Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

Microsoft Memperingatkan Serangan Phishing yang Meluas Menggunakan Open Redirects

by

Microsoft memperingatkan kampanye phishing kredensial yang meluas yang memanfaatkan tautan redirector terbuka dalam komunikasi email sebagai vektor untuk mengelabui pengguna agar mengunjungi situs web berbahaya sambil secara efektif melewati perangkat lunak keamanan.

“Penyerang menggabungkan tautan ini dengan umpan rekayasa sosial yang meniru alat dan layanan produktivitas terkenal untuk memikat pengguna agar mengklik,” kata Microsoft 365 Defender Threat Intelligence Team dalam laporan yang diterbitkan minggu ini.

“Melakukannya mengarah ke serangkaian pengalihan — termasuk halaman verifikasi CAPTCHA yang menambahkan rasa legitimasi dan upaya untuk menghindari beberapa sistem analisis otomatis — sebelum membawa pengguna ke halaman login palsu. Ini pada akhirnya mengarah pada kompromi kredensial, yang membuka pengguna dan organisasi mereka untuk serangan lain.”

Meskipun tautan pengalihan dalam pesan email berfungsi sebagai alat vital untuk membawa penerima ke situs web pihak ketiga atau melacak tingkat klik dan mengukur keberhasilan kampanye penjualan dan pemasaran, teknik yang sama dapat disalahgunakan oleh musuh untuk mengalihkan tautan tersebut ke infrastruktur mereka sendiri, pada saat yang sama menjaga domain tepercaya di URL lengkap tetap utuh untuk menghindari analisis oleh mesin anti-malware, bahkan ketika pengguna mencoba mengarahkan tautan untuk memeriksa tanda-tanda konten yang mencurigakan.

Microsoft mengatakan telah mengamati setidaknya 350 domain phishing unik sebagai bagian dari kampanye — upaya lain untuk mengaburkan deteksi — menggarisbawahi penggunaan efektif kampanye dari umpan rekayasa sosial yang meyakinkan yang dimaksudkan sebagai pesan pemberitahuan dari aplikasi seperti Office 365 dan Zoom, yang dibuat dengan baik teknik penghindaran deteksi yang dibuat dengan baik, dan infrastruktur yang tahan lama untuk melakukan serangan.

Selengkapnya: The Hacker News

Peretas Terlihat Menggunakan Kode Morse dalam Serangan Phishing untuk Menghindari Deteksi

by

Microsoft telah mengungkapkan rincian kampanye rekayasa sosial selama setahun di mana operator terus mengubah mekanisme penyamaran dan enkripsi mereka rata-rata setiap 37 hari, termasuk mengandalkan kode Morse, dalam upaya untuk menutupi jejak mereka dan secara diam-diam mengumpulkan kredensial pengguna.

Serangan phishing berbentuk umpan bertema faktur yang meniru transaksi bisnis terkait keuangan, dengan email yang berisi file HTML (“XLS.HTML”). Tujuan utamanya adalah untuk mengumpulkan nama pengguna dan kata sandi, yang kemudian digunakan sebagai titik masuk awal untuk upaya penyusupan selanjutnya.

Microsoft menyamakan lampiran dengan “teka-teki jigsaw”, mencatat bahwa setiap bagian dari file HTML dirancang untuk tampak tidak berbahaya dan lolos dari perangkat lunak keamanan endpoint, hanya untuk mengungkapkan niat sebenarnya ketika segmen ini didekodekan dan dirakit bersama. Perusahaan tidak mengidentifikasi peretas di balik operasi tersebut.

“Kampanye phishing ini menunjukkan ancaman email modern: canggih, mengelak, dan terus berkembang,” kata Tim Microsoft 365 Defender Threat Intelligence dalam sebuah analisis.

Kampanye ini dikatakan telah mengalami 10 iterasi sejak ditemukan pada Juli 2020, dengan musuh secara berkala mengganti metode pengkodeannya untuk menutupi sifat jahat dari lampiran HTML dan segmen serangan berbeda yang terkandung dalam file.

Microsoft mengatakan telah mendeteksi penggunaan kode Morse dalam serangan gelombang Februari dan Mei 2021, sementara varian kit phishing kemudian ditemukan untuk mengarahkan korban ke halaman Office 365 yang sah alih-alih menampilkan pesan kesalahan palsu setelah kata sandi dimasukkan.

