Cyberthreat.id - Baru-baru ini sekelompok peneliti menemukan kampanye Phishing gaya baru yang mencuri kredensial. Namun, kampanye ini berbeda dari yang biasa diamati. Email yang digunakan dalam kampanye ini terlihat mengandung teks Phising, misalnya lewat pemberitahuan pembayaran tradisional.

Bagaimana scam ini berbeda?

Kampanye Phising kredensial yang baru terlihat ini tidak mengarahkan korban ke situs lain untuk login, seperti yang biasanya dilakukan oleh banyak teknik Phishing.

Sebagai gantinya, bundel halaman (landing page) penipuan di lampiran HTML digunakan untuk mencegah pengguna menjadi curiga.

Penipuan Phising biasanya dapat dideteksi dengan tautan dan halaman arahan yang mencurigakan. Nah, penipuan ini menghindari semuanya dan memilih laman web mandiri yang mencuri kredensial.

Dengan melakukan ini, aktor jahat di balik kampanye mengurangi kemungkinan halaman arahan (landing page) ditemukan/diketahui dan kemudian dihapus.

Lampiran dikatakan memiliki semua file dan perpustakaan yang diperlukan untuk memanen kredensial. Semua bergantung pada server jarak jauh hanya untuk mengumpulkan informasi yang dicuri.

"Namun, lampiran HTML yang dibawanya ternyata tidak seperti biasanya. Ketika lampiran HTML digunakan dalam phising mencuri kredensial, kode HTML biasanya mengarahkan browser ke halaman login palsu, atau langsung memuat halaman login palsu dari sumber di internet. Halaman HTML ini ternyata tidak melakukan salah satu dari itu,” kata peneliti Handler Jan Kopriva dilansir Cyware Hacker News, Senin (9 Desember 2019).

Bagaimana cara kerjanya?

Saat korban membuka lampiran dalam email, formulir masuk Microsoft Documents diberikan langsung di browser.

1. Formulir menyediakan sejumlah opsi untuk masuk, termasuk Gmail, Yahoo, dan Office 365 serta lainnya.

2. Ketika korban tanpa sadar memasukkan kredensial, skrip jahat mengambil informasi dan kemudian mengalihkan ke situs jarak jauh dengan faktur pembayaran palsu.

3. Bahkan jika korban menyadari bahwa ini adalah halaman Phishing, hal ini tidak membuat perbedaan karena kredensial telah dipanen oleh pelaku.

Meskipun ini bukan kampanye Phishing pertama yang menggunakan teknik ini, para pakar keamanan mengatakan bahwa ini adalah salah satu dari sedikit yang mengandung lampiran HTML serta tergolong rumit.