Credit image: Freepix
XSS Ancaman Tersembunyi di Webmail – Sednit adalah kelompok yang terkait dengan Rusia yang melakukan operasi spionase dengan menargetkan server webmail bernilai tinggi menggunakan serangan Cross-Site Scripting (XSS).
Serangan ini memanfaatkan kelemahan dalam kode layanan webmail. Ini memungkinkan penjahat siber untuk menyuntikkan skrip berbahaya mereka sendiri ke situs webmail yang berhasil dibobol.
Pembobolan semacam itu biasanya memungkinkan penyerang untuk mencuri pesan email korban dan informasi sensitif lainnya. Akses ini juga dapat disalahgunakan lebih lanjut untuk mengembangkan serangan siber bertahap seperti Business Email Compromise (BEC) (penipuan email bisnis) atau spear-phishing (email penipuan yang sangat ditargetkan).
Serangan XSS cukup populer di kalangan penjahat siber. Mereka terus-menerus berhasil menemukan kerentanan baru, sementara bisnis yang menggunakan server webmail seringkali gagal menambal bahkan kerentanan yang sudah diketahui.
Menurut laporan Forrester 2024, 22% pengambil keputusan keamanan yang melaporkan pembobolan melalui serangan eksternal mengidentifikasi eksploitasi aplikasi web sebagai titik masuk. Ini termasuk kelemahan keamanan umum seperti Cross-Site Scripting (XSS) dan SQL Injection (SQLi).
|
Baca juga: Lebih dari 84.000 Server Email Roundcube Berisiko Diserang |
Operasi RoundPress: Studi Kasus Serangan Sednit
Pada tahun 2023, sebelum dimulainya operasi Sednit saat ini, Operation RoundPress, mereka memulai operasi yang disebut Roundcube. Selama tahun berikutnya, kampanye ini meluas ke perangkat lunak webmail populer lainnya, termasuk Horde, MDaemon, dan Zimbra.
Sebagian besar korbannya adalah entitas pemerintah dan perusahaan pertahanan di Eropa Timur, tetapi pemerintah di Afrika, Eropa, dan Amerika Selatan juga menjadi sasaran.
Secara umum, serangan yang diamati dimulai dengan email spear-phishing yang berisi berita tentang peristiwa penting yang biasanya terkait dengan Ukraina.
Kode berbahaya yang memicu kerentanan XSS ada di dalam kode HTML badan pesan email dan tidak langsung terlihat oleh pengguna. Untuk menyuntikkan kode JavaScript berbahaya ke halaman webmail korban, pengguna hanya perlu membuka email tersebut. Tidak lebih dari itu.
Penyerang sebagian besar mengeksploitasi kerentanan yang sudah diketahui yang ditemukan pada tahun 2023 dan 2024. Dalam kasus MDaemon, Sednit bahkan menggunakan kerentanan zero-day (kerentanan yang belum diketahui sebelumnya) yang belum pernah terdeteksi.
Tergantung pada layanan webmail dan kerentanan yang disalahgunakan, Operasi RoundPress mampu melakukan beberapa tindakan berbahaya berikut:
- Pencurian kredensial (nama pengguna dan kata sandi)
- Pencurian kontak, pengaturan, dan riwayat login
- Pencurian pesan email
- Pencurian rahasia otentikasi dua faktor (2FA)
Pembuatan kata sandi aplikasi, yang memungkinkan penyerang mengakses kotak surat dari aplikasi email dan mengirim serta menerima pesan, tanpa harus memasukkan kode 2FA, bahkan jika 2FA diaktifkan.
|
Baca juga: Operasi Siber RoundPress Curi Email Pemerintah di Seluruh Dunia |
Kabar Baik
Setelah membaca tentang kemampuan penyerang mengakses email bisnis yang sensitif, pernyataan berikutnya mungkin terdengar mengejutkan, tapi ada beberapa kabar baik yang berasal dari operasi ini:
- Meskipun kerentanan dalam layanan webmail adalah masalah, begitu ditemukan, pengembang biasanya dapat menambalnya dengan cepat. Misalnya, perbaikan untuk kerentanan zero-day MDaemon dirilis dalam dua minggu, setelah ESET memberi tahu MDaemon.
- Kedua, kabar baiknya cukup jelas: Bisnis dapat menghindari banyak serangan ini hanya dengan memperbarui server webmail mereka. Ketika layanan webmail Anda merilis patch (perbaikan), terapkan sesegera mungkin.
- Ketiga, untuk melancarkan serangan, pengguna yang ditargetkan harus dibujuk untuk membuka email tertentu di portal webmail yang rentan. Dengan RoundPress, email menggunakan judul berita yang meyakinkan.
- Pelatihan keamanan siber yang menyeluruh harus mendidik karyawan tentang cara mengenali dan menghindari email phishing. Lagipula, mengapa karyawan harus membaca berita yang muncul secara acak di email kantor mereka.
- Keempat, jika bisnis gagal menerapkan semua langkah pencegahan ini, mereka masih dapat menemukan perlindungan melalui solusi keamanan siber yang andal. Faktanya, ESET melindungi kliennya dari operasi RoundPress pada berbagai tahap. Misalnya, firewall ESET memblokir pencurian data, dan perlindungan endpoint ESET memblokir skrip JavaScript berbahaya.
Pencegahan dengan ESET
Memahami cara kerja serangan webmail ini, jelas bahwa pencegahan adalah pilihan terbaik bagi bisnis untuk menghindari pembobolan dan gangguan terkait. Ini tidak selalu mudah, terutama bagi bisnis kecil dan menengah yang kekurangan sumber daya finansial dan profesional untuk menjaga setiap langkah keamanan tetap ketat.
Itulah mengapa ESET telah menyiapkan solusi komprehensif, ESET PROTECT, berdasarkan perlindungan berlapis dan pendekatan yang mengutamakan pencegahan. Ini memberikan perlindungan tangguh terhadap malware dan berbagai jenis ancaman siber, termasuk yang terlihat dalam serangan XSS email phishing, zero-day, dan skrip berbahaya.
Terlebih lagi, ESET PROTECT mudah ditingkatkan skalanya dan dioperasikan dari platform keamanan siber terpadu kami, ESET PROTECT Platform. Ini membantu bisnis menyesuaikan dan mengelola fitur keamanan siber ESET sesuai dengan ukuran dan kebutuhan mereka tanpa membebani administrator IT.
Lebih lanjut fokus pada pencegahan, ESET juga telah mengembangkan Pelatihan Kesadaran Keamanan Siber untuk karyawan guna meningkatkan kesadaran mereka terhadap ancaman siber umum terkait manusia, termasuk spear-phishing.
Sumber berita:
