Sebuah rumit dan agak tidak biasa kampanye phishing memalsukan pemberitahuan eFax dan menggunakan akun bisnis Dynamics 365 Customer Voice yang disusupi untuk memikat korban agar menyerahkan kredensial mereka melalui halaman microsoft.com.
Pelaku ancaman telah menyerang puluhan perusahaan melalui kampanye yang disebarluaskan, yaitu menargetkan Microsoft 365 pengguna dari berbagai sektor โ termasuk energi, layanan keuangan, real estat komersial, makanan, manufaktur, dan bahkan pembuatan furnitur, peneliti dari Cofense Phishing Defense Center (PDC) mengungkapkan dalam postingan blog yang diterbitkan Rabu.
Kampanye tersebut menggunakan kombinasi taktik umum dan tidak biasa untuk memikat pengguna agar mengklik halaman yang tampaknya mengarahkan mereka ke survei umpan balik pelanggan untuk layanan eFax, tetapi malah mencuri kredensial mereka.
Penyerang tidak hanya menyamar sebagai eFax tetapi juga Microsoft dengan menggunakan konten yang dihosting di beberapa halaman microsoft.com dalam beberapa tahap upaya multitahap. Penipuan tersebut adalah salah satu dari sejumlah kampanye phishing yang telah diamati Cofense sejak musim semi yang menggunakan taktik serupa, kata Joseph Gallop, manajer analisis intelijen di Cofense.
โPada bulan April tahun ini, kami mulai melihat sejumlah besar email phishing yang menggunakan tautan survei ncv[.]microsoft[.]com tersemat seperti yang digunakan dalam kampanye ini,โ katanya kepada Dark Reading.
Kombinasi Taktik
Email phishing menggunakan iming-iming konvensional, mengklaim penerima telah menerima eFax perusahaan setebal 10 halaman yang menuntut perhatiannya. Tetapi hal-hal menyimpang dari jalan yang dilalui setelah itu, Nathaniel Sagibanda dari Cofense PDC menjelaskan dalam Pos Rabu.
Penerima kemungkinan besar akan membuka pesan yang diharapkan terkait dengan dokumen yang memerlukan tanda tangan. "Namun, bukan itu yang kami lihat saat Anda membaca isi pesan," tulisnya.
Sebaliknya, email tersebut menyertakan apa yang tampak seperti file PDF terlampir tanpa nama yang dikirimkan dari faks yang memang menyertakan file sebenarnya โ fitur yang tidak biasa dari email phishing, menurut Gallop.
โSementara banyak kampanye phishing kredensial menggunakan tautan ke file yang dihosting, dan beberapa menggunakan lampiran, jarang melihat tautan tersemat yang menyamar sebagai lampiran,โ tulisnya.
Plot semakin tebal di dalam pesan, yang berisi footer yang menunjukkan bahwa itu adalah situs survei โ seperti yang digunakan untuk memberikan umpan balik pelanggan โ yang menghasilkan pesan, menurut postingan tersebut.
Meniru Survei Pelanggan
Saat pengguna mengeklik tautan, mereka diarahkan ke tiruan yang meyakinkan dari halaman solusi eFax yang diberikan oleh halaman Microsoft Dynamics 365 yang telah disusupi oleh penyerang, kata peneliti.
Halaman ini menyertakan tautan ke halaman lain, yang tampaknya mengarahkan ke survei Microsoft Customer Voice untuk memberikan umpan balik pada layanan eFax, tetapi malah membawa korban ke halaman login Microsoft yang mengekstraksi kredensial mereka.
Untuk lebih meningkatkan legitimasi pada halaman ini, aktor ancaman melangkah lebih jauh dengan menyematkan video solusi eFax untuk detail layanan palsu, menginstruksikan pengguna untuk menghubungi "@eFaxdynamic365" dengan pertanyaan apa pun, kata peneliti.
Tombol "Kirim" di bagian bawah halaman juga berfungsi sebagai konfirmasi tambahan bahwa pelaku ancaman menggunakan templat formulir umpan balik Suara Pelanggan Microsoft asli dalam penipuan, tambah mereka.
Penyerang kemudian memodifikasi template dengan "informasi eFax palsu untuk menarik penerima agar mengklik tautan," yang mengarah ke halaman login Microsoft palsu yang mengirimkan kredensial mereka ke URL eksternal yang dihosting oleh penyerang, tulis Sagibanda.
Membodohi Mata yang Terlatih
Sementara kampanye asli jauh lebih sederhana - termasuk hanya informasi minimal yang dihosting di survei Microsoft - kampanye spoofing eFax melangkah lebih jauh untuk meningkatkan legitimasi kampanye, kata Gallop.
Kombinasi taktik bertingkat dan peniruan ganda memungkinkan pesan untuk lolos melalui gateway email yang aman serta menipu bahkan pengguna korporat paling cerdas yang telah dilatih untuk menemukan penipuan phishing, catatnya.
โHanya pengguna yang terus memeriksa bilah URL di setiap tahap selama keseluruhan proses yang pasti akan mengidentifikasi ini sebagai upaya phishing,โ kata Gallop.
Memang, sebuah survei oleh perusahaan keamanan siber Vade juga dirilis Rabu menemukan bahwa peniruan identitas merek terus menjadi alat teratas yang digunakan phisher untuk menipu korban agar mengklik email jahat.
Faktanya, penyerang mengambil persona Microsoft paling sering dalam kampanye yang diamati pada paruh pertama tahun 2022, menurut temuan peneliti, meskipun Facebook tetap menjadi merek yang paling banyak ditiru dalam kampanye phishing yang diamati sepanjang tahun ini.
Game Phishing Tetap Kuat
Para peneliti saat ini belum mengidentifikasi siapa yang mungkin berada di balik penipuan tersebut, atau motif khusus penyerang untuk mencuri kredensial, kata Gallop.
Phishing secara keseluruhan tetap menjadi salah satu cara termudah dan paling sering digunakan oleh pelaku ancaman untuk mengkompromikan korban, tidak hanya untuk mencuri kredensial tetapi juga menyebarkan perangkat lunak berbahaya, karena malware yang dibawa melalui email secara signifikan lebih mudah didistribusikan daripada serangan jarak jauh, menurut laporan Vade .
Memang, jenis serangan ini mengalami peningkatan dari bulan ke bulan selama kuartal kedua tahun ini dan kemudian peningkatan lainnya di bulan Juni yang mendorong "email kembali ke volume yang mengkhawatirkan yang tidak terlihat sejak Januari 2022", ketika Vade melihat lebih dari 100 lebih juta email phishing dalam distribusi.
โRelatif mudahnya peretas dapat mengirimkan serangan siber yang menghukum melalui email menjadikan email sebagai salah satu vektor serangan teratas dan ancaman konstan bagi bisnis dan pengguna akhir,โ tulis Natalie Petitto dari Vade dalam laporan tersebut. โEmail phishing menyamar sebagai merek yang paling Anda percayai, menawarkan jaring luas calon korban dan jubah legitimasi bagi para phisher yang menyamar sebagai merek.โ
