Cyberthreat.id - Biro Investigasi Federal (FBI) bersama Badan Keamanan Siber dan Infrastruktur (CISA) menerbitkan peringatan keamanan bersama tentang gelombang serangan Vishing (Voice-Phishing) yang sedang berlangsung yang menargetkan sektor swasta AS.

Vishing atau phishing menggunakan suara adalah bentuk manipulasi psikologis. Penjahat menelepon korban untuk mendapatkan informasi yang diinginkan, biasanya menyamar sebagai orang lain dengan tujuan penipuan.

Menurut FBI dan CISA, pada pertengahan Juli 2020, penjahat cyber memulai operasi vishing menargetkan karyawan yang bekerja dari rumah. Ancaman besar bagi perusahaan dan organisasi di AS.  Para penyerang mengumpulkan kredensial login jaringan perusahaan, yang kemudian dimonetisasi dengan menjual akses sumber daya perusahaan ke geng kriminal.

Bagaimana serangan terjadi?

Baik FBI dan CISA tidak menyebutkan nama perusahaan yang menjadi target, tetapi menggambarkan teknik yang digunakan penyerang, yang biasanya mengikuti pola tertentu dan nyaris seragam.

Kelompok penjahat cyber memulai aksinya dengan mendaftarkan domain yang tampak seperti sumber daya perusahaan, lalu membuat dan meng-hosting situs phishing di domain tersebut. 

Biasanya, struktur domain terlihat seperti susunan berikut ini:

1. support-[company]
2. ticket-[company]
3. employee (nama pekerja)-[company]
4. [company]-support
5. [company]-okta

Kemudian dibuat halaman phishing agar terlihat seperti halaman login VPN internal perusahaan yang ditargetkan. Hebatnya lagi, situs itu juga mampu menangkap otentikasi dua faktor (2FA) atau kode One Time Password (OTP).

Para penjahat ini kemudian melakukan operasi mengumpulkan berkas tentang karyawan/staf perusahaan yang ditargetkan, biasanya dengan memanfaatkan informasi dari "penggalian massal profil publik di platform media sosial, alat (tools) rekrutmen dan pemasaran, layanan pemeriksaan latar belakang yang tersedia untuk umum, dan penelitian sumber terbuka (open-source)."

Informasi yang dikumpulkan seperti: nama, alamat rumah, nomor ponsel/telepon pribadi, posisi di perusahaan, durasi di perusahaan, dan berbagai informasi lainnya.

Social Engineering

Para penyerang kemudian menelepon karyawan menggunakan nomor telepon Voice-over-IP (VoIP) acak atau dengan memalsukan nomor telepon karyawan perusahaan lainnya.

Dengan menggunakan teknik rekayasa sosial (social engineering), dalam beberapa kasus, para penjahat ini menyamar sebagai anggota help-desk IT perusahaan, lalu menggunakan pengetahuan tentang informasi pribadi karyawan - seperti nama, posisi, durasi di perusahaan, dan alamat rumah.

"Setelah menanyakan itu semua dan mendapatkan kepercayaan dari korban yang ditargetkan, para penjahat berupaya meyakinkan karyawan yang ditarget untuk mengirimkan VPN baru sehingga memerlukan pengiriman login, termasuk 2FA atau OTP," demikian peringatan bersama FBI-CISA.

Ketika korban mengakses tautan jahat, maka disitulah mereka memanen dan mencatat kredensial yang langsung menggunakannya secara real-time untuk mendapatkan akses ke akun perusahaan. Proses ini bahkan melewati (bypass) batas 2FA/OTP dengan bantuan karyawan.

"Para penjahat ini menggunakan akses karyawan untuk melakukan penelitian lebih lanjut tentang korban, dan/atau untuk mendapatkan dana menggunakan berbagai metode yang tergantung kepada platform yang diakses," tulis FBI dan CISA. []