Credit image: Freepix
Jebakan Tanda Tangan Phising Docusign – Peneliti keamanan siber telah mengidentifikasi kampanye spearphising canggih yang menyasar para eksekutif perusahaan teknologi.
Operasi ini mengeksploitasi kepercayaan terhadap platform tanda tangan elektronik ternama, Docusign, untuk mencuri kredensial (nama pengguna dan kata sandi).
Yang kemudian dapat digunakan untuk melancarkan serangan yang jauh lebih merusak, seperti penipuan Business Email Compromise (BEC).
Phising Docusign dan Mengapa Berbahaya
Phising Docusign adalah bentuk penipuan email di mana penyerang mengirimkan pesan palsu yang sangat mirip dengan komunikasi resmi dari Docusign.
Tujuannya adalah menipu penerima agar mengira ada dokumen penting yang menunggu tanda tangan mereka.
|
Baca juga: Worm Canggih Curi Data Bank dari WhatsApp |
Anatomi Serangan
- Imitasi Sempurna: Email palsu ini menggunakan branding dan tata letak Docusign yang autentik, membuatnya sulit dibedakan dari yang asli.
- Umpan Tanda Tangan: Korban didesak untuk mengklik tautan dengan klaim “Tinjau Dokumen” untuk mengakses dan menandatangani dokumen.
- Pengalihan Berbahaya: Tautan tersebut tidak mengarah ke Docusign, melainkan ke situs web palsu yang dirancang khusus untuk mencuri kredensial login.
Taktik Canggih Penjahat Siber
Penelitian menunjukkan bahwa penjahat siber ini menggunakan taktik yang cerdik untuk menghindari deteksi:
- Email phising sering kali dikirim dari alamat email bisnis Jepang yang sah dan sudah terkompromi. Dengan menggunakan akun yang sah, penjahat siber berhasil melewati pemeriksaan keamanan email standar seperti DMARC (Domain Messaging Authentication Record and Conformance), yang berfungsi menyaring spam.
- Subjek email yang digunakan sangat mendesak dan profesional, seperti “BIYH-QPVSW-3617 sudah siap untuk ditinjau” atau “Mohon Docusign dokumen ini: Share transfer & Subscription Agreement.”
- Beberapa email bahkan menyertakan thread (benang) email yang sah antara beberapa perusahaan. Ini adalah upaya untuk membuat email phising tersebut tampak seperti bagian dari korespondensi bisnis yang berkelanjutan.
Trik di Balik Layar
Para peneliti menemukan bahwa serangan ini memanfaatkan teknik tingkat lanjut, khususnya dengan penggunaan JavaScript yang di-obfuscate (disamarkan) untuk menyembunyikan tujuan sebenarnya.
Pengalihan Awal
Tautan di email mungkin awalnya mengarah ke layanan pemasaran yang sah (seperti app.getresponse.com), yang kemungkinan digunakan untuk melacak apakah email dibuka atau sebagai gerbang pengalihan ke situs phising yang sebenarnya.
Situs Palsu Canggih
Di balik tautan berbahaya, terdapat skrip JavaScript yang disamarkan. Skrip ini berisi kode terenkripsi (base64) dan serangkaian pemeriksaan kondisi (conditional statements).
Pengecekan Hostname
Skrip akan memeriksa hostname (nama domain) URL saat ini. Jika pengecekan ini berhasil, skrip akan menampilkan kode HTML yang merupakan halaman login palsu.
Meniru Google Workspace
Untuk mencuri kredensial lebih lanjut, skrip menyuntikkan HTML yang meniru halaman login Google Workspace lengkap dengan pemeriksaan captcha. Tujuannya jelas: mencuri kredensial Gmail atau akun kerja yang digunakan oleh para eksekutif.
Tujuan Akhir
Kredensial yang dicuri dari kampanye Docusign ini memiliki dua tujuan utama:
- Digunakan untuk serangan lanjutan, seperti penipuan BEC (Business Email Compromise), di mana penyerang menyamar sebagai eksekutif untuk mengarahkan transfer dana atau meminta informasi sensitif.
- Dijual di pasar gelap siber (marketplace) untuk keuntungan finansial.
|
Baca juga: Ancaman Ganda Oracle Peretas Curi Data Lewat Celah Kritis |
Langkah Kunci Melawan Phising
Serangan phising Docusign akan terus menjadi masalah karena mengeksploitasi kepercayaan pengguna terhadap brand tepercaya.
Untuk melindungi diri, perusahaan dan individu harus ekstra hati-hati terhadap email Docusign yang tidak diminta, terutama jika meminta tindakan segera.
Tujuh Langkah Pencegahan Wajib:
- Latih karyawan secara berkala tentang cara mengenali ciri-ciri umum phising dan tindakan yang harus diambil saat mencurigai adanya penipuan.
- Jangan hanya mengandalkan nama yang ditampilkan (alias). Periksa alamat email lengkap pengirim. Perhatikan typo kecil pada domain (misalnya, d0cusign.com alih-alih docusign.com).
- Hindari mengklik tautan atau membuka lampiran dari email yang tidak terduga atau tidak diminta.
- Jika Anda menerima pemberitahuan Docusign, jangan klik tautan di email. Sebaliknya, buka peramban (browser) Anda secara manual, ketikkan alamat resmi Docusign (docusign.com), login ke akun Anda, dan periksa di bagian “Documents” apakah ada dokumen yang benar-benar menunggu tanda tangan Anda.
- Selalu gunakan Autentikasi Dua Faktor (2FA) atau Multi-Factor Authentication (MFA) di semua akun penting (email, Docusign, layanan finansial, dll.). Ini adalah lapisan pertahanan terkuat.
- Tandai email yang gagal melewati pemeriksaan keamanan email (SPF, DKIM, dan DMARC) sebagai spam atau laporkan ke tim keamanan IT perusahaan.
- Jika Anda meragukan tanda tangan elektronik pada dokumen yang sudah ditandatangani, gunakan layanan validasi resmi Docusign, seperti Docusign Verify, untuk memastikan keabsahan tanda tangan tersebut.
Mencuri kredensial adalah kunci bagi penjahat siber untuk melancarkan serangan yang lebih besar. Dengan menerapkan kewaspadaan dan langkah-langkah keamanan di atas, Anda dapat secara signifikan mengurangi risiko menjadi korban kampanye phising canggih ini.
Sumber berita:
