Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Phishing

Phishing

Platform blogging Telegram disalahgunakan dalam serangan phishing

by

Platform blogging anonim Telegram, Telegraph, secara aktif dieksploitasi oleh pelaku phishing yang memanfaatkan kebijakan lemah platform untuk menyiapkan halaman arahan sementara yang mengarah pada pencurian kredensial akun.

Telegraph adalah platform blogging yang memungkinkan siapa pun mempublikasikan apa pun tanpa membuat akun atau memberikan detail identifikasi apa pun.

Postingan Telegraph yang diterbitkan menghasilkan tautan yang dapat didistribusikan oleh pelaku ancaman dengan cara apa pun yang mereka pilih, tetapi tidak ada lokasi pusat untuk mempromosikan postingan ini ke komunitas. Oleh karena itu, Telegraph cepat, sederhana, dan anonim.

Selain itu, karena editor Telegraph mendukung penambahan gambar, tautan, dan menawarkan opsi pemformatan teks, seseorang dapat membuat posting blog tampak seperti halaman web, termasuk formulir login.

Menurut laporan INKY pelaku phishing menggunakan Telegraph secara ekstensif untuk membuat situs phishing yang terlihat seperti halaman arahan situs web atau portal masuk.

Data INKY dari akhir 2019 hingga Mei 2022 menunjukkan bahwa penyertaan tautan Telegraph dalam email phishing telah mengalami peningkatan yang tajam baru-baru ini, karena lebih dari 90% dari semua deteksi terjadi tahun ini.

Tingkat pengiriman email phishing sangat baik karena tautan ini dihosting di Telegraph, platform yang tidak ditandai sebagai berbahaya atau mencurigakan oleh solusi keamanan email apa pun.

Dalam banyak kasus, INKY memperhatikan bahwa email phishing berasal dari akun email yang dibajak, sehingga daftar blokir pada alamat scam yang diketahui akan dilewati.

Dalam sebagian besar kasus yang tercatat, tujuan pelaku phishing adalah melakukan penipuan cryptocurrency atau memanen kredensial akun target mereka.

Kasus-kasus yang dilihat oleh INKY sangat bervariasi, menunjukkan bahwa penyalahgunaan Telegraph berasal dari beberapa kelompok/pelaku, bukan kelompok ancaman tertentu.

Salah satu contohnya adalah pemberitahuan OneDrive yang mengarah ke halaman masuk Microsoft yang tampak realistis di mana korban diminta untuk memasukkan kredensial akun mereka.

Peringatan OneDrive yang dipalsukan di Telegraph (INKY)
Portal phishing akun Microsoft (INKY)

Dalam kasus lain, INKY melihat pesan pemerasan yang mengancam akan membocorkan file pribadi jika penerima tidak membayar uang tebusan. Portal pembayaran di-host langsung di Telegraph, menawarkan beberapa opsi pembayaran untuk korban penipuan.

Pembayaran penipuan Cryptocurrency di Telegraph (INKY)

Pelaku phishing terus-menerus bereksperimen dengan cara baru yang dapat meningkatkan peluang keberhasilan mereka. Mereka sering mencapai tujuan ini dengan menggabungkan akun email curian dan situs gratis seperti Telegraph.

Untuk alasan ini, pengguna tidak boleh mempercayai email hanya karena melewati perlindungan. Jika mendapat tautan arahkan kursor ke atasnya untuk melihat ke mana arahnya sebelum mengklik.

Setiap kali Anda tiba di situs yang meminta kredensial akun Anda, konfirmasikan bahwa Anda telah masuk ke portal masuk resmi sebelum mengetik apa pun di dalam kotak.

Sumber: Bleeping Computer

Peretas SideWinder menanam aplikasi VPN Android palsu di Google Play Store

by

Kampanye phishing yang dikaitkan dengan aktor ancaman tingkat lanjut bernama SideWinder melibatkan aplikasi VPN palsu untuk perangkat Android yang dipublikasikan di Google Play Store bersama dengan alat khusus yang memfilter korban untuk penargetan yang lebih baik.

