Kampanye Phishing Menargetkan Ratusan Perusahaan, Termasuk DoorDash dan Signal

Posted on by Syauqi Wiryahasana
Peneliti keamanan sedang menyelidiki serangan phishing skala besar yang menargetkan lebih dari 130 perusahaan,  termasuk lembaga keuangan, layanan pesan, dan operator telekomunikasi. Jangkauan kampanye peretasan ini, yang dijuluki “0ktapus”, mungkin memerlukan waktu beberapa tahun untuk mengungkap sepenuhnya. Untuk kejelasan, kampanye phishing ini tidak ada hubungannya dengan pelanggaran data terbaru LastPass. Namun ini terkait dengan serangan Twilio dan DoorDash yang dilaporkan pada tanggal 8 Agustus dan 25 Agustus.

0ktapus Mencuri Hampir 10.000 Kredensial Masuk

Kampanye phishing 0ktapus berfokus pada perusahaan besar AS, dikurangi beberapa outlier yang berbasis di negara lain di seluruh dunia. Dan yang mengejutkan, daftar target 0ktapus termasuk Microsoft, AT&T, Verizon, Coinbase, dan Twitter—sekali lagi, perusahaan-perusahaan ini adalah target, dan kami tidak tahu apakah mereka berhasil diretas. Pada tanggal 26 Agustus, Twilio dan DoorDash adalah satu-satunya perusahaan besar yang telah mengumumkan pelanggaran data 0ktapus. Kedua perusahaan mengatakan bahwa data pengguna diakses oleh peretas, meskipun Twilio mengatakan bahwa kredensial login aman. DoorDash memperingatkan bahwa sekelompok kecil pelanggan telah mencuri info masuk dan pembayaran mereka. A Laporan Cloudflare menjelaskan cara skema 0ktapus beroperasi. Pada dasarnya, satu ton karyawan di perusahaan yang ditargetkan (termasuk mantan karyawan) dikirimi pesan teks "otomatis" yang memperingatkan bahwa informasi login mereka telah kedaluwarsa. Tautan yang disematkan dalam pesan teks mengarah ke versi palsu situs web perusahaan mereka, yang mendorong pengguna untuk memperbarui sandi mereka. Setiap perusahaan yang ditargetkan dalam kampanye ini menggunakan layanan Okta Identity and Access Management. Dan mereka semua melindungi akun karyawan menggunakan otentikasi dua faktor (2FA). Jika perangkat yang tidak dikenal mencoba masuk ke akun karyawan, karyawan tersebut akan menerima kode verifikasi di ponselnya. Jadi, laman web 0ktapus meniru sistem identifikasi Okta. Saat seorang karyawan mengetikkan nama pengguna dan sandi mereka ke dalam halaman web 0ktapus, itu akan otomatis diteruskan ke saluran Telegram rahasia. Peretas mengambil informasi ini dan mencoba masuk ke akun karyawan, memicu proses verifikasi 2FA. Korban diminta untuk membagikan kode verifikasi 2FA dari ponsel mereka, yang memberi peretas akses ke backend perusahaan.

Kami Tidak Tahu Alasan Dibalik Serangan Ini

Kampanye phishing ini memiliki narasi yang relatif jelas. Group-IB melaporkan bahwa 0ktapus awalnya menargetkan perusahaan telekomunikasi, yang mungkin telah memberikan nomor telepon untuk upaya phishing 2FA berikutnya. Sebagian besar upaya phishing ini ditujukan untuk karyawan perusahaan. Secara teori, grup di balik 0ktapus bisa saja mencuri apa pun dari perusahaan, meskipun laporan saat ini menunjukkan bahwa grup tersebut mengincar data pelanggan. Informasi ini dapat digunakan dalam serangan di masa mendatang terhadap bisnis atau individu, tetapi sayangnya, kami tidak yakin apa yang diperoleh grup 0ktapus. Dan di sinilah hal-hal yang membuat frustrasi; kampanye 0ktapus agak serampangan. Para peneliti di Group-IB menyebutnya "amatir", mencatat bahwa grup 0ktapus gagal mengonfigurasi kit phishingnya dengan benar. Seperti yang kami sebutkan sebelumnya, 0ktapus menipu orang agar membagikan kode verifikasi 2FA (dan data login) dengan peretas. Tetapi kode verifikasi ini kedaluwarsa hanya dalam beberapa menit, jadi peretas tidak dapat membobol akun jika mereka tidak cukup cepat. Dan ternyata, grup 0ktapus duduk di depan komputer mereka sepanjang hari untuk mengetik kode 2FA secara manual, daripada menggunakan bot untuk memasukkan informasi dan membajak akun secara otomatis. Selain itu, korban skema phishing ini dipaksa (oleh domain phishing) untuk unduh versi asli AnyDesk. Anda tahu, perangkat lunak desktop jarak jauh untuk PC. Perangkat lunak ini sama sekali tidak berguna ketika menargetkan orang melalui pesan teks. Kami frustrasi karena perusahaan jatuh ke skema phishing "amatir". Terutama yang memiliki jejak kertas yang sangat jelas.

