Credit image: Pixabay
Protokol DKIM email palsu kelabui Google merupakan salah satu cari dari 1001 cara yang digunakan pelaku kejahatan dunia dalam aksinya
Kelemahan dalam sistem Google memungkinkan pengiriman email palsu yang valid DKIM. DKIM atau DomainKeys Identified Mail adalah protokol autentikasi email yang menggunakan tanda tangan digital untuk memverifikasi keaslian email dan mencegah pemalsuan.
Protokol ini bekerja dengan menandatangani email keluar dengan kunci pribadi dan menerbitkan kunci publik terkait dalam rekaman DNS pengirim. Server email penerima kemudian dapat menggunakan kunci publik ini untuk memverifikasi tanda tangan dan memastikan email tidak dirusak.
|
Baca juga: Varian Baru Penipuan Email Sextortion |
Modus Serangan
Dalam serangan yang cukup cerdik, peretas memanfaatkan kelemahan yang memungkinkan mereka mengirim email palsu yang tampaknya dikirim dari sistem Google, lolos semua verifikasi tetapi mengarah ke halaman palsu yang mengumpulkan login.
Pelaku memanfaatkan infrastruktur Google untuk mengelabui penerima agar mengakses “portal dukungan” yang tampak sah yang meminta kredensial akun Google.
Pesan palsu tersebut tampaknya berasal dari “no-reply@google.com” dan lolos metode autentikasi DomainKeys Identified Mail (DKIM) tetapi pengirim sebenarnya berbeda.
|
Baca juga: Lampiran Email Berbahaya |
Email palsu dengan stempel DKIM Google
Nick Johnson, pengembang utama Ethereum Name Service (ENS), menerima peringatan keamanan yang tampaknya berasal dari Google, yang memberitahunya tentang panggilan pengadilan dari otoritas penegak hukum yang meminta konten Akun Google miliknya.
Hampir semuanya tampak sah dan Google bahkan menempatkannya bersama peringatan keamanan sah lainnya, yang kemungkinan akan mengelabui pengguna yang kurang paham teknis yang tidak tahu di mana mencari tanda-tanda penipuan.
Namun, mata tajam Johnson melihat bahwa portal dukungan palsu dalam email tersebut dihosting di sites.google.com – platform pembuatan web gratis milik Google, yang menimbulkan kecurigaan.
Karena berada di domain Google, peluang penerima untuk menyadari bahwa mereka menjadi sasaran lebih rendah.
Portal dukungan palsu tersebut adalah “duplikat persis dari yang asli” dan “satu-satunya petunjuk bahwa itu adalah phising adalah bahwa itu dihosting di sites.google.com, bukan accounts.google.com.”
Pengembang yakin bahwa tujuan situs palsu tersebut adalah untuk mengumpulkan kredensial guna membahayakan akun penerima.
Portal palsu tersebut mudah dijelaskan dalam penipuan tersebut, tetapi bagian yang cerdik adalah mengirimkan pesan yang tampaknya telah lolos verifikasi DKIM Google dalam apa yang disebut serangan phising DKIM replay.
Jika melihat lebih dekat pada detail email tersebut, terungkap bahwa header yang dikirim melalui email menunjukkan alamat yang berbeda dari alamat no-reply milik Google dan penerimanya adalah alamat me@ di domain yang dibuat agar tampak seperti dikelola oleh Google.
Namun, pesan tersebut ditandatangani dan dikirimkan oleh Google.
|
Baca juga: Forensik Email Phising |
Modus Operandi
Pertama, mereka mendaftarkan domain dan membuat akun Google untuk me@domain’. Domain tersebut tidak terlalu penting, tetapi akan membantu jika [sic] terlihat seperti semacam infra. Pemilihan ‘me’ untuk nama pengguna itu cerdik.
Penyerang kemudian membuat aplikasi Google OAuth dan menggunakan seluruh pesan phising sebagai namanya. Pada satu titik, pesan tersebut berisi banyak spasi agar terlihat seperti berakhir dan untuk memisahkannya dari pemberitahuan Google tentang akses ke alamat email me@domain penyerang.
Saat penyerang memberikan akses aplikasi OAuth mereka ke alamat email mereka di Google Workspace, Google secara otomatis mengirimkan peringatan keamanan ke kotak masuk tersebut.
Karena Google membuat email tersebut, email tersebut ditandatangani dengan kunci DKIM yang valid dan lolos semua pemeriksaan dan langkah terakhir adalah meneruskan peringatan keamanan tersebut kepada korban.
Kelemahan dalam sistem Google adalah DKIM hanya memeriksa pesan dan header, tanpa amplop. Dengan demikian, email palsu tersebut lolos validasi tanda tangan dan tampak sah di kotak masuk penerima.
Lebih jauh, dengan menyebutkan alamat palsu me@, Gmail akan menampilkan pesan tersebut seolah-olah telah dikirim ke alamat email korban.
EasyDMARC, sebuah perusahaan autentikasi email, juga merinci serangan phising DKIM replay yang dijelaskan Johnson dan memberikan penjelasan teknis untuk setiap langkah. Opsi PayPal disalahgunakan dengan cara yang sama.
|
Baca juga: Taktik Manipulasi Email |
PayPal Disalahgunakan dengan Cara Sama
Trik serupa telah dicoba pada platform lain selain Google. Pada bulan Maret, sebuah kampanye yang menargetkan pengguna PayPal mengandalkan metode yang sama, di mana pesan penipuan berasal dari server email perusahaan keuangan dan lolos pemeriksaan keamanan DKIM.
Pengujian peneliti mengungkapkan bahwa penyerang menggunakan opsi “alamat hadiah” untuk menautkan email baru ke akun PayPal mereka.
Ada dua kolom saat menambahkan alamat baru dan penyerang mengisi salah satunya dengan email dan menempelkan pesan phising ke kolom kedua.
PayPal secara otomatis mengirimkan konfirmasi ke alamat penyerang, yang meneruskannya ke milis yang meneruskannya ke semua calon korban dalam grup. Peneliti keamanan menghubungi PayPal tentang masalah tersebut tetapi tidak pernah mendapat tanggapan.
Johnson juga mengirimkan laporan bug ke Google dan balasan awal perusahaan adalah bahwa prosesnya berjalan sebagaimana mestinya.
Namun, Google kemudian mempertimbangkan kembali masalah tersebut, menyadarinya sebagai risiko bagi penggunanya, dan saat ini sedang berupaya memperbaiki kelemahan OAuth.
Sumber berita:
