Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Phishing

Phishing

Microsoft sekarang menjadi brand yang paling banyak ditiru dalam serangan phishing

by

Sebuah posting blog hari Senin dari penyedia intelijen ancaman cyber, Check Point Research menemukan bahwa Microsoft adalah brand yang paling sering dipalsukan dalam upaya phishing selama kuartal ketiga.

Sekitar 19% dari semua upaya phishing brand di seluruh dunia mencoba menipu raksasa perangkat lunak tersebut pada kuartal ketiga, naik dari hanya 7% pada kuartal sebelumnya. Check Point mengaitkan kenaikan peringkat Microsoft dengan iklim kerja jarak jauh yang sedang berlangsung yang diharuskan karena COVID-19.

Sebagai satu contoh, Check Point menemukan kampanye email phishing berbahaya pada pertengahan Agustus di mana para penyerang mencoba untuk mendapatkan kredensial akun Microsoft. Strateginya adalah meyakinkan penerima untuk mengklik link berbahaya di email yang kemudian akan mengarahkan mereka ke halaman login Microsoft palsu.

Di belakang Microsoft, DHL adalah brand kedua yang paling banyak ditiru pada kuartal terakhir, muncul dalam 9% serangan phishing yang dilihat oleh Check Point. Google berada di posisi ketiga, diikuti oleh PayPal dan Netflix. Di urutan 10 teratas adalah Facebook, Apple, WhatsApp, Amazon, dan Instagram.

Untuk melindungi Anda dan organisasi Anda dari serangan Phishing, lakukan beberapa langkah di bawah ini;

  • Perhatikan pengirim dan link pada email sebelum membuka nya
  • Tidak mengunduh lampiran, apalagi dengan ekstensi yang mencurigakan
  • Melakukan pembaruan perangkat lunak secara reguler
  • Perhatikan indikator-indikator mencurigakan lainnya, seperti salam yang umum pada email/pesan teks
  • Laporkan kepada IT staff Anda ketika Anda menemukan hal mencurigakan, agar dapat ditindaklanjuti

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Republic

Keamanan email di tempat kerja dalam lima langkah

by

David Mitchell, Direktur Senior Manajemen Produk Email di Sophos, membagikan kiat utamanya untuk mengoptimalkan keamanan email di tempat kerja.

Data terbaru dari SophosLabs menunjukkan bahwa pada September 2020, 97% spam berbahaya yang ditangkap oleh perangkap spam mereka adalah email phishing, untuk mencari kredensial atau informasi lainnya.

Phishing tetap menjadi taktik yang sangat efektif bagi penyerang, terlepas dari tujuan akhirnya.

Contoh yang bagus adalah munculnya Business Email Compromise (BEC). Tidak lagi terbatas pada pesan yang dieja atau diformat dengan buruk yang berpura-pura datang dari CEO dan menuntut transfer dana yang signifikan secara langsung dan rahasia, iterasi terbaru lebih halus dan lebih cerdas.

Lima langkah untuk mengamankan email organisasi Anda

Berikut adalah lima langkah penting untuk mengamankan email organisasi Anda.

Langkah 1: Instal solusi keamanan multi-kemampuan yang cerdas yang akan menyaring, mendeteksi, dan memblokir sebagian besar hal buruk sebelum mencapai Anda
Untuk mempertahankan jaringan, data, dan karyawan Anda dari serangan berbasis email yang berkembang pesat, Anda harus mulai dengan perangkat lunak keamanan yang efektif. Agar solusi keamanan Anda berfungsi dengan baik, Anda juga perlu menyetel kontrol yang sesuai untuk email masuk dan keluar.

Langkah 2: Terapkan langkah-langkah canggih untuk autentikasi email
Solusi keamanan email Anda harus dapat memeriksa setiap email masuk terhadap aturan autentikasi yang ditetapkan oleh domain asal email tersebut. Cara terbaik untuk melakukannya adalah dengan menerapkan satu atau lebih standar yang diakui untuk autentikasi email.

Standar industri utama adalah:

  • Sender Policy Framework (SPF)
  • DomainKeys Identified Mail (DKIM)
  • Domain Message Authentication Reporting and Conformance(DMARC)

Langkah 3: Didik karyawan tentang apa yang harus diwaspadai
Memberi tahu karyawan yang mengetahui tanda peringatan dari email yang mencurigakan adalah garis pertahanan yang luar biasa.
Anda dapat menerapkan pelatihan online formal, membagikan contoh ancaman terbaru, menjalankan pengujian, dan menunjukkan kepada mereka beberapa pemeriksaan standar.

Langkah 4: Didik karyawan tentang apa yang harus dilakukan ketika mereka menemukan sesuatu
Anda perlu memudahkan rekan kerja untuk melaporkan hal-hal yang tidak mereka yakini. Ini berarti memberi mereka proses sederhana, seperti kotak surat intranet untuk melaporkan pesan yang mencurigakan.

Langkah 5: Jangan lupa tentang email keluar
Email yang dikirim dari organisasi Anda akan dinilai sendiri oleh penerima berdasarkan metode autentikasi yang tercantum di atas. Anda perlu memastikan bahwa Anda memiliki kontrol yang kuat terhadap nama domain Anda sendiri. Anda mungkin juga ingin mempertimbangkan apa lagi yang perlu Anda pantau dan kendalikan terkait email keluar.

Apakah Anda memindai aktivitas yang tidak wajar atau pola perilaku yang tidak biasa yang dapat mengindikasikan akun email internal yang disusupi atau serangan cyber aktif, misalnya?

Ancaman email berkembang sepanjang waktu saat penyerang memanfaatkan teknologi baru, lingkungan baru, atau sekadar mengasah taktik manipulasi psikologis mereka. Tinjau keamanan email Anda secara teratur dan pastikan keamanannya mengikuti perubahan dalam organisasi dan teknik penyerang.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Naked Security

Phishing menggunakan OAuth meningkat dengan Serangan Microsoft Office 365

by

APT yang dikenal sebagai TA2552 telah terlihat menggunakan OAuth2 atau metode otorisasi berbasis token lainnya untuk mengakses akun Office 365, dengan tujuan mencuri kontak dan email pengguna.

OAuth adalah standar terbuka untuk delegasi akses, biasanya digunakan sebagai cara bagi orang untuk masuk ke layanan tanpa memasukkan sandi – menggunakan status masuk di layanan atau situs web tepercaya lainnya. Contohnya seperti “Sign in with Google” atau “Sign in with Facebook”.

Menurut peneliti dari Proofpoint, target menerima umpan yang dibuat dengan baik yang meminta mereka untuk mengklik tautan yang membawa mereka ke halaman persetujuan aplikasi pihak ketiga Microsoft yang sah.

Di sana, mereka diminta untuk memberikan izin hanya-baca ke aplikasi pihak ketiga (berbahaya) yang menyamar sebagai aplikasi organisasi nyata.

Aplikasi berbahaya meminta akses hanya baca ke kontak, profil, dan email pengguna – semuanya dapat digunakan untuk mengintip akun, diam-diam mencuri data, atau bahkan mencegat pesan reset password dari akun lain, seperti perbankan online.

Peneliti Proofpoint menambahkan bahwa pengguna harus mengetahui izin yang diminta ini, dan semua aplikasi pihak ketiga lainnya.

Jika persetujuan diberikan, aplikasi pihak ketiga akan diizinkan untuk mengakses akun Office 365 yang saat ini diautentikasi. Jika persetujuan ditolak, browser akan dialihkan ke halaman yang dikendalikan penyerang, memberikan aktor kesempatan untuk mencoba lagi dengan taktik yang berbeda.

Proofpoint menambahkan bahwa meskipun pesan bertema pajak dan pemerintah Meksiko adalah target spoofing normal untuk kampanye tersebut, peneliti juga mengamati iming-iming dan aplikasi yang meniru Netflix Mexico dan Amazon Prime Mexico.

Pengguna dapat melindungi diri mereka dengan memastikan bahwa aplikasi apa pun yang mereka masuki benar-benar sah. Mereka juga dapat menerapkan strategi kesadaran phishing dasar, seperti mencari ejaan dan tata bahasa yang buruk pada email. Selain itu, nama aplikasi dan URL domain dapat memberikan tanda bahaya.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: The Threat Post

Kampanye worm phishing ini mengubah permainan dalam pencurian kata sandi dan pengambilalihan akun

by

Pada tanggal 29 September, arsitek keamanan siber dan pemburu bug bounty Craig Hays menguraikan upaya phishing baru-baru ini yang jauh melampaui taktik spray-dan-pray biasa dan upaya dasar untuk menyusupi jaringan, untuk menjadi “pencuri sandi terbesar yang pernah dilihatnya”.

“Kami dapat melihat bahwa semua akun sedang diakses dari lokasi asing di seluruh dunia dan mengirimkan sejumlah besar email,” kata Hays. “Untuk begitu banyak akun yang terkena serangan sekaligus, itu adalah serangan phishing yang benar-benar efektif, atau seseorang telah menunggu waktu mereka setelah mencuri kredensial dalam waktu yang lama.”

