web phishing

LinkedIn masih memegang posisi teratas sebagai Brand yang paling banyak ditiru dalam kampanye phishing yang diamati selama kuartal kedua tahun 2022.

Data statistik dari perusahaan keamanan siber, Check Point, menunjukkan bahwa platform sosial untuk para profesional tersebut berada di urutan teratas daftar untuk kuartal kedua berturut-turut.

Brand yang paling banyak ditiru oleh pelaku phishing di Q2 2022 (Check Point)

Dibandingkan dengan kuartal pertama tahun ini, peniruan identitas LinkedIn turun dari 52% menjadi 45%. Namun, ia mempertahankan jarak yang cukup jauh dari merek kedua yang paling banyak ditiru oleh penipu, yaitu Microsoft yang saat ini sebesar 13%.

Tema sentral dalam email Microsoft palsu adalah permintaan untuk memverifikasi akun Outlook untuk mencuri nama pengguna dan kata sandi.

DHL saat ini memegang posisi ketiga dalam daftar dengan 12%, turun dari 14%.

Sedangkan Amazon naik ke posisi keempat, melompat dari 2% pada Q1 2022 menjadi 9% pada kuartal ini, sementara Apple mengikuti di tempat kelima dengan 3%; juga meningkat signifikan dibandingkan dengan 0,8% kuartal lalu.

Dalam kasus Amazon, email phishing berusaha mencuri informasi penagihan target, termasuk data kartu kredit lengkap, kata para peneliti.

Seperti yang dijelaskan oleh Check Point dalam laporannya, kampanye phishing menggunakan email LinkedIn palsu mencoba untuk meniru pesan umum dari platform kepada penggunanya, seperti “Anda muncul di 8 pencari minggu ini”, atau “Anda memiliki satu pesan baru.”

Alamat pengirim dipalsukan agar muncul seolah-olah pesan itu otomatis atau berasal dari dukungan atau bahkan departemen keamanan.

Beberapa umpan yang digunakan dalam kampanye ini termasuk promosi palsu untuk layanan LinkedIn Pro, pembaruan kebijakan palsu, atau bahkan ancaman penghentian akun untuk “pelanggan yang belum diverifikasi.”

Mereka semua mengarah ke halaman web phishing di mana para korban diminta untuk memasukkan kredensial LinkedIn mereka, memungkinkan pelaku ancaman untuk mengambil alih akun.

Halaman web login palsu LinkedIn (Check Point)

Dengan akses ke akun LinkedIn, pelaku ancaman dapat menyebarkan kampanye phishing yang ditargetkan untuk menjangkau rekan kerja korban atau individu berharga di jaringan koneksi mereka.

Alasan lain untuk menargetkan akun LinkedIn adalah bahwa mereka dapat digunakan untuk menyiapkan kampanye tawaran pekerjaan palsu. Dalam contoh baru-baru ini, peretas Korea Utara dapat mengelabui seorang karyawan video game online berbasis token agar mengunduh PDF berbahaya yang memungkinkan aktor ancaman mencuri cryptocurrency senilai $620 juta.

Sumber: Bleeping Computer

Serangan phishing sekarang menggunakan chatbot otomatis untuk memandu pengunjung melalui proses penyerahan kredensial login mereka kepada pelaku ancaman.

Pendekatan ini mengotomatiskan proses untuk penyerang dan memberikan rasa legitimasi kepada pengunjung situs jahat, karena chatbot biasanya ditemukan di situs web untuk merek yang sah.

Perkembangan baru dalam serangan phishing ini ditemukan oleh para peneliti di Trustwave.

Proses phishing dimulai dengan email yang mengklaim berisi informasi tentang pengiriman paket, menyamar sebagai merek pengiriman DHL.

Mengklik tombol ‘Ikuti instruksi kami’ di email memuat file PDF yang berisi tautan ke situs phishing. Pelaku ancaman menampilkan tautan phishing dalam dokumen PDF untuk melewati perangkat lunak keamanan email.

PDF yang dapat diunduh berisi tautan berbahaya
(gelombang kepercayaan)

Namun, tombol URL (atau tautan) dalam PDF membawa korban ke situs phishing (dhiparcel-management[.]support-livechat[.]24mhd[.]com) tempat mereka seharusnya menyelesaikan masalah yang menyebabkan paket menjadi tidak terkirim.

Saat halaman phishing dimuat, pengunjung akan disambut dengan obrolan web yang menjelaskan mengapa paket tidak dapat dikirimkan, alih-alih diperlihatkan formulir login palsu yang biasa digunakan untuk mencuri kredensial.

Webchat ini menjelaskan bahwa label paket rusak, mencegah pengirimannya. Obrolan web juga menampilkan foto paket yang diduga untuk menambah legitimasi penipuan.

Asisten virtual ini menawarkan tanggapan yang telah ditentukan sebelumnya untuk pengunjung, sehingga percakapan tetap, selalu mengarah ke foto paket yang diduga menampilkan label yang rusak.

Karena masalah ini, chatbot meminta korban untuk memberikan informasi pribadi mereka seperti alamat rumah atau bisnis, nama lengkap, nomor telepon, dll.

Setelah itu, pengiriman seharusnya dijadwalkan, dan langkah CAPTCHA palsu ditampilkan untuk bertindak sebagai satu lagi pengiriman legitimasi palsu ke halaman phishing.

Selanjutnya, korban diarahkan ke halaman phishing yang mengharuskan memasukkan kredensial akun DHL dan akhirnya, mengarah ke langkah pembayaran, yang seharusnya untuk menutupi biaya pengiriman.

Halaman “Pembayaran Aman” terakhir berisi bidang pembayaran kartu kredit biasa, termasuk nama pemegang kartu, nomor kartu, tanggal kedaluwarsa, dan kode CVV.

Bidang pembayaran kartu kredit (Trustwave)

Ketika rincian dimasukkan dan tombol “Bayar Sekarang” diklik, korban menerima kata sandi satu kali (OTP) pada nomor ponsel yang diberikan melalui SMS, yang menambah rasa legitimasi.

Layar verifikasi kata sandi satu kali (Trustwave)

Analis Trustwave menguji memasukkan karakter acak, dan sistem mengembalikan kesalahan tentang kode keamanan yang tidak valid, sehingga implementasi verifikasi OTP adalah nyata.

Jika kode yang dimasukkan benar, halaman palsu menampilkan “Terima kasih!” pesan dan mengkonfirmasi bahwa kiriman telah diterima.

Pelaku ancaman semakin menggunakan mekanisme yang umumnya ditemukan di situs web nyata, seperti CAPTCHA, OTP, dan sekarang bahkan chatbot, sehingga menyulitkan korban untuk menemukan upaya untuk mencuri informasi mereka.

Ini memerlukan kewaspadaan yang lebih besar saat menerima komunikasi yang tidak diminta yang meminta tindakan segera Anda, terutama jika pesan ini berisi tombol yang disematkan dan tautan URL.

Jika DHL atau layanan pengiriman lainnya memerlukan tindakan Anda, Anda harus selalu membuka situs web yang sebenarnya di tab browser baru alih-alih mengklik tautan yang disediakan.

Cara terbaik untuk menemukan halaman phishing adalah dengan memeriksa URL situs web tersebut. Jika terlihat mencurigakan atau tidak cocok dengan domain yang sah, jangan masukkan informasi pribadi apa pun ke dalam halaman.

Dalam hal ini, URL DHL palsu diakhiri dengan domain “24mhd.com,” yang jelas-jelas bukan situs web DHL dan merupakan tanda yang jelas dari upaya phishing.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

web phishing

Cookies Settings