SideWinder adalah grup APT yang sudah aktif setidaknya sejak 2012, diyakini sebagai aktor asal India dengan tingkat kecanggihan yang relatif tinggi.

Peneliti keamanan di Kaspersky mengaitkan hampir 1.000 serangan dengan kelompok ini dalam dua tahun terakhir. Di antara target utamanya adalah organisasi di Pakistan, Cina, Nepal, dan Afghanistan.

Musuh mengandalkan infrastruktur yang cukup besar yang mencakup lebih dari 92 alamat IP, terutama untuk serangan phishing, menampung ratusan domain dan subdomain yang digunakan sebagai server perintah dan kontrol.

Infrastruktur grup APT SideWinder, sumber: Group-IB

Kampanye phishing baru-baru ini yang dikaitkan dengan SideWinder (alias RattleSnake, Razor Tiger, T-APT-04, APT-C-17, Hardcore Nationalist) menargetkan organisasi di Pakistan baik di sektor publik maupun swasta.

Para peneliti di perusahaan keamanan siber Group-IB awal tahun ini mendeteksi dokumen phishing yang memikat para korban dengan dokumen yang mengusulkan “diskusi formal tentang dampak penarikan AS dari Afghanistan terhadap keamanan maritim.”

Umpan yang digunakan oleh grup APT SideWinder dalam kampanye phishing, sumber: Group-IB

Dalam laporan yang dibagikan dengan BleepingComputer, Group-IB mengatakan bahwa SideWinder juga telah diamati di situs web pemerintah yang mengkloning sebelumnya (misalnya portal pemerintah di Sri Lanka) untuk mencuri kredensial pengguna.

Kampanye phishing baru-baru ini juga menggunakan metode ini terhadap target, karena aktor tersebut membuat beberapa situs web yang meniru domain sah pemerintah Pakistan:
Selengkapnya

Selama penyelidikan, para peneliti menemukan tautan phishing yang dialihkan ke domain sah “securevpn.com.” Tujuannya masih belum jelas, tetapi bisa jadi untuk memilih target yang menarik dan mengarahkan mereka ke situs jahat.

Tautan lain yang ditemukan oleh Group-IB diunduh dari Google Play, toko aplikasi Android resmi, versi palsu dari aplikasi ‘VPN Aman’, yang masih ada di Google Play pada saat penulisan dan memiliki lebih dari 10 unduhan.

Aplikasi VPN Aman Palsu di Google Play yang digunakan oleh SiderWinder APT dalam kampanye phishing, sumber: BleepingComputer

Para peneliti mencatat bahwa deskripsi yang tersedia untuk aplikasi Secure VPN palsu SideWinder telah disalin dari aplikasi NordVPN yang sah.

Saat runtime, aplikasi Secure VPN palsu membuat beberapa permintaan ke dua domain yang kemungkinan dimiliki oleh penyerang tetapi ini tidak tersedia selama penyelidikan dan permintaan ke direktori root dialihkan ke domain NordVPN yang sah.

Sayangnya, para peneliti tidak dapat mengkonfirmasi tujuan dari aplikasi VPN palsu atau apakah itu berbahaya atau tidak. Namun, SideWinder telah menggunakan aplikasi palsu di Google Play di masa lalu, seperti yang ditunjukkan oleh penelitian sebelumnya dari Trend Micro.

Daftar tindakan yang dapat dilakukan oleh aplikasi palsu sebelumnya dari SideWinder untuk mengumpulkan dan mengirim ke perintah dan mengontrol informasi server seperti:
Selengkapnya

aplikasi mereka mampu mengumpulkan sejumlah parameter pada host yang ditargetkan dan mengirim informasi kembali ke C2 mereka. Parameter tersebut meliputi: Lokasi, Status baterai, File di perangkat, Daftar aplikasi yang diinstal, Informasi perangkat, Informasi sensor, Informasi kamera, Tangkapan layar, Akun, informasi Wifi, Data WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail, dan Chrome .

Group-IB juga menemukan bahwa musuh menggunakan alat khusus yang baru saja ditambahkan ke gudang senjata mereka, dilacak secara internal oleh Group-IB sebagai SideWinder.AntiBot.Script.

Jika skrip mendeteksi pengunjung dari IP di Pakistan, skrip akan dialihkan ke lokasi berbahaya. Parameter berikut diperiksa untuk menentukan apakah pengunjung merupakan target potensial atau tidak:

  • Posisi geografis
  • Versi sistem operasi
  • Data tentang agen pengguna
  • Pengaturan bahasa sistem

Itu juga dapat menentukan jumlah prosesor logis pada sistem dan kartu video yang digunakan oleh host, serta mengakses wadah kredensial di browser web, yang dapat mengembalikan kata sandi yang disimpan.

Memeriksa kartu video kemungkinan akan menentukan apakah host digunakan untuk tujuan analisis malware, karena dibandingkan dengan ukuran layar perangkat.

Fungsi lain dalam skrip, yang paling signifikan, digunakan untuk menyajikan file berbahaya dan untuk mengarahkan target non-minat ke sumber daya yang sah.

Sumber: Bleeping Computer

Lampiran HTML tetap populer di kalangan pelaku phishing pada tahun 2022

by

File HTML tetap menjadi salah satu lampiran paling populer yang digunakan dalam serangan phishing selama empat bulan pertama tahun 2022, menunjukkan bahwa teknik ini tetap efektif melawan mesin antispam dan bekerja dengan baik pada korbannya sendiri.

Dalam email phishing, file HTML biasanya digunakan untuk mengarahkan pengguna ke situs berbahaya, mengunduh file, atau bahkan menampilkan formulir phishing secara lokal di dalam browser.

Karena HTML tidak berbahaya, lampiran cenderung tidak terdeteksi oleh produk keamanan email, sehingga mendarat dengan baik di kotak masuk penerima.

Lampiran phishing HTML yang meniru login Microsoft
Sumber: BleepingComputer

Data statistik dari Kaspersky menunjukkan bahwa tren penggunaan lampiran HTML dalam email berbahaya masih kuat, karena perusahaan keamanan mendeteksi 2 juta email semacam ini yang menargetkan pelanggannya dalam empat bulan pertama tahun ini.

Angka tersebut mencapai puncaknya pada Maret 2022, ketika data telemetri Kaspersky menghitung 851.000 deteksi, sementara penurunan menjadi 387.000 pada April bisa jadi hanya perubahan sesaat.

Deteksi lampiran HTML berbahaya (Kaspersky)

Formulir phishing, mekanisme pengalihan, dan elemen pencurian data dalam lampiran HTML biasanya diterapkan menggunakan berbagai metode, mulai dari pengalihan sederhana hingga mengaburkan JavaScript hingga menyembunyikan formulir phishing.

Lampiran dikodekan base64 saat ada dalam pesan email, memungkinkan gateway email yang aman dan perangkat lunak antivirus untuk dengan mudah memindai lampiran untuk URL, skrip, atau perilaku berbahaya lainnya.

Untuk menghindari deteksi, pelaku ancaman biasanya menggunakan JavaScript dalam lampiran HTML yang akan digunakan untuk menghasilkan bentuk phishing atau pengalihan berbahaya.

Penggunaan JavaScript dalam lampiran HTML untuk menyembunyikan URL dan perilaku berbahaya disebut penyelundupan HTML dan telah menjadi teknik yang sangat populer selama beberapa tahun terakhir.

Untuk membuatnya lebih sulit untuk mendeteksi skrip berbahaya, aktor ancaman mengaburkannya menggunakan alat yang tersedia secara bebas yang dapat menerima konfigurasi khusus untuk yang unik, dan dengan demikian lebih kecil kemungkinannya untuk dideteksi, dihasilkan dan dengan demikian menghindari deteksi.

Misalnya, pada bulan November, kami melaporkan bahwa pelaku ancaman menggunakan kode morse dalam lampiran HTML mereka untuk mengaburkan formulir phishing yang akan ditampilkan lampiran HTML saat dibuka.

Kaspersky mencatat bahwa dalam beberapa kasus, pelaku ancaman menggunakan metode pengkodean yang melibatkan fungsi usang seperti “unescape()”, yang menggantikan urutan karakter “%xx” dalam string dengan setara ASCII mereka.

Meskipun fungsi ini telah digantikan oleh decodeURI() dan decodeURIComponent() saat ini, sebagian besar browser modern masih mendukungnya. Namun, itu mungkin diabaikan oleh alat keamanan dan mesin antispam yang lebih fokus pada metode saat ini.

Distribusi lampiran HTML pertama kali terlihat melonjak pada tahun 2019, tetapi tetap menjadi teknik umum pada kampanye phishing tahun 2022, sehingga harus dilihat sebagai tanda bahaya.

Email phishing dengan lampiran HTML (Kaspersky)

Bleeping Computer

LinkedIn paling banyak ditiru dalam serangan phishing

by

Peneliti keamanan memperingatkan bahwa LinkedIn telah menjadi merek yang paling dipalsukan dalam serangan phishing, terhitung lebih dari 52% dari semua insiden semacam itu di tingkat global.

Data tersebut berasal dari perusahaan keamanan siber Check Point, yang mencatat peningkatan dramatis dalam penyalahgunaan merek LinkedIn dalam insiden phishing pada kuartal pertama tahun ini.

Menurut perusahaan, pada kuartal terakhir tahun 2021, LinkedIn menempati posisi kelima dalam daftar, jumlah serangan meniru menjadi jauh lebih rendah 8%.

Statistik peniruan identitas phishing untuk Q1 2022 (Check Point)

Menggabungkan DHL dengan FedEx, Maersk, dan Ali Express, pesan phishing terkait pengiriman menyumbang 21,8% dalam tiga bulan pertama tahun 2022, masih memegang porsi yang signifikan.

Dalam sampel peniruan identitas LinkedIn yang disediakan oleh Check Point, email phishing yang mencapai kotak masuk target menampilkan logo LinkedIn dan gaya khusus perusahaan, dengan permintaan palsu untuk terhubung dengan perusahaan buatan.

Pesan phishing yang menampilkan branding LinkedIn
(Titik Periksa)

Mengklik tombol “Terima” akan membawa korban ke situs web phishing yang terlihat seperti halaman login LinkedIn yang sebenarnya yang dihosting di URL tidak resmi – carriermasr.com/public/linkedin.com/linkedin.com/login.php

Situs phishing bertema LinkedIn (Check Point)

Phishing media sosial sedang meningkat, seperti juga dilaporkan perusahaan cybersecurity Vade baru-baru ini. Ini karena pengambilalihan akun pada platform ini membuka sejumlah kemungkinan praktis bagi para pelaku ancaman.

Misalnya, peretas dapat menggunakan akun media sosial yang disusupi untuk melakukan serangan spear-phishing yang sangat efektif, mengeposkan tautan ke situs hosting malware, atau mengirim spyware langsung ke pengguna yang memercayainya.

Dalam kasus LinkedIn, yang merupakan platform media sosial yang berfokus pada profesional, pelaku ancaman kemungkinan besar bertujuan untuk melakukan serangan spear-phishing pada target dengan minat tinggi, karyawan dari perusahaan dan organisasi tertentu.

Skenario eksploitasi potensial lainnya adalah mengirim dokumen yang disamarkan sebagai tawaran pekerjaan ke target tertentu, meyakinkan mereka untuk membuka file dan mengaktifkan kode makro berbahaya.