“Email phishing dikirim sebagai balasan ke email asli,” jelas peneliti. “Email dipertukarkan antar karyawan dan pemasok kami, pelanggan kami, dan bahkan secara internal antar rekan kerja.”

Beginilah cara kerjanya: setelah satu akun email disusupi, kredensial untuk akun tersebut dikirim ke bot jarak jauh. Bot kemudian akan masuk ke akun dan menganalisis email yang dikirim dalam beberapa hari terakhir.

“Untuk setiap rantai email unik yang ditemukan, mereka membalas email terbaru dengan link ke halaman phishing untuk mendapatkan kredensial,” kata Hays. “Kata-katanya cukup umum untuk menyusaikan hampir semua skenario dan tautan ke ‘dokumen’ tidak terlihat aneh.”

Dikirim sebagai balasan ke semua, menggunakan akun email yang sah, dan mengingat riwayat percakapan, sulit untuk mencoba membedakan bot dan pemilik akun asli.

Teknik tersebut, yang menghasilkan pengambilalihan masal seperti worm, membuat Hays “kagum” dengan “jumlah akun fenomenal [yang] disusupi dalam beberapa jam.”

Email phishing juga dikirim ke orang lain di luar organisasi.

Otentikasi multi-faktor lalu dengan cepat diimplementasikan untuk akun email yang tidak mengaktifkan lapisan keamanan tambahan.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Prancis, Jepang, Selandia Baru memperingatkan lonjakan dalam serangan Emotet

by

Agen keamanan siber dari Prancis, Jepang, dan Selandia Baru telah menerbitkan peringatan keamanan selama seminggu terakhir yang memperingatkan tentang peningkatan besar dalam serangan malware Emotet yang menargetkan masing-masing negara.

Aktivitas Emotet yang dijelaskan dalam peringatan mengacu pada kampanye spam email yang berasal dari infrastruktur Emotet dan perusahaan yang ditargetkan serta lembaga pemerintah di tiga negara.

Joseph Roosen, anggota Cryptolaemus, kelompok peneliti keamanan yang melacak kampanye malware Emotet, mengatakan kepada ZDNet bahwa botnet Emotet sangat aktif dalam beberapa pekan terakhir, dan terutama aktif di tiga negara.

Menurut ketiga peringatan tersebut, serangannya tampak sama.

Operator emotet menggunakan trik lama mereka untuk menginfeksi satu korban dan kemudian mencuri utas email lama. Grup kemudian akan menghidupkan kembali percakapan lama ini, menambahkan file berbahaya sebagai lampiran, dan menargetkan pengguna baru dengan percakapan yang terlihat sah.

Pengguna di percakapan, atau yang ditambahkan, akan sering membuka lampiran file berbahaya yang ditambahkan ke utas email karena penasaran dan terinfeksi.

Tim analis Naga Cyber Defense sendiri telah berhasil mendeteksi adanya malware Emotet di Indonesia. Kami sangat menyarankan untuk cek alamat email pengirim dahulu sebelum membuka dan mengunduh sebuah lampiran pada email.

 
Source: ZDNet

Peretasan Twitter Diawali Dengan Serangan Spear Phishing Melalui Telepon

by

Twitter telah memberikan update terbaru mengenai pelanggaran keamanan yang terjadi dua minggu lalu pada akun beberapa Twitter bercentang biru yang diretas oleh penipu bitcoin.

Menurut perusahaan itu, sejumlah kecil karyawannya menjadi sasaran dalam “serangan spear phishing telepon”. Serangan tersebut membuat para karyawan Twitter mengira bahwa mereka telah berkomunikasi dengan teman kerjanya sendiri, yang sebenarnya adalah seorang peretas. Peretas mengarahkan mereka untuk mengungkapkan kredensial yang dibutuhkan untuk mengakses tool support akun internal.

Serangan pada 15 Juli 2020, menargetkan sejumlah kecil karyawan melalui serangan spear phishing telepon. Serangan ini bergantung pada upaya yang signifikan dan terpadu untuk menyesatkan karyawan tertentu dan mengeksploitasi kerentanan manusia untuk mendapatkan akses ke sistem internal kami.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: MacRumors

Email Phishing Bertema Faktur Menyebar dari Tautan Yang Tepercaya

by

Sebuah kampanye phishing yang memanen kredensial pengguna melalui situs web file sharing legit telah ditemukan oleh Cofense Phishing Defense Center (PDC).

Kampanye phishing tersebut ditemukan di lingkungan yang dilindungi oleh Proofpoint’s Secure Email Gateway (SEG).

