteks penipuan phishing, nilai yang ditempatkan setelah jangkar HTML mungkin diabaikan atau diabaikan saat dipindai oleh produk keamanan yang memverifikasi apakah itu berbahaya atau tidak.

Menurut peneliti, produk keamanan dan alat pemeriksaan lalu lintas jaringan mengabaikan token ini, sehingga tidak menimbulkan risiko bagi pelaku phishing. Sebaliknya, ini membantu menjauhkan lalu lintas yang tidak diinginkan, peneliti, analis, dan pengunjung acak dari halaman arahan phishing.

Mereka yang tidak memiliki token yang valid, dan pengalihan browser yang tidak menggunakan JavaScript untuk perenderannya, akan gagal mengakses situs phishing. Selain memfilter non-korban, token juga dapat digunakan untuk pelacakan khusus korban, pengukuran kinerja kampanye, dan lainnya.

Singkatnya, kit ini menggabungkan hampir semua teknik yang dikenal untuk keefektifan dan penghindaran deteksi, menjadikannya ancaman yang kuat bagi orang Amerika Utara. Menjelang musim belanja Black Friday dan Natal, konsumen harus ekstra waspada saat menerima pesan tentang promosi dan penawaran khusus.