Sumber : Bleeping Computer

Serangan Browser-in-the Browser (BITB) Baru Membuat Phishing Hampir Tidak Terdeteksi

by

Teknik phishing baru yang disebut serangan browser-in-the-browser (BitB) dapat dimanfaatkan untuk mensimulasikan jendela browser di dalam browser untuk menipu domain yang sah, sehingga memungkinkan untuk melakukan serangan phishing yang meyakinkan.

Menurut penguji penetrasi dan peneliti keamanan, yang menggunakan pegangan mrd0x_, metode ini memanfaatkan opsi masuk tunggal (SSO) pihak ketiga yang disematkan di situs web seperti “Masuk dengan Google” (atau Facebook, Apple, atau Microsoft ).

Sementara perilaku default ketika pengguna mencoba untuk masuk melalui metode ini akan disambut oleh jendela pop-up untuk menyelesaikan proses otentikasi, serangan BitB bertujuan untuk mereplikasi seluruh proses ini menggunakan campuran kode HTML dan CSS untuk membuat jendela browser yang sepenuhnya dibuat-buat.

“Gabungkan desain jendela dengan iframe yang menunjuk ke server jahat yang menghosting halaman phishing, dan itu pada dasarnya tidak dapat dibedakan,” kata mrd0x_ dalam penulisan teknis yang diterbitkan minggu lalu. “JavaScript dapat dengan mudah digunakan untuk membuat jendela muncul pada tautan atau klik tombol, pada pemuatan halaman, dll.”

Meskipun metode ini secara signifikan mempermudah pemasangan kampanye manipulasi psikologis yang efektif, perlu diperhatikan bahwa calon korban perlu dialihkan ke domain phishing yang dapat menampilkan jendela autentikasi palsu untuk pengambilan kredensial.

“Tapi begitu mendarat di situs web milik penyerang, pengguna akan merasa nyaman saat mereka mengetikkan kredensial mereka di situs yang tampaknya sah (karena URL yang dapat dipercaya mengatakan demikian),” tambah mrd0x_.

Sumber : The Hacker News

Pengguna OpenSea kehilangan NFT senilai $2 juta dalam serangan phishing

by

Pasar non-fungible token (NFT) OpenSea sedang menyelidiki serangan phishing yang menyebabkan 17 penggunanya tidak memiliki lebih dari 250 NFT senilai sekitar $2 juta.

NFT mewakili data yang disimpan di blockchain, Ethereum dalam hal ini, yang menyatakan kepemilikan file digital, biasanya file media karya seni.

Para peneliti di Check Point mengatakan bahwa pelaku phishing mengetahui tentang OpenSea yang meningkatkan sistem kontrak pintarnya untuk membersihkan daftar lama dan tidak aktif di platform dan bersiap untuk migrasi dengan email dan situs web mereka sendiri.

OpenSea memberi tahu penggunanya bahwa mereka harus memperbarui daftar mereka antara 18 – 25 Februari jika mereka ingin terus menggunakan platform.

Untuk membantu mereka dalam prosesnya, platform mengirim email kepada semua pengguna dengan instruksi tentang cara mengonfirmasi migrasi daftar.

Pelaku phishing mengambil keuntungan dari proses ini dan menggunakan alamat email mereka sendiri untuk mengirim pesan dari OpenSea ke pengguna yang divalidasi, menipu mereka dengan berpikir bahwa konfirmasi asli mereka tidak berhasil.

Email phishing yang dikirim oleh pelaku ancaman terlihat identik dengan yang asli (Check Point)

Tautan yang disematkan ke dalam email palsu itu mengarah ke situs web phishing tempat para korban diminta untuk menandatangani transaksi, yang diduga terkait dengan migrasi.

Permintaan transaksi asli dan berbahaya berdampingan (Check Point)

Seperti yang dijelaskan oleh Check Point, aktor tersebut bahkan melakukan uji coba pada 21 Januari 2022, untuk memverifikasi bahwa serangan itu akan berhasil sebagaimana dimaksud.