Selengkapnya: The Hacker News

Kampanye phishing pintar menargetkan pengguna Office 365

by

Microsoft memperingatkan tentang kampanye phishing “lebih licik dari biasanya” yang sedang berlangsung yang ditujukan untuk pengguna Office 365.

Para phisher menggunakan berbagai tema sebagai umpan, dan email dikirim dari alamat email dari berbagai domain tingkat atas.

Alamat pengirim mengandung variasi kata “referral” – misalnya zreffertalt.com.com, refferal.net, irefferal.com, dan sejenisnya. Email dibuat agar terlihat seperti mengarah ke dokumen bersama yang disimpan di Microsoft SharePoint, platform kolaboratif berbasis web yang terintegrasi dengan Microsoft Office, dan menyertakan branding Microsoft.

Dokumen palsu itu konon laporan staf, “perubahan buku harga”, berisi informasi tentang bonus, dan sebagainya. Tetapi mengklik tautan akan membawa pengguna ke halaman phishing bertema Office 365.

“Email berisi dua URL yang memiliki header HTTP yang salah. URL phishing utama adalah sumber daya penyimpanan Google yang mengarah ke domain AppSpot yang mengharuskan pengguna untuk masuk sebelum akhirnya menyajikan domain Konten Pengguna Google lainnya dengan halaman phishing Office 365,” kata Microsoft.

“URL kedua terletak di dalam pengaturan notifikasi dan mengarah ke situs SharePoint yang disusupi yang digunakan penyerang untuk menambahkan legitimasi serangan. Kedua URL memerlukan masuk untuk melanjutkan ke halaman terakhir, melewati banyak kotak pasir.”

Selengkapnya: Help Net Security

Serangan phishing WeTransfer baru memalsukan berbagi file untuk mencuri kredensial

by

Menurut laporan dari Armorblox, penjahat dunia maya memalsukan sistem hosting file WeTransfer untuk melakukan serangan phishing kredensial di mana email palsu mengarah ke halaman phishing yang menampilkan branding Microsoft Excel.

Tujuan utama serangan ini adalah untuk mengambil kredensial email Office 365 korban. Perlu dicatat bahwa WeTransfer digunakan untuk berbagi file yang terlalu besar untuk dikirim melalui email.

Email phishing tampaknya dikirim oleh WeTransfer karena menggunakan nama pengirim Wetransfer dan memiliki judul Lihat File yang Dikirim Melalui WeTransfer.

Kesamaannya cukup untuk tampil sebagai email WeTransfer asli dan dapat dengan mudah menipu pengguna yang tidak menaruh curiga. Badan email juga membuat beberapa referensi ke organisasi target agar tampak sah.

Berbagai teknik telah digunakan untuk menghindari filter keamanan email konvensional dan memikat pengguna yang tidak curiga. Ini termasuk rekayasa sosial, karena judul email, konten, dan nama pengirim telah dirancang untuk menciptakan rasa “kepercayaan dan urgensi pada para korban,” tulis Mark Royall dari Armorblox dalam sebuah posting blog.

Teknik lain yang digunakan dalam kampanye ini adalah peniruan identitas brand. Gaya HTML email sangat mirip dengan WeTransfer, dan halaman phishing telah dirancang untuk muncul sebagai halaman login Microsoft Excel yang sah. Satu-satunya hal yang membuatnya tampak mencurigakan adalah Microsoft dieja sebagai MicroSoft.

Selengkapnya: Hackread

Serangan phishing baru ini ‘lebih licik dari biasanya’, Microsoft memperingatkan

by

Tim Intelijen Keamanan Microsoft telah mengeluarkan peringatan kepada pengguna dan admin Office 365 untuk waspada terhadap email phishing “licik” dengan alamat pengirim palsu.

Microsoft mengeluarkan peringatan setelah mengamati kampanye aktif yang menargetkan organisasi Office 365 dengan email yang meyakinkan dan beberapa teknik untuk melewati deteksi phishing, termasuk halaman phishing Office 365, hosting aplikasi web cloud Google, dan situs SharePoint yang disusupi yang mendesak korban untuk mengetikkan kredensial.

