Peneliti keamanan melihat peningkatan dalam penggunaan layanan terowongan terbalik bersama dengan penyingkat URL untuk kampanye phishing skala besar, membuat aktivitas jahat lebih sulit dihentikan.
Praktik ini menyimpang dari metode yang lebih umum untuk mendaftarkan domain dengan penyedia hosting, yang cenderung menanggapi keluhan dan menghapus situs phishing.
Dengan terowongan terbalik, pelaku ancaman dapat meng-host halaman phishing secara lokal di komputer mereka sendiri dan merutekan koneksi melalui layanan eksternal. Menggunakan layanan pemendekan URL, mereka dapat membuat tautan baru sesering yang mereka inginkan untuk melewati deteksi.
Banyak tautan phishing diperbarui dalam waktu kurang dari 24 jam, membuat pelacakan dan penghapusan domain menjadi tugas yang lebih menantang.
Perusahaan perlindungan risiko digital CloudSEK mengamati peningkatan jumlah kampanye phishing yang menggabungkan layanan untuk tunneling terbalik dan pemendekan URL.
Dalam sebuah laporan yang dibagikan, para peneliti mengatakan mereka menemukan lebih dari 500 situs yang dihosting dan didistribusikan dengan cara ini.
Layanan terowongan terbalik yang paling banyak disalahgunakan yang ditemukan CloudSEK dalam penelitian mereka adalah Ngrok, LocalhostRun, dan Argo Cloudflare. Mereka juga melihat Bit.ly, is.gd, dan layanan pemendekan URL cutt.ly menjadi lebih umum.
Layanan terowongan terbalik melindungi situs phishing dengan menangani semua koneksi ke server lokal yang dihostingnya. Dengan cara ini, setiap koneksi yang masuk diselesaikan oleh layanan tunnel dan diteruskan ke mesin lokal.
Korban yang berinteraksi dengan situs phishing ini berakhir dengan data sensitif mereka disimpan langsung di komputer penyerang.
Dengan menggunakan penyingkat URL, aktor ancaman menutupi nama URL, yang biasanya berupa string karakter acak, kata CloudSEK. Dengan demikian, nama domain yang akan menimbulkan kecurigaan disembunyikan di URL pendek.
Menurut CloudSEK, musuh mendistribusikan tautan ini melalui saluran komunikasi populer seperti WhatsApp, Telegram, email, teks, atau halaman media sosial palsu.
Salah satu contoh kampanye phishing yang menyalahgunakan layanan ini yang dideteksi CloudSEK adalah meniru YONO, platform perbankan digital yang ditawarkan oleh State Bank of India.
URL yang ditentukan oleh penyerang disembunyikan di balik “cutt[.]ly/UdbpGhs” dan mengarah ke domain “ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi” yang menggunakan layanan tunneling Argo Cloudflare.
Halaman phishing ini meminta kredensial rekening bank, nomor kartu PAN, nomor identifikasi unik Aadhaar, dan nomor ponsel.
CloudSEK tidak menjelaskan seberapa efektif kampanye ini tetapi menyoroti bahwa pelaku ancaman jarang menggunakan nama domain yang sama selama lebih dari 24 jam, meskipun mereka mendaur ulang template halaman phishing.
Informasi sensitif yang dikumpulkan dengan cara ini dapat dijual di web gelap atau digunakan oleh penyerang untuk mengosongkan rekening bank. Jika data berasal dari perusahaan, pelaku ancaman dapat menggunakannya untuk meluncurkan serangan ransomware, atau penipuan kompromi email bisnis (BEC).
Untuk melindungi dari jenis ancaman ini, pengguna harus menghindari mengklik tautan yang diterima dari sumber yang tidak dikenal atau mencurigakan. Mengetik nama domain bank di browser secara manual adalah metode yang baik untuk mencegah terkena situs palsu.
Sumber: Bleeping Computer