OpenSea dengan cepat menunjukkan bahwa serangan itu tidak mengeksploitasi kerentanan apa pun pada platform atau sistem perdagangannya, melainkan hanya mengandalkan menipu pengguna melalui phishing.

Dengan demikian, platform telah menyarankan pengguna untuk tetap waspada dan menghindari mengikuti tautan apa pun yang bukan milik domain opensea.io.

Selain itu, email phishing dikonfirmasi berasal dari luar platform, yang mengonfirmasi bahwa sistem distribusi email platform tidak disusupi.

Menandatangani transaksi tanpa memperhatikan memberikan izin kepada orang lain untuk mentransfer kepemilikan aset digital Anda. Permintaan dari platform pertukaran dikecualikan, semua permintaan transaksi lainnya harus ditolak.

Sumber : Bleeping Computer

FBI memperingatkan penyerang BEC yang menyamar sebagai CEO dalam pertemuan virtual

by

Biro Investigasi Federal (FBI) hari ini memperingatkan bahwa organisasi dan individu AS semakin menjadi sasaran dalam serangan BEC (kompromi email bisnis) pada platform pertemuan virtual.

Penipu BEC dikenal menggunakan berbagai taktik (termasuk rekayasa sosial, phishing, dan peretasan) untuk menyusupi akun email bisnis dengan tujuan akhir mengalihkan pembayaran ke rekening bank mereka sendiri.

Dalam jenis serangan ini, para penjahat menargetkan bisnis kecil, menengah, dan besar, serta individu. Tingkat keberhasilannya juga sangat tinggi karena penipu biasanya berpura-pura sebagai orang yang dipercaya oleh karyawan, seperti mitra bisnis atau CEO.

FBI mengatakan mereka melihat scammers beralih ke platform pertemuan virtual yang cocok dengan tren keseluruhan bisnis yang pindah ke pekerjaan jarak jauh selama pandemi.

Seperti yang dijelaskan dalam PSA FBI, para penjahat menggunakan platform kolaborasi tersebut dalam serangan mereka dengan berbagai cara, termasuk menyamar sebagai CEO dalam rapat virtual dan menyusup ke rapat untuk mengumpulkan informasi bisnis:

  • Mengganggu email majikan atau direktur keuangan, seperti CEO atau CFO, dan meminta karyawan untuk berpartisipasi dalam platform pertemuan virtual di mana penjahat akan menyisipkan gambar diam CEO tanpa audio, atau audio “deep fake1”, dan mengklaim mereka video/audio tidak berfungsi dengan baik. Mereka kemudian melanjutkan untuk menginstruksikan karyawan untuk melakukan transfer dana melalui obrolan platform pertemuan virtual atau dalam email tindak lanjut.
  • Mengkompromikan email karyawan untuk memasukkan diri mereka ke dalam rapat di tempat kerja melalui platform rapat virtual untuk mengumpulkan informasi tentang operasi bisnis sehari-hari.
  • Mengganggu email pemberi kerja, seperti CEO, dan mengirim email palsu kepada karyawan yang menginstruksikan mereka untuk melakukan transfer dana, karena CEO mengklaim sedang sibuk dalam rapat virtual dan tidak dapat melakukan transfer dana melalui komputer mereka sendiri.

      • Menurut laporan tahunan FBI tahun 2020 tentang kejahatan dunia maya, penipuan BEC adalah “bisnis” yang sangat menguntungkan, mengingat serangan BEC berada di balik rekor jumlah keluhan dan kerugian finansial sekitar $1,8 miliar.

      Ini adalah bagian terbesar dari $ 4,2 miliar yang secara resmi hilang karena kejahatan dunia maya oleh orang Amerika pada tahun 2020.

      Dari 791.790 pengaduan yang diterima oleh Pusat Pengaduan Kejahatan Internet (IC3) FBI, 19.369 pengaduan adalah tentang penipuan BEC atau kompromi akun email (EAC).

      FBI juga memperingatkan perusahaan sektor swasta AS pada Maret 2021 tentang serangan BEC yang semakin menargetkan entitas pemerintah negara bagian, lokal, suku, dan teritorial (SLTT).

