Cyberthreat.id - Peneliti dari perusahaan cybersecurity Cofense menemukan bukti-bukti kejahatan Phishing yang dilakukan penjahat siber untuk mencuri kredensial akun Skype. Target dari penjahat ini adalah orang-orang yang kini bekerja di rumah atau belajar di rumah di tengah pandemi Covid-19.

Kampanye phishing sedang marak diantaranya fokus mencuri akun konferensi video online seperti Webex, Zoom dan platform lainnya. Dengan lonjakan kenaikan pengguna rapat online, kredensial Skype yang dikompromikan kemudian dijual di forum bawah tanah, atau digunakan untuk masuk ke akun guna mencuri file dan data sensitif.

Peneliti Cofense mengatakan para penjahat siber mengirim email untuk meyakinkan para korbannya terutama akun Skype. Email phishing ini sangat mirip dengan peringatan notifikasi Skype sebagaimana aslinya. Email tersebut menunjukan pengguna memiliki 13 notifikasi Skype tertunda yang dapat diperiksa dengan mengklik tombol “Review”.

"Pengguna mengenali email tersebut sebagai notifikasi yang sah sehingga mereka mengambil tindakan untuk melihat notifikasi. Keingintahuan dan rasa urgensi membuat banyak pengguna mengklik tombol "Review" tanpa mengenali tanda-tanda yang jelas bahwa itu adalah phishing," tulis para peneliti dilansir Threat Post, Kamis (23 April 2020).

Setelah pengguna mengklik "Review" pengguna akan dialihkan melalui app.link (hxxps: // jhqvy [.] App [.] Link / VAMhgP3Mi5) dan akhirnya diarahkan ke halaman tujuan yang digunakan untuk menjebak korbannya, hxxps: // skype-online0345 [.] Web [.]aplikasi).

Domain level atas .app, yang digunakan sebagai halaman tujuan (landing page) phishing, merupakan domain yang didukung oleh Google untuk membantu developer aplikasi saat membagikan aplikasi mereka dengan aman. Ini membuat akses yang digunakan seolah-olah akses yang sah dan lebih lanjut digunakan untuk serangan phishing.

"Manfaat dari domain tingkat atas ini adalah ia membutuhkan HTTPS untuk terhubung dengannya, menambah keamanan bagi pengguna, dan pengembang, tetapi tidak dalam kasus ini. Dimasukkannya HTTPS berarti penambahan kunci ke bilah alamat yang dipercayai oleh sebagian besar pengguna. Karena situs phishing ini di-hosting melalui Google .app TLD, akan membuat pengguna percaya."

Dengan kata lain, halaman web menyamar sebagai halaman login Skype yang sah dan meminta kredensial Skype korban. Para peneliti mengatakan para penjahat siber melakukan aksinya dengan matang dan telah melakukan penelitian. Mereka, para pelaku,  menambahkan logo perusahaan penerima ke kotak login, di bagian bawah diberi peringatan bahwa halaman tersebut hanya untuk "penggunaan resmi" dari skype dan juga mengisi nama pengguna secara otomatis dengan alamat email target.

"Satu-satu hal yang tersisa bagi pengguna untuk dilakukan adalah memasukkan password-nya yang akhirnya jatuh ke tangan aktor ancaman."

Para peneliti memperingatkan para pengguna untuk tetap mewaspadai aktor-aktor jahat yang melakukan spoofing konferensi web dan aplikasi kolaborasi virtual. Secara umum, penyerang mengambil keuntungan dari kepanikan di sekitar CoronaVirus dengan email phishing tentang bantuan keuangan, obat untuk penyembuhan Corona, dan rincian informasi gejala.

"Dengan begitu banyak orang yang bekerja dari rumah, perangkat lunak kerja jarak jauh seperti Skype, Slack, Zoom, dan WebEx mulai menjadi tema populer dari umpan phishing." []

Redaktur: Arif Rahman