Phishing terus menjadi masalah rumit bagi bisnis untuk dibasmi, membutuhkan pelatihan kesadaran phishing yang diperbarui secara berkala dan solusi teknis, seperti otentikasi multi-faktor di semua akun – yang sangat direkomendasikan oleh Microsoft dan CISA.

Grup phishing menggunakan Microsoft SharePoint dalam nama tampilan untuk menarik korban agar mengklik tautan. Email tersebut berpura-pura sebagai permintaan “berbagi file” untuk mengakses “Laporan Staf”, “Bonus”, “Buku Harga”, dan konten lain yang dihosting di spreadsheet Excel yang seharusnya.

Sementara logo Microsoft yang meyakinkan berserakan di seluruh email, URL phishing utama bergantung pada sumber daya penyimpanan Google yang mengarahkan korban ke domain Google App Engine AppSpot – tempat untuk meng-host aplikasi web.

URL kedua disematkan dalam pengaturan pemberitahuan yang menautkan korban ke situs SharePoint yang disusupi. Kedua URL memerlukan masuk untuk membuka halaman terakhir, memungkinkan serangan melewati sandbox.

Selengkapnya: ZDNet

Kaspersky menyebut aplikasi messenger favorit scammers

by

Woburn, MA – 12 Juli 2021 – Kaspersky merilis temuan penelitian yang mengidentifikasi aplikasi messenger yang paling populer di kalangan scammer phishing. Data anonim, yang disediakan secara sukarela oleh Kaspersky Internet Security untuk pengguna Android, mengungkapkan bahwa bagian terbesar dari tautan berbahaya yang terdeteksi antara Desember 2020 dan Mei 2021 dikirim melalui WhatsApp (89,6%), diikuti oleh Telegram (5,6%). Viber berada di tempat ketiga dengan pangsa 4,7% dan Hangouts kurang dari satu persen. Negara yang paling banyak mengalami serangan phishing adalah Rusia (46%), Brazil (15%) dan India (7%). Secara global, 480 deteksi dicatat per hari.

Menurut penelitian, aplikasi messenger melampaui jaringan sosial sebesar 20% pada tahun 2020, dalam hal popularitas di kalangan pengguna, menjadi alat komunikasi paling populer. Hasil survei juga menunjukkan bahwa pada tahun 2020, audiens global untuk messenger berjumlah 2,7 miliar orang. Pada tahun 2023, diperkirakan akan tumbuh menjadi 3,1 miliar. Itu hampir 40% dari populasi dunia.

Kaspersky Internet Security for Android telah menambahkan fitur baru, Safe Messaging, yang mencegah pengguna membuka tautan berbahaya yang mereka terima di aplikasi messenger, termasuk WhatsApp, Viber, Telegram, Hangouts, dan melalui SMS. Kaspersky menggunakan fitur tersebut untuk menganalisis klik anonim pada tautan phishing di seluruh aplikasi messenger, mencatat 91.242 deteksi secara global antara Desember 2020 dan Mei 2021.

Menurut hasil, Kaspersky Internet Security untuk Android mendeteksi jumlah tautan berbahaya terbesar di WhatsApp, sebagian karena fakta bahwa itu adalah messenger paling populer secara global. Bagian terbesar dari pesan tersebut terdeteksi di Rusia (42%), Brasil (17%) dan India (7%).

Di antara Kaspersky Internet Security untuk pengguna Android, Telegram memiliki deteksi paling sedikit, tetapi secara geografi mirip dengan WhatsApp. Jumlah tertinggi tautan berbahaya terdeteksi di Rusia (56%), India (6%) dan Turki (4%). Angka yang tinggi di Rusia mungkin karena meningkatnya tingkat popularitas utusan ini di negara itu.

selengkapnya : usa.kaspersky.com

Mengapa Phishing Masih Merupakan Teknik Peretasan Yang Paling Sukses?

by

Sebagian besar dari kita tidak akan mengklik email yang mengklaim bahwa kita adalah pemenang lotere saat ini. Namun, serangan phishing berkembang dan tetap menjadi serangan siber paling berbahaya bagi individu atau perusahaan sejak serangan phishing pertama pada tahun 1995.

Menurut laporan oleh perusahaan keamanan email Valimail, lebih dari tiga miliar pesan spoofing dikirim setiap hari, hampir 1% dari semua lalu lintas email. Dan ini menimbulkan kerugian yang cukup besar bagi masyarakat kita.

Pada tahun 2021, kerusakan kejahatan dunia maya global akan meningkat dari $ 3 triliun pada tahun 2015 menjadi $ 6 triliun setiap tahun, menurut perkiraan dari Official Annual Cybercrime Report 2020 oleh Cybersecurity Ventures.

Apa yang membuat serangan ini begitu sukses?

1# Manusia adalah Celah Terlemah dalam Keamanan Siber

Rekayasa sosial memanfaatkan elemen psikologis kita untuk membangun akses ke informasi atau keuntungan finansial dari kita. Email phishing adalah salah satu jenis cara paling umum yang digunakan peretas untuk mencoba mendapatkan informasi atau keuntungan finansial dari individu.

Tidak ada Signature untuk diperbarui atau firewall yang akan dipasang. Dengan demikian, peretas mengeksploitasi kerentanan psikologis yang belum ditambal, dan cara termudah untuk melakukannya adalah dengan phishing.

2# Work From Home + BYOD (Bring Your Own Device)

Bekerja dari rumah yang berarti bahwa karyawan lebih santai dan mungkin sering menggunakan perangkat mereka sendiri untuk bekerja (yaitu, BYOD), yang berarti bahwa, jika penjahat dunia maya menyusupi perangkat karyawan, mereka dapat memperoleh akses tidak hanya ke data yang ada di dalam perangkat, tetapi juga akses ke jaringan perusahaan.

3# Mudah untuk Memulai

Ketersediaan kit phishing online dan munculnya ransomware-as-a-service (RaaS) menurunkan peringkat untuk memulai. Hal ini mengakibatkan ledakan ransomware dan eksploitasi lainnya yang berasal dari rawa penjahat dunia maya amatir yang terus berkembang.

Selengkapnya: Technology Hits on Medium

Phishing Microsoft Office 365 menghindari deteksi dengan potongan HTML Lego

by

Kampanye phishing baru-baru ini menggunakan trik cerdas untuk mengirimkan halaman web penipuan yang mengumpulkan kredensial Microsoft Office 365 dengan membangunnya dari potongan kode HTML yang disimpan secara lokal dan jarak jauh.

Metode ini terdiri dari menempelkan beberapa bagian HTML yang disembunyikan dalam file JavaScript untuk mendapatkan antarmuka login palsu dan meminta calon korban untuk mengetikkan informasi sensitif.

Para korban menerima email dengan hanya lampiran yang mengaku sebagai file Excel (.XLSX) tentang investasi. Pada kenyataannya, file tersebut adalah dokumen HTML dengan potongan teks yang dienkode URL.

Para peneliti di Trustwave menerjemahkan teks tersebut dan menemukan lebih banyak decoding di depan karena teks tersebut selanjutnya dikaburkan melalui kode Entity. Dengan menggunakan CyberChef GCHQ, mereka mengungkapkan tautan ke dua file JavaScript yang dihosting di “yourjavascript.com”, sebuah domain yang digunakan untuk kampanye phishing lainnya.

Masing-masing dari dua file JavaScript memiliki dua blok teks yang disandikan yang menyembunyikan kode HTML, URL dan Base64 yang dikodekan.

Di salah satunya, peneliti menemukan halaman awal dan kode phishing yang memvalidasi email dan password dari korban.

Secara keseluruhan, para peneliti menerjemahkan lebih dari 367 baris kode HTML yang tersebar dalam lima bagian di antara dua file JavaScript dan satu lampiran email, yang, ditumpuk bersama, membangun halaman phishing Microsoft Office 365.

Sumber: Bleeping Computer

Trustwave mengatakan bahwa hal yang tidak biasa tentang kampanye ini adalah bahwa JavaScript diunduh dalam potongan yang dikaburkan dari lokasi yang jauh dan kemudian disatukan secara lokal.

Dalam posting blog nya, Trustwave mencatat bahwa URL yang menerima kredensial yang dicuri untuk kampanye ini masih aktif.

Bleeping Computer