Pelaku Ancaman Menggunakan Google Drive dan Dokumen untuk Menghosting Serangan Phishing Baru

Pelaku Ancaman Menggunakan Google Drive dan Dokumen untuk Menghosting Serangan Phishing Baru

 

Bacaan Lainnya

Pada hari Kamis, peneliti di email dan perusahaan keamanan kolaborasi Avanan mengungkapkan bahwa penyerang menggunakan alat standar dalam Google Docs/Drive yang memberikan tautan berbahaya yang bertujuan mencuri kredensial korban.

Dalam sebuah posting blog, Avanan mengatakan penyerang melewati pemindai tautan dan menghindari perlindungan keamanan umum yang bertujuan untuk memverifikasi tautan yang dikirim melalui email. Jeremy Fuchs, manajer konten pemasaran di Avanan, mengatakan ini adalah pertama kalinya mereka melihat peretas menggunakan jenis serangan ini melalui layanan dokumen yang dihosting Google. Biasanya, penyerang memikat korbannya ke situs web yang sah sebelum mengeksploitasi situs web tertentu.

Menurut laporan yang diterbitkan oleh Trend Micro, phishing tetap menjadi vektor ancaman teratas di dunia kejahatan dunia maya saat ini. Dari 62,6 miliar ancaman siber yang dianalisis oleh Trend Micro tahun lalu, lebih dari 91% dikirim melalui email. Sebelumnya, penyerang telah menggunakan vektor serangan di layanan yang lebih kecil seperti MailGun, FlipSnack, dan Movable Ink, menurut Avanan.

Menurut para peneliti, setelah peretas menerbitkan iming-iming, “Google menyediakan tautan dengan tag penyematan yang dimaksudkan untuk digunakan di forum untuk merender konten khusus. Penyerang tidak memerlukan tag iframe dan hanya perlu menyalin bagian tersebut dengan tautan Google Documents. Tautan ini sekarang akan membuat file HTML lengkap seperti yang dimaksudkan oleh penyerang dan juga akan berisi hyperlink pengalihan ke situs web jahat yang sebenarnya.”

Peretas kemudian menggunakan iming-iming phishing untuk membuat korban “Klik di sini untuk mengunduh dokumen.” Setelah korban mengklik, halaman tersebut dialihkan ke situs web phishing berbahaya yang sebenarnya melalui halaman web yang dirancang untuk meniru portal Google Login. Friedrich mengatakan peneliti Avanan juga melihat metode serangan yang sama yang digunakan untuk menipu email phishing DocuSign. Dalam hal ini, tombol “Lihat Dokumen” adalah tautan Google Documents yang diterbitkan yang sebenarnya adalah halaman masuk DocuSign palsu yang akan mengirimkan kata sandi yang dimasukkan ke server yang dikendalikan penyerang melalui tombol “Masuk”.

“Menggabungkan taktik ini dengan rekayasa sosial dapat menciptakan kampanye yang sangat meyakinkan di mana penyerang dapat menggesek kredensial login pribadi atau perusahaan. Pelaku ancaman tahu bahwa mencuri kredensial login yang sah adalah cara terbaik untuk diam-diam memasuki infrastruktur organisasi. Setelah penyerang memiliki kredensial login tersebut dan dapat masuk ke platform cloud, mereka telah memilih untuk membangun kampanye mereka, tidak ada batasan untuk data apa yang dapat mereka eksfiltrasi,” kata Hank Schless, manajer senior, solusi keamanan di Lookout.

Pos terkait