Skema Phising Kredensial

Peneliti keamanan siber menyoroti jenis baru skema phising kredensial atau dikenal juga sebagai spear phising tingkat lanjut yang memastikan bahwa informasi yang dicuri dikaitkan dengan akun daring yang valid.

Teknik ini diberi nama sandi phising validasi presisi, yang katanya menggunakan validasi email waktu nyata sehingga hanya sekumpulan target bernilai tinggi terpilih yang akan menerima layar login palsu.

Taktik ini tidak hanya memberi pelaku ancaman tingkat keberhasilan yang lebih tinggi dalam memperoleh kredensial yang dapat digunakan karena mereka hanya terlibat dengan daftar akun email valid tertentu yang telah dipanen sebelumnya.

Baca juga: Program Pelatihan Anti Phising

Tidak seperti operasi pengumpulan kredensial “spray-and-pray” yang biasanya melibatkan distribusi massal email spam untuk memperoleh informasi login korban secara sembarangan.

Taktik serangan terbaru ini membawa spear-phising ke tingkat berikutnya dengan hanya terlibat dengan alamat email yang telah diverifikasi oleh penyerang sebagai aktif, sah, dan bernilai tinggi. Keamanan siber

Dalam skenario ini, alamat email yang dimasukkan korban di halaman arahan phising divalidasi terhadap basis data penyerang, setelah itu halaman login palsu ditampilkan.

Jika alamat email tidak ada dalam basis data, halaman tersebut akan menampilkan kesalahan atau pengguna akan diarahkan ke halaman yang tidak berbahaya seperti Wikipedia untuk menghindari analisis keamanan.

Pemeriksaan dilakukan dengan mengintegrasikan layanan validasi berbasis API atau JavaScript ke dalam kit phising yang mengonfirmasi alamat email sebelum melanjutkan ke langkah penangkapan kata sandi.

Ini meningkatkan efisiensi serangan dan kemungkinan kredensial yang dicuri adalah milik akun asli yang digunakan secara aktif, sehingga meningkatkan kualitas data yang dikumpulkan untuk dijual kembali atau dieksploitasi lebih lanjut.

Perayap keamanan otomatis dan lingkungan sandbox juga kesulitan menganalisis serangan ini karena tidak dapat melewati filter validasi.

Pendekatan yang ditargetkan ini mengurangi risiko penyerang dan memperpanjang masa pakai operasi phising.

Serangan Bercabang Dua

Skema Phising Kredensial

Dalam penelitian lebih lanjut, terungkap detail operasi phising email yang menggunakan pengingat penghapusan file sebagai umpan untuk mengambil kredensial sekaligus mengirimkan malware.

Serangan bercabang dua ini memanfaatkan URL tertanam yang tampaknya mengarah ke file PDF yang dijadwalkan untuk dihapus dari layanan penyimpanan file sah yang disebut files.fm.

Jika penerima pesan mengeklik tautan tersebut, mereka akan diarahkan ke tautan files.fm yang sah tempat mereka dapat mengunduh file PDF yang dimaksud.

Namun, saat PDF dibuka, pengguna diberikan dua opsi untuk melihat pratinjau atau mengunduh file. Pengguna yang memilih yang pertama akan diarahkan ke layar login Microsoft palsu yang dirancang untuk mencuri kredensial mereka.

Saat opsi unduhan dipilih, ia akan menjatuhkan file yang dapat dieksekusi yang mengklaim sebagai Microsoft OneDrive.

Tetapi, pada kenyataannya, adalah perangkat lunak desktop jarak jauh ScreenConnect dari ConnectWise.

Hampir seolah-olah pelaku ancaman sengaja merancang serangan untuk menjebak pengguna, memaksa mereka untuk memilih ‘racun’ mana yang akan mereka terima.

Kedua opsi tersebut mengarah pada hasil yang sama, dengan tujuan yang serupa tetapi pendekatan yang berbeda untuk mencapainya.

Baca juga: Evolusi Serangan Phising