Sekitar 75.000 kotak masuk email sejauh ini telah tercemari dalam sebuah serangan operasi phising email yang dimotivasi oleh pengumpulan kredensial.
Hal ini diketahui saat para peneliti keamanan mengamati serangan terhadap sistem pelanggan di seluruh lingkungan Office 365, Microsoft Exchange, dan Google Workspace.
Banyak serangan melibatkan pelaku yang menargetkan kelompok kecil karyawan dari berbagai departemen dalam suatu perusahaan dalam upaya nyata untuk tidak menonjolkan diri. Individu yang ditargetkan dalam operasi termasuk CFO sebuah perusahaan, wakil presiden senior keuangan dan operasi di sebuah perusahaan kesehatan, direktur operasi, dan seorang profesor.
Sejauh ini, serangan tersebut telah mempengaruhi di beberapa sektor, termasuk energi, pemerintah daerah, pendidikan tinggi, perangkat lunak, dan konstruksi listrik.
Sementara itu, serangan terhadap individu dalam perusahaan tampaknya ditargetkan. Para korban mewakili perpaduan yang baik antara kepemimpinan senior dan karyawan tetap dari seluruh perusahaan.
Karyawan ini tidak mungkin sering berkomunikasi satu sama lain ketika mereka menerima email yang terlihat mencurigakan, Ini meningkatkan kemungkinan seseorang menjadi mangsa serangan itu.
Phising tetap menjadi salah satu taktik yang paling banyak digunakan di antara pelaku ancaman untuk mendapatkan pijakan awal di jaringan target. Meskipun phising mungkin merupakan salah satu vektor serangan awal yang paling dipahami, perusahaan mengalami kesulitan mengatasi ancaman karena kerentanan terus-menerus dari masing-masing pengguna terhadap email phising.
Dalam banyak kasus, pelaku juga menjadi jauh lebih canggih dalam membuat umpan phising dan semakin mulai menggabungkan phising email dengan phising berbasis SMS (smishing) dan phising berbasis suara atau telepon (vishing).untuk
Serangan yang dilaporkan minggu ini melibatkan penggunaan umpan yang memalsukan pemberitahuan pesan terenkripsi dari enkripsi email. Pemberitahuan tersebut, meskipun tidak identik dengan pemberitahuan yang sah, cukup mirip dengan aslinya untuk membuat penerima percaya bahwa mereka telah menerima email yang valid.
Domain tempat pelaku ancaman mengirim email berbahaya milik organisasi keagamaan yang didirikan pada tahun 1994 dan kemungkinan merupakan versi lama atau usang dari domain induk organisasi.
Domain yang Sah
Salah satu alasan email lolos dari kontrol keamanan yang ada, itu diakrenakan menggunakan domain yang sah untuk mengirim email. Ini memungkinkan email untuk melewati semua pemeriksaan otentikasi.
Operasi lainnya, seperti kebanyakan penipuan phising, mengandalkan peniruan identitas merek dan rekayasa sosial untuk mengelabui pengguna agar mengklik pemberitahuan palsu.
Dalam serangan yang diamati, aktor ancaman tampaknya sengaja menghindari penargetan beberapa karyawan dari dalam satu departemen. Sebaliknya, mereka tampaknya telah memilih korban mereka dari berbagai departemen untuk meningkatkan kemungkinan seseorang jatuh ke dalam jebakan email jahat.
Targetnya cukup terisolasi, baik berdasarkan departemen atau hierarki, untuk tidak mendiskusikan email yang mencurigakan satu sama lain, ini juga bagian trik pelaku. Seperti kebanyakan serangan phising, ada sedikit hal baru dalam taktik yang digunakan oleh pelaku ancaman. Hal yang menarik tentang serangan email yang berhasil adalah mereka jarang menggunakan TTP yang belum pernah dilihat sebelumnya untuk melakukan kerusakan.
Dari perspektif kontrol keamanan, penting bagi perusahaan untuk meningkatkan kontrol keamanan email asli dengan kemampuan untuk mengenali perilaku, bahasa, komunikasi, dan pola lain yang dapat membantu mengidentifikasi upaya phising dengan lebih baik.
Sumber berita:
https://www.darkreading.com
