Serangan Phishing Baru yang Mengekspos Kredensial Login Melalui Google Search

 

Dengan berlalunya hari, bulan dan tahun, jelas bahwa serangan dunia maya tidak akan berhenti. Bisnis, orang, atau industri apapun dapat diserang pada waktu tertentu. Yang terbaru adalah phishing atau kejahatan online yang menyerang industri besar, seperti konstruksi dan membuka kredensial login melalui penelusuran Google.

Penipuan Phishing Mengekspos Melalui Google

Check Point Research memberitahu dunia melalui postingan blog bahwa kredensial login yang dicuri dari industri besar dirilis di domain WordPress yang disusupi. Itu kemudian ditemukan di forum publik yang paling mungkin yaitu Google Search.

Semuanya dimulai dengan email yang menyertakan nama atau jabatan karyawan di baris subjek email palsu. Pegawainya berasal dari industri yang meliputi konstruksi, IT, kesehatan, real estate, dan manufaktur. Email ini meniru pemberitahuan Xerox/Xeros yang berasal dari server Linux dan dihosting di Microsoft Azure. Spam juga dikirim melalui akun email yang sebelumnya telah disusupi, memberikan legitimasi pesan.

File HTML yang berisi kode JavaScript yang disematkan dilampirkan ke email. Ini hanya memiliki satu tujuan yaitu menyamarkan pemeriksaan password di background. Ketika input kredensial login terdeteksi, maka mereka akan diambil, dengan pengguna diarahkan ke halaman login.

Menurut Check Point, meskipun rantai infeksi ini mungkin terdengar sederhana, namun berhasil melewati pemfilteran Microsoft Office 365 Advanced Threat Protection (ATP) dan mencuri lebih dari seribu kredensial karyawan perusahaan.

Website yang dibajak termasuk dalam serangan siber ini dibangun di atas CMS WordPress. Check Point menjelaskan bahwa domain ini digunakan sebagai "server drop-zone" untuk memproses kredensial login yang dicuri.

Setelah kredensial login dikirim ke server drop-zone, itu disimpan dalam file yang kemudian diindeks oleh Google, menjadikannya publik. Mereka tersedia untuk siapa saja melalui pencarian di Google. Namun server tersebut hanya digunakan selama sekitar dua bulan, ditautkan ke domain .XYZ.

Penyerang biasanya lebih suka menggunakan server yang disusupi daripada infrastruktur mereka sendiri karena reputasi terkenal website yang ada, jelas Check Point. Reputasi yang lebih dikenal luas, kemungkinan besar email tidak akan diblokir oleh vendor keamanan.

Peringatan untuk Masa Depan

Bukti yang ditemukan menunjukkan bahwa penipuan phishing ini mungkin telah ada selama beberapa waktu. Sebuah email dari Agustus lalu dibandingkan dengan penipuan yang baru ditemukan, dan mereka memiliki pengkodean JavaScript yang sama.

Itu semua hanya menunjukkan bahwa kita tidak bisa lengah. Industri besar dan individu atau bisnis manapun dapat terpengaru dan ini dapat melibatkan raksasa teknologi seperti Google dan WordPress. Tidak ada yang aman saat berhubungan dengan Internet. Selalu waspada dan jaga informasi anda.

Anda juga dapat membaca artikel saya lainnya tentang Microsoft memperingatkan tentang Fileless Malware Astaroth yang sulit di deteksi atau Agen Smith, malware baru yang menginfeksi 25 Juta Android.

Sekian artikel kali ini, semoga bermanfaat untuk anda. Apakah anda juga pernah mengalami hal ini atau penipuam lainnya di internet? Bagikan dengan saya dan lainnya di kolom komentar dibawah ini. Terimakasih dan GBU. BERSATU LAWAN COVID-19!!