      Dalam peringatan sebelumnya, FBI mengatakan penipu BEC menyalahgunakan layanan email cloud seperti Google G Suite dan Microsoft Office 365, serta penerusan otomatis email dalam serangan mereka.

      Sumber : Bleeping Computer

Phishing LinkedIn Besar-besaran, Serangan Bot Memberi Makan pada Orang yang Lapar

by

Rentan secara emosional dan bersedia menawarkan informasi apa pun yang menarik perhatian, pencari kerja adalah target utama untuk kampanye rekayasa sosial. Dan dengan “Pengunduran Diri Hebat” dalam ayunan penuh, penjahat dunia maya dengan mudah menemukan korban berikutnya.

Sejak 1 Februari, analis telah menyaksikan serangan email phishing yang meniru LinkedIn melonjak 232 persen, mencoba mengelabui pencari kerja agar menyerahkan kredensial mereka.

Email tersebut memiliki baris subjek yang akan menarik bagi pencari kerja yang berharap diperhatikan, seperti, “Siapa yang mencari Anda secara online”, “Anda muncul dalam 4 pencarian minggu ini” atau bahkan “Anda memiliki 1 pesan baru”, kata tim Egress .

Email phishing itu sendiri adalah penipuan yang meyakinkan, dibangun dalam template HTML dengan logo, warna, dan ikon LinkedIn, tambah laporan itu. Para scammer juga memeriksa nama perusahaan terkenal di seluruh isi email phishing, termasuk American Express dan CVS Carepoint, untuk membuat korespondensi tampak lebih sah, kata para analis.

Bahkan footer email mengangkat alamat kantor pusat perusahaan dan menyertakan tautan “berhenti berlangganan” untuk menambah keaslian email, para analis menunjukkan.

“Anda juga dapat melihat spoofing nama tampilan LinkedIn, yang dirancang untuk menyembunyikan akun email web yang digunakan untuk meluncurkan serangan,” kata laporan itu.

Setelah korban mengklik tautan berbahaya di email, mereka diarahkan ke situs untuk memanen login dan kata sandi LinkedIn mereka.

“Sementara nama tampilan selalu LinkedIn dan semua email mengikuti pola yang sama, serangan phishing dikirim dari alamat webmail berbeda yang tidak memiliki korelasi satu sama lain,” tambah para analis.

Selain menggunakan prospek pekerjaan potensial untuk mengelabui target agar batuk kredensial mereka, Imperva, dalam laporan terpisah, merinci bagaimana menghentikan serangan bot terbesar yang pernah dilihat perusahaan hingga saat ini, di situs daftar pekerjaan global.

Imperva tidak secara spesifik menyebutkan nama perusahaan, tetapi perusahaan mengatakan bahwa mereka dibombardir dengan 400 juta permintaan bot lebih dari 400.000 alamat IP unik selama empat hari yang mencoba mengikis semua data pencari kerja.

Tim Imperva menambahkan bahwa jenis serangan pengikisan web ini umum terjadi dan dapat mengakibatkan “tingkat konversi yang lebih rendah, analisis pemasaran yang miring, penurunan peringkat SEO, latensi situs web, dan bahkan waktu henti (biasanya disebabkan oleh scraper agresif).”

Musim panas lalu, serangan pengikisan data besar-besaran terhadap LinkedIn ditemukan telah mengumpulkan setidaknya 1,2 miliar catatan pengguna yang kemudian dijual di forum bawah tanah. Pada saat itu, LinkedIn menegaskan kembali bahwa data yang tergores adalah informasi publik, bukan informasi pribadi, dan tidak memenuhi syarat sebagai pelanggaran.

Itu membuat pengguna individu harus memperhatikan informasi yang mereka ekspos secara publik dan bagaimana hal itu dapat digunakan untuk mengelabui mereka agar mengklik tautan berbahaya.

Sumber : Threat Post