Cyberthreat.id - Peretas membajak akun email yang sah dari sejumlah universitas ternama termasuk Universitas Oxford di Ingggris, Universitas Purdue, dan Universitas Standford.

Melansir Thret Post, temuan itu berdasarkan laporan INKY, perusahaan penyedia penyedia solusi melawan phishing. Disebutkan, peretas membajak akun lebih dari selusin kampus dan menggunakannya untuk melewati deteksi dan mengelabui korban agar menyerahkan kredensial email mereka atau memasang perangkat lunak perusak alias malware.

CEO dan salah satu pendiri INKY, Dave Bagget, mengatakan kepada Threatpost bahwa tidak ada indikasi bagaimana akun email tersebut bisa dibajak. Namun, Bagget berpendapat bahwa para korban yang berhasil diambil alih akun emailnya itu merupakan korban skema pengambilan kredensial.

“Seorang profesor dapat memberi siswa kata sandi ke akun untuk proyek tertentu dan tidak pernah mengubahnya ketika proyek selesai. Peretas yang menyadap menemukan akun yang ditangani secara sembarangan ini, mengambil alih, dan mengubah sandi itu sendiri, lalu mengunci pemilik aslinya,” kata peneliti INKY.

Sepanjang tahun 2020, peneliti mengatakan telah menemukan email yang dibobol dari setidaknya 13 universitas yang berbeda.

Jumlah email phishing tertinggi yang terdeteksi berasal dari akun Universitas Purdue yang telah disusupi peretas. Dicuri dari Januari hingga September, jumlahnya mencapai  2.068.

Selanjutnya, di posisi kedua Universitas Oxford, dengan total 714 akun yang disusupi sejak Januari hingga Juni 2020.  Kemudian, Hunter College (709 akun) dan Worcester Polytechnic Institute (393 akun).

Peretas telah menggunakan ratusan hingga ribuan email resmi ini untuk melakukan berbagai jenis serangan.

Dalam satu kasus serangan, korban menerima pesan dari akun Universitas Stanford yang mengaku sebagai “pesan sistem” Microsoft, yang memberi tahu pengguna tentang status beberapa pesan yang ketika diklik mengarahkan pengguna ke halaman pengambilan kredensial Microsoft Outlook atau mulai menginfeksi kode berbahaya.

Peneliti mengatakan yang menarik perhatian adalah peretas ini menggunakan alamat email dari akun universitas yang sah tetapi malah mengirimkan email terkait Microsoft.

Menurut peneliti, peretas melewati deteksi atau pemfilteran Sender Policy Framework (SPF) dari domain universitas. SPF adalah metode otentikasi email yang bertujuan untuk mencegah pemalsuan alamat pengirim.

Para penyerang dapat melewati SPF karena korban memiliki kebijakan untuk menerima email dari server Stanford.

“Hasil mesin pencari juga mengonfirmasi bahwa alamat yang mengirimkan email phishing ini sesuai dengan profil universitas yang sebenarnya (misalnya, mahasiswa, anggota fakultas, staf atau publikasi penelitian),” kata peneliti.

Jenis serangan lainnya yakni peretas yang berhasil meretas akun email resmi Oxford dan Purdue memberi tahu para korban bahwa mereka memiliki panggilan tak terjawab dan menautkan ke lampiran yang dimaksudkan sebagai pesan suara. Padahal lampiran itu adalah jebakan dari peretas untuk menginfeksi korban yang mengkliknya.

Terkait dengan email resmi Oxford, peneliti mengatakan memang server emailnya memiliki kerentanan sehingga bisa dieksploitasi peretas.

Oxford belum menanggapi terkait adanya kerentanan dalam server emailnya.

Serangan lainnya terkait email phising yang menargetkan universitas, yakni dilakukan peretas TA407 atau dikenal juga dengan Cobalt Dicknes yang baru-baru ini menargetkan mahasiswa dan fakultas di universitas melalui kampanye spear-phising — phising yang bertarget. Tujuannya sama, mengelabui korban agar menyerahkan kredensial login mereka.

Bagget mengatakan sejak 2019 pihaknya mendeteksi adanya serangan peretas yang mengirimkan email dari membajak akun universitas, tetapi sejak pandemi Covid-19 --yang membuat sektor pendidikan berpindah dari kelas offline menjadi online-- peretas pun meningkatkan permainan mereka.

“Kami mulai mendeteksi jenis serangan ini pada musim panas 2019, dan jumlah akun yang dibajak meningkat selama pandemi lockdown,” kata Bagget. "Jumlah sekolah berbeda yang ditargetkan juga meningkat saat pandemi.” []