Key Takeaways
- Penipu semakin mengandalkan layanan asli, seperti pembuat situs web, untuk menghosting kampanye phishing, menurut temuan para peneliti.
- Mereka percaya menggunakan layanan yang sah seperti itu cenderung membuat penipuan ini tampak kredibel.
-
Orang masih dapat mendeteksi penipuan ini dengan mencari beberapa tanda, saran pakar phishing.
Hanya karena layanan yang sah meminta kredensial login Anda tidak berarti Anda tidak sedang dipermainkan.
Menurut para peneliti di Unit 42, cabang keamanan siber Palo Alto Networks, penjahat siber semakin menyalahgunakan platform software-as-a-service (SaaS) true-blue, termasuk berbagai pembuat situs web dan pembuat formulir, untuk menghosting phishing halaman. Menggunakan layanan di atas papan ini membantu penipu membawa suasana legitimasi penipuan mereka.
"Ini sangat pintar karena mereka tahu kami tidak dapat [memblokir] orang-orang seperti Google dan raksasa [teknologi] lainnya, " Adrien Gendre, Chief Tech and Product Officer dengan vendor keamanan email, Vade Secure, mengatakan kepada Lifewire over surel. "Tetapi terlepas dari kenyataan bahwa lebih sulit untuk mendeteksi phishing ketika sebuah halaman di-host di situs web bereputasi tinggi, itu bukan tidak mungkin."
Palsu Asli
Menggunakan layanan yang sah untuk mengelabui pengguna agar menyerahkan kredensial login mereka bukanlah hal baru. Namun, para peneliti telah melihat peningkatan besar-besaran lebih dari 1100% dalam menggunakan strategi ini antara Juni 2021 dan Juni 2022. Selain situs web dan pembuat formulir, penjahat dunia maya mengeksploitasi situs berbagi file, platform kolaborasi, dan banyak lagi.
Menurut para peneliti, meningkatnya popularitas layanan SaaS asli di antara penjahat dunia maya sebagian besar karena halaman yang dihosting di layanan ini biasanya tidak ditandai oleh berbagai filter penipuan dan penipuan, baik di browser web maupun di klien email.
Selain itu, platform SaaS ini tidak hanya lebih mudah digunakan daripada membuat situs web dari awal, tetapi juga memungkinkan mereka untuk dengan cepat beralih ke halaman phishing yang berbeda jika salah satunya dihapus oleh lembaga penegak hukum.
Penyalahgunaan layanan asli untuk phishing ini tidak mengejutkan Jake, Pemburu Ancaman Senior di perusahaan Intelijen Ancaman, yang berspesialisasi dalam phishing kredensial, dan yang tidak ingin diidentifikasi saat dia menyelidiki kampanye phishing aktif.
Meskipun dia setuju bahwa biasanya dibutuhkan sedikit lebih banyak upaya untuk mendeteksi penyalahgunaan tersebut, bukan tidak mungkin, menambahkan bahwa layanan yang sah ini sering lebih tajam untuk bertindak atas laporan penyalahgunaan, membuatnya lebih mudah untuk menghapus situs berbahaya.
Dalam diskusi dengan Lifewire melalui Twitter, Jake mengatakan sebagian besar kampanye phishing, termasuk yang dihosting di layanan yang sah, memiliki beberapa tanda yang jelas bagi siapa pun yang memperhatikan.
"Layanan yang sah ini sering kali memiliki spanduk atau catatan kaki yang tidak dapat dihapus oleh pelaku ancaman, sehingga situs seperti Wix memiliki spanduk di bagian atas, formulir Google memiliki catatan kaki yang menyatakan untuk tidak pernah memasukkan kata sandi ke dalam formulir, dll., " kata Jake.
Mata Kupas
Berdasarkan hal itu, Gendre mengatakan bahwa meskipun domain tersebut dapat dipercaya, halaman phishing kemungkinan akan memiliki beberapa anomali pada URL dan konten halaman itu sendiri.
Jake setuju, menambahkan bahwa, sebagai permulaan, halaman phishing untuk kredensial masih akan dihosting di situs web yang disalahgunakan daripada layanan yang kredensialnya sedang dicari. Misalnya, jika Anda menemukan halaman pengaturan ulang kata sandi untuk Gmail yang dihosting di situs web pembuat situs web seperti Wix, atau pembuat formulir seperti Google Forms, Anda dapat yakin bahwa Anda telah mendarat di halaman phishing.
Selain itu, dengan sedikit kewaspadaan, serangan ini dapat dihentikan, saran para peneliti. Sama seperti serangan phishing lainnya, serangan ini juga diawali dengan email palsu.
"Pengguna harus waspada terhadap email mencurigakan yang menggunakan bahasa sensitif waktu untuk meminta pengguna mengambil tindakan mendesak," kata peneliti Unit42.
Gendre percaya bahwa senjata terbesar orang melawan serangan semacam itu adalah kesabaran, menjelaskan bahwa "orang cenderung membuka dan menanggapi email dengan sangat cepat. Pengguna harus meluangkan waktu untuk membaca dan memeriksa email untuk menentukan apakah ada sesuatu yang mencurigakan."
Jake juga menyarankan agar orang tidak mengklik tautan dalam email dan malah mengunjungi situs web layanan yang tampaknya telah mengirim email, baik dengan memasukkan URL-nya secara langsung atau melalui mesin pencari.
"Jika Anda dapat menggunakan pengelola kata sandi, produk ini dapat mencocokkan URL target dengan halaman saat ini yang Anda gunakan, dan jika tidak cocok, itu tidak akan memasukkan kata sandi Anda, yang seharusnya membunyikan bel alarm, " kata Jake.