Credit image: Freepix
Strategi Baru Saat Serangan Datang dari Media Sosial & Iklan – Perkembangan teknologi dan metode kerja modern telah mengubah lanskap ancaman siber, terutama serangan phising. Serangan phising kini tidak lagi hanya datang melalui email.
Tetapi juga melalui berbagai saluran non-email seperti media sosial, aplikasi pesan instan, dan bahkan iklan mesin pencari yang berbahaya.
Artikel ini akan membahas mengapa phising tidak lagi eksklusif berbasis email dan apa dampaknya bagi tim keamanan.
|
Baca juga: Serangan Phising Terbaru Menggunakan File Gambar SVG |
Phising Pindah ke Luar Kotak Masuk
Dengan perubahan praktik kerja, karyawan kini lebih mudah dijangkau oleh penyerang eksternal. Dahulu, email adalah saluran komunikasi utama dengan dunia luar dan pekerjaan dilakukan di jaringan yang terkunci. Ini membuat email dan endpoint menjadi prioritas tertinggi dari sudut pandang keamanan.
Namun, saat ini, pekerjaan modern terjadi di seluruh jaringan aplikasi internet yang terdesentralisasi. Komunikasi tidak lagi terbatas pada email, sehingga lebih sulit untuk mencegah pengguna berinteraksi dengan konten berbahaya.
Penyerang kini dapat mengirim tautan melalui aplikasi pesan instan, media sosial, SMS, iklan berbahaya, dan bahkan menggunakan fungsionalitas pesan dalam aplikasi. Mereka juga mengirim email langsung dari layanan SaaS (Software as a Service) untuk melewati pemeriksaan berbasis email.
Faktanya, phising kini dikirimkan melalui berbagai saluran, tidak hanya email, dan menargetkan beragam aplikasi cloud dan SaaS.
Mengapa Jarang Terdengar?
Serangan phising di luar email sering kali tidak terdeteksi. Ini wajar, karena sebagian besar data industri tentang serangan phising berasal dari vendor dan alat keamanan email.
Jika phising melewati lapisan email, sebagian besar organisasi hanya bisa mengandalkan laporan dari pengguna. Beberapa organisasi mungkin melengkapinya dengan web proxy.
Tetapi alat ini semakin sering dikalahkan oleh phising kit modern yang menggunakan berbagai teknik obfuscation (penyembunyian) untuk menghindari deteksi.
Informasi paling berharga bagi tim keamanan saat ini adalah halaman web yang dimuat melalui lalu lintas jaringan. Namun, phising kit Attacker-in-the-Middle (AiTM) generasi terbaru secara sengaja membuatnya sangat sulit dengan menggunakan teknik penyembunyian kode. Akibatnya, yang terlihat di lapisan jaringan hanyalah kode yang berantakan dan sulit dipahami.
|
Baca juga: Malware Loader Canggih yang Memanfaatkan Taktik Phising |
Pekerjaan dan Urusan Pribadi Menyatu
Serangan phising modern mengaburkan batas antara ranah kerja dan pribadi. Karyawan secara rutin mengakses aplikasi pesan pribadi dan media sosial di perangkat kerja mereka.
Mereka login ke aplikasi seperti LinkedIn, X, WhatsApp, Signal, bahkan papan pesan seperti Reddit di laptop dan/atau perangkat seluler kantor.
Selain itu, dengan adanya malvertising (iklan berbahaya), mereka bahkan dapat menemukan tautan jahat saat menjelajahi web secara normal.
Singkatnya, di mana pun pengguna dapat dihubungi oleh seseorang dari luar organisasi, di situlah ada peluang phising.
Contoh Kasus Nyata
LinkedIn Spear-Phising
Penyerang menjalankan kampanye spear-phising di LinkedIn yang menargetkan eksekutif perusahaan teknologi. Korban dihubungi melalui pesan langsung dari eksekutif lain mengenai peluang investasi palsu. Tautan dalam pesan ini mengarahkan korban ke halaman phising AiTM yang mencuri sesi login mereka.
Malvertising di Google Search
Sebuah perusahaan terkena iklan Google yang dirancang agar terlihat sangat meyakinkan dan diposisikan di atas iklan yang sah. Iklan tersebut membawa korban ke halaman phising AiTM yang mencuri sesi, yang kemudian dilacak kembali ke kampanye Scattered Spider.
|
Baca juga: Email Phising dalam Teknologi |
Dampak dari Satu Akun yang Terkompromi
Penting untuk memikirkan gambaran yang lebih besar dari kompromi phising modern. Sebagian besar serangan phising menargetkan platform cloud inti seperti Microsoft dan Google, atau penyedia identitas khusus seperti Okta.
Mengambil alih salah satu akun ini tidak hanya memberikan akses ke aplikasi dan data inti, tetapi juga memungkinkan penyerang memanfaatkan SSO (Single Sign-On) untuk masuk ke aplikasi lain yang terhubung.
Hal ini memberikan penyerang akses ke hampir setiap fungsi dan kumpulan data bisnis inti di organisasi Anda. Dari titik ini, lebih mudah untuk menargetkan pengguna lain dari aplikasi internal, seperti Slack atau Teams.
Atau menggunakan teknik seperti SAMLjacking untuk mengubah aplikasi menjadi “lubang air” bagi pengguna lain yang mencoba masuk. Satu kompromi akun dapat dengan cepat berkembang menjadi pelanggaran besar-besaran yang merugikan jutaan dolar.
Apa yang Bisa Dilakukan Organisasi?
Jelas bahwa seperangkat alat anti-phising tradisional tidak mampu mengimbangi inovasi phising. Untuk mengatasi serangan modern ini, organisasi memerlukan solusi yang dapat mendeteksi dan memblokir phising di semua aplikasi dan vektor pengiriman.
Solusi keamanan berbasis peramban ( browser-based) seperti Push Security mendeteksi dan memblokir serangan dengan mengidentifikasi serangan secara real-time saat pengguna memuat dan berinteraksi dengan halaman web.
Platform ini menyediakan kemampuan deteksi dan respons serangan identitas yang komprehensif terhadap teknik seperti phising AiTM, credential stuffing, ClickFixing, ekstensi peramban berbahaya, dan pembajakan sesi menggunakan token sesi curian.
Sumber berita:
