Image credit: magnific
IT Palsu Teams Gunakan Taktik Email Bombing – Gelombang serangan siber baru kini tengah menyasar karyawan perusahaan melalui kombinasi licik antara “pemboman” kotak masuk (inbox flooding) dan kontak dukungan TI palsu di Microsoft Teams.
Taktik ini bertujuan untuk menipu pengguna agar memberikan akses jarak jauh (remote access) ke perangkat mereka sendiri. Serangan ini terpantau tumbuh stabil sejak awal 2026 dan para peneliti memperingatkan bahwa tren ini belum menunjukkan tanda-tanda melambat.
Serangan biasanya dimulai dengan korban menerima ratusan atau bahkan ribuan email sampah dalam waktu yang sangat singkat. Teknik yang dikenal sebagai Email Bombing ini dirancang untuk menciptakan kepanikan dan kebingungan.
Saat korban merasa sangat cemas karena mengira akun mereka sedang diretas atau mengalami kerusakan sistem, seorang “spesialis dukungan TI” akan menghubungi mereka melalui Microsoft Teams dengan tawaran bantuan untuk memperbaiki masalah tersebut.
|
Baca juga: Zero Trust Verifikasi Dulu Akses Kemudian |
Personalisasi Akun Palsu
Apa yang membuat operasi ini sangat memprihatinkan adalah bagaimana penyerang mencampur tekanan sosial dengan platform kerja tepercaya.
Sebagian besar karyawan menggunakan Microsoft Teams setiap hari dan telah dikondisikan untuk mengharapkan pesan dari departemen TI di sana. Penyerang mengeksploitasi kepercayaan tersebut secara langsung.
Para peneliti mengidentifikasi beberapa pola dalam serangan ini:
- Penyerang menyamar sebagai tim IT internal dengan menggunakan nama tampilan seperti “IT Protection Department” atau “Windows Security Help Desk.”
- Akun-akun tersebut tidak menggunakan label generatif seperti helpdesk@, melainkan menggunakan nama lengkap yang terdengar nyata seperti michaelturner@ atau danielfoster@ untuk meningkatkan kredibilitas.
- Begitu korban menerima bantuan, mereka diminta memberikan akses melalui alat seperti Quick Assist atau AnyDesk, yang memberikan kontrol penuh atas perangkat tersebut kepada penyerang.
Data dari laporan ancaman siber tahun 2026 menunjukkan bahwa serangan ini memiliki tingkat keberhasilan yang mencengangkan, yakni mencapai 72%.
Kelompok aktor ancaman seperti Scattered Spider, Payouts King, dan UNC6692 telah dikaitkan dengan variasi teknik ini.
Eksploitasi Pasca-Akses
Setelah akses jarak jauh didapatkan, kerusakan sebenarnya dimulai. Para penyerang sering kali tidak menggunakan malware khusus yang mudah terdeteksi, melainkan menggunakan perangkat lunak sah untuk menyamarkan aktivitas mereka.
Dalam beberapa kasus yang diamati oleh peneliti:
- Penyerang mengunduh versi portabel dari WinSCP langsung dari situs resminya. WinSCP adalah aplikasi transfer file yang sah, sehingga aktivitas pemindahan data sensitif keluar dari sistem sering kali tidak memicu alarm keamanan standar.
- Dalam insiden lain, penyerang menggunakan Quick Assist untuk mengirim file ZIP dengan nama yang terdengar resmi seperti Email-Deployment-Process-System.zip. File ini berisi biner Java yang, saat dieksekusi, akan mencuri data dan memberikan akses persisten kepada peretas.
- Pesan-pesan jahat di Teams ini sebagian besar berasal dari penyedia bulletproof hosting internasional, yang menunjukkan bahwa operasi ini didukung oleh infrastruktur yang kuat dan terorganisir, bukan sekadar improvisasi.
Perbandingan dengan Serangan Vishing dan Rekayasa Sosial
Taktik ini merupakan evolusi dari serangan Vishing (Voice Phishing) yang sering kita bahas sebelumnya. Perbedaannya, serangan kali ini menggabungkan gangguan layanan nyata (melalui bom email) dengan komunikasi teks di platform kolaborasi resmi.
Kemiripannya dengan kasus BlackFile yang pernah kita bahas adalah penggunaan identitas palsu yang sangat meyakinkan untuk memanipulasi staf garis depan yang sedang berada dalam tekanan situasi.
|
Baca juga: Predator Infeksi Korban Hanya dengan Melihat Iklan |
Panduan Mitigasi Korporasi
Untuk mengurangi risiko dari serangan yang mengandalkan kepercayaan dan panik ini, langkah-langkah pertahanan berikut harus segera diimplementasikan:
- Konfigurasikan Microsoft Teams untuk membatasi pesan dan panggilan dari organisasi luar. Jika kolaborasi eksternal diperlukan, pastikan fitur notifikasi pengirim aktif sehingga pengguna tahu bahwa mereka sedang berbicara dengan pihak di luar organisasi.
- Blokir penggunaan alat seperti Quick Assist, AnyDesk, dan ConnectWise melalui kebijakan sistem, kecuali jika secara operasional sangat dibutuhkan oleh tim TI resmi.
- Batasi penggunaan utilitas seperti WinSCP, RClone, FileZilla, dan MegaSync pada perangkat karyawan biasa untuk mencegah eksfiltrasi data secara diam-diam.
- Edukasi karyawan untuk selalu memverifikasi setiap permintaan bantuan TI yang tidak terduga melalui saluran kedua yang sah, seperti menelepon nomor resmi helpdesk, mengirim email langsung, atau memeriksa tiket melalui portal internal perusahaan.
- Terapkan solusi yang dapat mendeteksi pola email bombing dan secara otomatis mengisolasi pesan-pesan sampah sebelum membanjiri kotak masuk pengguna.
- Tim keamanan harus memantau setiap eksekusi skrip atau penggunaan alat administratif yang dilakukan melalui sesi akses jarak jauh yang tidak terdokumentasi.
- Berikan pelatihan yang menekankan bahwa departemen TI resmi tidak akan pernah meminta akses jarak jauh secara mendadak melalui akun eksternal di Teams tanpa adanya tiket laporan yang sah dari pengguna.
Penolong yang Mencurigakan
Keberhasilan serangan ini membuktikan bahwa rasa panik adalah celah keamanan terbesar manusia. Bom email hanyalah umpan untuk menciptakan kondisi mental yang rentan, sementara Microsoft Teams adalah panggung untuk membangun kepercayaan palsu.
Di tahun 2026, setiap tawaran bantuan yang datang secara tiba-tiba di tengah kekacauan digital harus dicurigai sebagai bagian dari skenario serangan.
Membangun budaya verifikasi dan prosedur operasional yang ketat untuk dukungan TI adalah benteng utama organisasi agar tidak terjebak dalam perangkap rekayasa sosial yang semakin canggih ini.
Sumber berita:
