Internet Sehat : Microsoft telah memperingatkan pelanggan Office 365 bahwa mereka menjadi sasaran kampanye phishing yang tersebar luas yang bertujuan untuk menangkap nama pengguna dan kata sandi atau password.
Kampanye phishing yang sedang berlangsung menggunakan banyak tautan yang jika mengklik tautan tersebut akan menghasilkan serangkaian pengalihan yang mengarahkan korban ke halaman Google reCAPTCHA yang mengarah ke halaman login palsu tempat kredensial Office 365 dicuri.
Serangan khusus ini bergantung pada alat penjualan dan pemasaran email yang disebut open redirects yang telah disalahgunakan di masa lalu untuk mengarahkan pengunjung ke tujuan tepercaya ke situs jahat. Google tidak menilai pengalihan terbuka untuk URL Google sebagai kerentanan keamanan, tetapi menampilkan pemberitahuan pengalihan (redirect notice) di browser.
Microsoft memperingatkan fitur ini sedang digunakan oleh penyerang phishing. Penyerang dapat menyalahgunakan open redirects untuk menautkan ke URL di domain tepercaya dan menyematkan URL akhir yang berbahaya sebagai parameter. Penyalahgunaan tersebut dapat mencegah pengguna dan solusi keamanan mengenali kemungkinan niat jahat dengan cepat,
Microsoft telah menemukan lebih dari 350 domain phishing unik yang digunakan dalam kampanye ini, termasuk domain email gratis, domain yang disusupi, dan domain yang dibuat secara otomatis oleh algoritma pembuatan domain penyerang. Header subjek email disesuaikan dengan alat yang ditiru penyerang, seperti peringatan kalender untuk rapat Zoom, pemberitahuan spam Office 365, atau pemberitahuan tentang kebijakan kata sandi yang kedaluarsa.
Meskipun pengalihan terbuka bukanlah hal baru, Microsoft mengatasi masalah ini setelah melihat kampanye phishing pada bulan Agustus yang mengandalkan URL Microsoft palsu.
Verifikasi Google reCaptcha menambah legitimasi situs karena umumnya digunakan oleh situs web untuk mengonfirmasi bahwa pengguna bukan bot. Namun, dalam kasus ini, pengguna telah diarahkan ke halaman yang terlihat seperti halaman login Microsoft dan akhirnya mengarah ke halaman sah dari Sophos, yang memang menyediakan layanan untuk mendeteksi gaya serangan phishing ini.
Jika pengguna memasukkan kata sandi mereka, halaman akan disegarkan dan menampilkan pesan kesalahan yang menyatakan bahwa waktu halaman habis atau kata sandi salah dan mereka harus memasukkan kata sandi lagi. Ini kemungkinan dilakukan untuk membuat pengguna memasukkan kata sandi dua kali, memungkinkan penyerang untuk memastikan mereka mendapatkan kata sandi yang benar.
Begitu pengguna memasukkan kata sandi mereka untuk kedua kalinya, halaman tersebut mengarahkan ke situs web Sophos yang sah yang mengklaim bahwa pesan email telah dirilis. Ini menambahkan lapisan legitimasi palsu lainnya ke kampanye phishing.
Sumber : ZDNet
