Sekelompok pelaku jahat telah meningkatkan kampanye phishing mereka untuk mengelabui perusahaan besar (terutama yang bergerak di sektor energi, layanan profesional, dan konstruksi) agar mengirimkan kredensial akun Microsoft Office 365 mereka. Menurut laporan dari perusahaan solusi deteksi dan respons phishing Cofense, operator kampanye membuat perbaikan dalam proses dan desain elemen iming-iming mereka dan sekarang menyamar sebagai lembaga pemerintah AS lainnya, seperti Departemen Transportasi, Perdagangan, dan Tenaga Kerja.
“Aktor ancaman menjalankan serangkaian kampanye spoofing beberapa departemen pemerintah Amerika Serikat,” kata Cofense. “Email tersebut mengklaim meminta tawaran untuk proyek pemerintah tetapi mengarahkan korban ke halaman phishing kredensial. Kampanye ini telah berlangsung setidaknya sejak pertengahan 2019 dan pertama kali tercakup dalam Flash Alert kami pada Juli 2019. Kampanye lanjutan ini dibuat dengan baik, telah terlihat di lingkungan yang dilindungi oleh gateway email aman (SEG), sangat meyakinkan, dan muncul untuk ditargetkan. Mereka telah berkembang dari waktu ke waktu dengan meningkatkan konten email, konten PDF, dan tampilan serta perilaku halaman phishing kredensial.”
Pdf terlampir dengan tautan tersemat ke kampanye halaman phishing kredensial (Kredit Gambar: Cofense)
Cofense menunjukkan serangkaian tangkapan layar yang membandingkan materi sebelumnya dan sekarang yang digunakan oleh penyerang. Pertama untuk mendapatkan peningkatan ini adalah email dan PDF, yang sekarang sedang disesuaikan agar tampak lebih otentik. “Email awal memiliki badan email yang lebih sederhana tanpa logo dan dengan bahasa yang relatif lugas,” tambah Cofense. “Email yang lebih baru menggunakan logo, blok tanda tangan, pemformatan yang konsisten, dan instruksi yang lebih detail. Email terbaru juga menyertakan tautan untuk mengakses PDF daripada melampirkannya secara langsung.”
Beranda Departemen Tenaga Kerja palsu
Di sisi lain, untuk mencegah kecurigaan korban, pelaku ancaman juga melakukan perubahan pada halaman phishing kredensial, mulai dari proses login hingga desain dan tema. URL halaman juga sengaja diubah menjadi yang lebih panjang (misalnya, transport[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), jadi target hanya akan melihat bagian.gov di browser yang lebih kecil jendela. Selain itu, kampanye sekarang menampilkan persyaratan captcha dan petunjuk lain untuk membuat prosesnya lebih dapat dipercaya.
Penyempurnaan dalam kampanye semacam itu membuat pembedaan situs web dan dokumen asli dari situs palsu menjadi lebih menantang bagi target, terutama sekarang karena para pelakunya menggunakan informasi terbaru yang disalin dari sumber asli. Meskipun demikian, Cofense menekankan bahwa masih ada cara untuk mencegah menjadi korban dari tindakan ini. Selain melihat detail kecil (misalnya, tanggal yang salah pada halaman dan URL yang mencurigakan), semua penerima harus selalu berhati-hati dalam mengklik tautan, tidak hanya tautan yang disematkan di email tetapi juga tautan yang ada di lampiran.