Serangan spear phishing mengirimkan tautan yang meminta pengguna untuk mengakses formulir pesanan pembelian dengan ekstensi (.pdf). Setelah diklik, serangan itu secara otomatis mengarahkan pengguna ke browser web default mereka, meminta untuk mengklik tombol “Unduh”.

Setelah unduhan selesai, pengguna diminta untuk membuka tautan (.html) dengan asumsi formulir “pesanan pembelian” akan muncul, namun setelah diklik, pengguna diarahkan ke halaman login “Microsoft” palsu yang dibuat dengan free website builder legit “Weebly.com”.

Setelah kredensial diberikan, pengguna diarahkan ke halaman web ‘office[.]com’, yang bahkan bisa cukup untuk meyakinkan pengguna bahwa itu adalah prosedur asli.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Cofense

Kampanye Phishing Bertemakan Office 365 Mengeksploitasi Server Samsung, Adobe dan Oxford Untuk Mengelabui Software Keamanan

by

Satu kampanye khusus yang dianalisis oleh penyedia intelijen ancaman siber, Check Point Research, mengarahkan korbannya melalui serangkaian situs web yang sah dalam upaya mencuri kredensial Microsoft mereka.

Dalam sebuah blog yang diterbitkan pada hari Kamis lalu (6/18), Check Point menggambarkan metode di mana penyerang mengeksploitasi salah satu server mail Universitas Oxford untuk mengirim email awal, menyalahgunakan alat pengalihan Adobe Campaign, dan kemudian menggunakan domain Samsung untuk membawa pengguna ke situs web phishing bertema Microsoft Office 365. Tujuannya adalah untuk mengambil keuntungan dari situs dan layanan yang sah dalam upaya menghindari deteksi software keamanan. Pertama kali terlihat pada bulan April, 43% dari serangan itu menargetkan perusahaan-perusahaan Eropa, sedangkan sisanya ditemukan di Asia dan Timur Tengah.

Sebagian besar email yang diamati berasal dari beberapa alamat yang dimiliki oleh subdomain yang sah dari berbagai departemen di Universitas Oxford. Dengan menggunakan server SMTP Oxford, para penyerang dapat menyelinap melewati pemeriksaan reputasi untuk domain pengirim. Mereka juga dapat menghasilkan alamat email sebanyak yang mereka butuhkan.

Email yang dikirim sendiri mengklaim menawarkan pesan suara yang tidak terjawab terkait dengan akun Office 365 penerima dengan referensi ke Office 365 & Microsoft dan bahkan pemberitahuan “Pesan dari server Tepercaya” palsu di bagian atas. Email tersebut meminta penerima untuk mengklik tombol untuk mendengarkan atau mengunduh pesan suara yang terlewat. Mengklik tombol itu kemudian akan membawa korban yang tidak menaruh curiga ke halaman phishing yang meminta mereka untuk masuk dengan akun Microsoft mereka.

Microsoft 365 Phishing Email
Gambar: Check Point Research

Namun, di balik layar, perjalanan antara email dan halaman phishing melewati beberapa langkah. Pertama, korban diarahkan ke server Adobe Campaign. Dalam hal ini, tautan dalam email mengarahkan korban ke server Adobe yang digunakan oleh Samsung selama kampanye pemasaran Cyber Monday 2018. Dengan mengambil keuntungan dari format tautan Adobe Campaign dan domain Samsung yang sah, para penyerang berusaha menghindari deteksi dari software keamanan berdasarkan reputasi, daftar hitam, dan pola URL.

Selanjutnya, para penyerang mengarahkan korban ke salah satu dari beberapa situs WordPress yang dikompromikan yang mengandung kode redirect berbahaya. Menambahkan lapisan ini adalah cara lain untuk menghindari produk keamanan karena URL di dalam email menunjuk ke situs WordPress yang tampaknya sah daripada halaman phishing yang meragukan. Dibuat menggunakan JavaScript, halaman ini terlihat seperti halaman login Microsoft yang sah yang meminta nama pengguna dan kata sandi korban.

office-365-phishing-landing-page-check-point-research
Gambar: Check Point Research

Untuk menghindari peringatan keamanan atau blok, para menggunakan trik yang pintar. Mereka menggunakan server email Oxford untuk mengirim email awal membantu mereka melewati filter reputasi. Tautan dalam email menunjuk ke domain yang sah yang dimiliki oleh Samsung. Dan serangkaian pengalihan menghasilkan halaman phishing yang disembunyikan.

office-365-phishing-redirects-check-point-research
Gambar: Check Point Research

Untuk berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: Tech Republic | Check Point Research