Cybethreat.id - Penelitian terbaru dari perusahaan keamanan Ironscales menemukan lebih dari 50.000 halaman login palsu terdeteksi selama paruh pertama tahun 2020. Halaman palsu ini digunakan para penjahat siber untuk melakukan kejahatan peretasan (hacking) dan operasi spear-phishing.

Peneliti Ironscales setidaknya telah menemukan 200 merek terkenal di dunia digunakan para penjahat siber dalam halaman login palsu tersebut. Selain itu, lebih dari 2500 halaman login palsu (sekitar 5 persen) bersifat polimorfik, dengan satu login palsu dapat mewakili lebih dari 300 halaman login yang berbeda.

Merek login palsu paling banyak adalah PayPal dengan 11.000 login, diikuti Microsoft dengan 9500 dan Facebook dengan 7000 login. Dalam penelitian ini terungkap bahwa Microsoft dan Facebook paling banyak mendapatkan serangan halaman login palsu dengan masing-masing 314 dan 160 permutasi.

Brendan Roddas, peneliti senior Ironscales mengungkapkan, polimorfisme halaman login terjadi ketika penyerang menerapkan perubahan kecil yang signifikan dan sering kali acak pada artefak email. Misalnya seperti konten, salinan, baris subjek, nama pengirim, atau template dalam hubungannya dengan atau setelah serangan awal diterapkan.

Hal ini memungkinkan penyerang mengembangkan serangan phishing dengan cepat untuk mengelabui keamanan email dengan memodifikasi serangan tersebut, yang menimbulkan versi berbeda dari serangan tanpa terdeteksi di kotak masuk (inbox).

"Penerima email halaman login palsu yang paling umum bekerja di industri layanan keuangan, perawatan kesehatan dan teknologi, serta di lembaga pemerintah," kata peneliti Ironscales dilansir Info Security Magazine, Jumat (28 Agustus 2020).

Kata Para Ahli

Consumer Privacy Champion dari Pixel Privacy, Chris Hauk, menilai serangan menggunakan halaman login palsu sebagai salah satu teknik serangan yang sangat bagus. Menurut dia, selama pengguna tertipu oleh trik ini, maka para pelaku kejahatan akan terus menggunakannya.

"Mungkin cara terbaik untuk melawan halaman login palsu ini adalah dengan mendidik pengguna dengan lebih baik tentang bahaya halaman tersebut dan cara terbaik untuk mengidentifikasi saat halaman login palsu sedang dikunjungi," ujarnya.

Selain itu, Hauk juga menyarankan pengguna menggunakan utilitas yang dapat mengidentifikasi halaman seperti Ironscales URL dan pemindai link.

Niamh Muldoon, Direktur senior Trust and Security dari OneLogin, mengatakan alasan penjahat siber menggunakan teknik ini adalah karena kurangnya pendidikan, pelatihan, dan kesadaran keamanan siber di antara komunitas pengguna akhir internet secara global.

Selain itu, kurangnya tata kelola terkait pembuatan situs web, pendaftaran domain, dan manajemen yang berhubungan dengan persoalan ini banyak mempengaruhi penggunaan serangan yang berhasil.

"Kesenjangan dalam pengetahuan pengguna akhir telah tumbuh secara signifikan. Banyak yang tidak memiliki pengetahuan keamanan siber. Termasuk memverifikasi integritas situs dan/atau domain secara proaktif. Meskipun sudah ada prosedur dan proses yang jelas untuk menghapus situs web dan domain yang berisi malware dan/atau tidak sah," kata Muldoon.

Dia juga merekomendasikan pengguna untuk menyediakan autentikasi multi-faktor guna mengurangi risiko penyusupan akun melalui halaman login masuk palsu.

Hugo van der Toorn, Manajer keamanan ofensif di Outpost24, mengatakan bahwa perusahaan yang mereknya digunakan dalam serangan ini harus memfasilitasi pelaporan yang cepat dan menindaklanjuti upaya phishing.

Setelah menerima laporan terjadinya upaya phishing dan mengidentifikasinya, perusahaan harus mengeluarkan pemberitahuan dan penghapusan. Tak hanya itu, dalam beberapa jam perusahaan harus mampu menghentikan operasi jahat ini.

"Ini bukan tentang menghentikan semua phishing dan melatih karyawan sampai tidak ada yang mengklik. Ini semua tentang menanggapi dengan cepat atas nama orang yang benar-benar mengenali dan melaporkan upaya phishing ini," ujar Toorn. []

Redaktur: Arif Rahman