HACKER GUNAKAN SERANGAN PHISHING CALL BACK UNTUK MENDAPATKAN AKSES KE DALAM JARINGAN

,

Perusahaan keamanan siber CrowdStrike dalam laporan yang dikeluarkan  tanggal 8 Juli 2022 menyatakan saat ini kelompok peretas melakukan serangan siber dengan cara mengirimkan  email phishing call back yang mengatasnamakan perusahaan keamanan siber terkenal, seperti CrowdStrike, untuk mendapatkan akses awal masuk ke dalam jaringan perusahaan. Sebagian besar kampanye phishing menyematkan tautan ke situs milik peretas yang bertujuan mencuri kredensial masuk atau email dengan menyertakan lampiran berbahaya untuk menginstal malware.

Dalam kampanye phishing callback ini pelaku yang menyamar sebagai analis dari perusahaan keamanan siber CrowdStrike memperingatkan bahwa work station korban sedang disusupi oleh pelaku peretasan, untuk itulah perusahaan merasa perlu untuk segera melakukan audit keamanan secara mendalam dengan cara diberikan akses ke dalam perangkat korban. Melalui email tersebut juga pelaku meminta korban menghubungi mereka melalui nomor telepon yang terlampir dalam email untuk melakukan penjadwalan audit keamanan.

Berdasarkan identifikasi dari analis CrowdStrike bahwa kampanye serupa pernah terjadi pada Maret 2022 di mana pelaku ancaman menggunakan AteraRMM untuk menginstal Cobalt Strike dan kemudian bergerak secara bebas di dalam jaringan korban sebelum dilakukan penyebaran malware.  Peneliti keamanan dari perusahaan keamanan AdvIntel Vitali Kremez mengatakan bahwa kampanye yang dilihat oleh CrowdStrike diyakini dilakukan oleh geng ransomware Quantum, yang telah meluncurkan kampanye BazarCall mereka sendiri.

 

Analisa Peristiwa (Analysis of Event).

Berdasarkan fakta-fakta diatas, maka dapat disampaikan analisa peristiwa sebagai berikut :

Peringatan yang dikeluarkan perusahaan keamanan siber CrowdStrike menunjukan bahwa serangan dalam bentuk Phishing Call Back merupakan serangan dengan menggunakan metode social engineering atau rekayasa sosial yaitu teknik manipulasi psikologis memanfaatkan kesalahan manusia untuk mendapatkan akses pada informasi pribadi atau data-data berharga, yang hingga saat ini masih menjadi teknik yang paling banyak digunakan apalagi dengan mengatasnamakan perusahaan keamanan siber terkenal. Berdasarkan informasi yang dikumpulkan dari berbagai sumber media, diduga serangan ini dilakukan oleh kelompok peretas canggih yang dinamakan Wizard Spider yang merupakan kelompok peretas dari Rusia dan dikenal sebagai grup pemilik varian malware terkenal seperti Conti, TrickBot, Ryuk dan Cobalt Strike.

Berdasarkan informasi dari berbagai media, diketahui bahwa vektor yang dijadikan pintu masuk mengeksfiltrasi seluruh data adalah Social Engineering dalam bentuk phishing mail “call back” yang berisi informasi bahwa jaringan korban disusupi peretas, kemudian pelaku meminta korban menelepon nomor yang tertera agar pelaku dapat meyakinkan korban untuk menginstal perangkat lunak yang telah diinjeksi malware RAT (Random Acces Trojan) komersial untuk mendapatkan pijakan awal masuk ke jaringan perusahaan kemudian menyebar secara bebas di dalam jaringan, melakukan pencurian data perusahaan, dan menyebarkan malware tambahan yang dinamakan quantum ransomware untuk mengenkripsi perangkat.

Metode social engineering dalam bentuk phishing merupakan penipuan komunikasi elektronik atau e-mail yang ditargetkan untuk mencuri credential login, enkripsi data-data dan untuk menginstal malware di komputer pengguna yang ditargetkan. Teknik kejahatan ini dapat dialami juga oleh personel TNI Angkatan Laut sehingga dibutuhkan pemahaman dan edukasi terkait berbagai teknik kejahatan siber dengan teknik social engineering berbentuk spearphishing ini.

 

Saran Keamanan Informasi (Security Advice).

  1. Jangan sembarangan mengklik setiap lampiran dan link yang datang ke kotak masuk email.
  2. Update anti-virus atau anti-malware secara teratur
  3. Lakukan klarifikasi kepada pihak terkait saat menerima email tidak dikenal mengatasnamakan pihak tertentu.
  4. Lakukan Update OS, Software, Firmware, dan Endpoints.
  5. Menerapkan otentikasi dua faktor terhadap kredensial login pengguna dan menerima tanggapan melalui teks bukan melalui email.
  6. Tidak mengklik link dan lampiran file yang dikirim melalui email yang tidak dikenal.
  7. Mengaudit akun pengguna secara teratur, terutama akun Pemantauan dan Manajemen Jarak Jauh.

Sumber :  https://www.bleepingcomputer.com/news/security/hackers-impersonate-cybersecurity-firms-in-callback-phishing-attacks/

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.