Hasil Riset Group-IB

Peneliti di Group-IB telah menemukan 169 domain unik yang terkait dengan 0ktapus. Sebagian besar domain ini adalah salinan terselubung dari situs web perusahaan dan menggunakan URL seperti http://att-mfa.com/. (Jangan kunjungi URL ini, tetapi harap perhatikan bahwa URL ini menggunakan HTTP alih-alih HTTPS—tanda yang jelas dari phishing.) Group-IB tidak perlu bersusah payah untuk menemukan domain ini. Grup di balik 0ktapus menggunakan kembali font, file gambar, dan skrip unik yang sama di situs web palsunya. Setelah Anda menemukan satu domain 0ktapus, menemukan sisanya adalah hal yang mudah. Lebih penting lagi, Group-IB menganalisis kit phishing 0ktapus untuk menemukan saluran Telegram yang terkait. Dan satu pengguna di saluran ini, seorang programmer berusia 22 tahun yang dijuluki "Subjek X", dilacak dan diidentifikasi. Komentar yang ditinggalkan “Subjek X” di grup Telegram lain mengungkapkan akun Twitter mereka dan dugaan lokasi. Meskipun relatif sukses 0ktapus, ini jelas merupakan operasi amatir. Itu berita bagus bagi pihak berwenang, tetapi itu juga pertanda bahwa perusahaan tidak menganggap serius keamanan.

Apa yang Harus Anda Lakukan?

Kami masih belum cukup tahu tentang kampanye 0ktapus. Agaknya, beberapa perusahaan perlu maju dan mengumumkan bahwa mereka diretas. Mengingat luasnya skema phishing ini, perlu waktu bertahun-tahun untuk mengungkap semua detailnya. Dikatakan demikian, kami hanya dapat memberi Anda saran biasa: Periksa URL apa pun yang dikirim melalui email atau pesan teks.Jangan berinteraksi dengan situs web yang menggunakan HTTP alih-alih HTTPS.Jika seseorang mengirimi Anda URL atau permintaan terkait pekerjaan, verifikasi bahwa itu autentik dengan perusahaan Anda.Aktifkan autentikasi dua faktor bila memungkinkan.Gunakan pengelola kata sandi untuk membuat kredensial login unik untuk setiap situs web.Jika pekerjaan Anda melibatkan data sensitif, tanyakan kepada tim keamanan perusahaan Anda tentang solusi FIDO2, seperti YubiKey.Tambahkan peringatan penipuan ke laporan kredit Anda untuk mengurangi dampak finansial dari pencurian identitas. Langkah-langkah ini akan meningkatkan keamanan Anda secara signifikan. Mereka juga akan memastikan bahwa, jika terjadi pelanggaran data, Anda dapat dengan cepat merespons dan (semoga) melindungi diri Anda sendiri. Sekali lagi, ini adalah cerita yang berkembang. Kami akan memperbarui artikel ini saat kami mempelajari informasi baru tentang kampanye 0ktapus. Untuk berita teknologi terkini, bergabunglah dengan buletin gratis kami. Itulah berita seputar Kampanye Phishing Menargetkan Ratusan Perusahaan, Termasuk DoorDash dan Signal, semoga bermanfaat. Disadur dari HowToGeek.com.

TENTANG EMKA.WEB>ID

EMKA.WEB.ID adalah blog seputar teknologi informasi, edukasi dan ke-NU-an yang hadir sejak tahun 2011. Kontak: kontak@emka.web.id.

©2024 emka.web.id Proudly powered by wpStatically