Digitalmania – Dunia phising tidak sesederhana kelihatannya, pengembangan cara baru terus berlanjut, seperti metode baru phising telepon baru-baru ini.
Operasi phising panggilan balik telah mengembangkan metode social engineering baru, membuat langganan palsu lama memikat untuk tahap pertama serangan, tetapi beralih ke berpura-pura membantu korban menangani infeksi atau peretasan.
Serangan yang berhasil menginfeksi korban dengan pemuat malware yang menjatuhkan muatan tambahan seperti trojan akses jarak jauh, spyware, dan ransomware.
Serangan phising panggilan telepon adalah kampanye email yang berpura-pura menjadi langganan premium yang dirancang untuk membingungkan penerima karena mereka tidak pernah berlangganan layanan ini.
Terlampir dalam email adalah nomor telepon yang dapat dihubungi penerima untuk mempelajari lebih lanjut tentang “langganan” ini dan membatalkannya.
Namun, ini mengarah pada serangan rsocial engineering yang menyebarkan malware pada perangkat korban dan, berpotensi, serangan ransomware besar-besaran.
Diawali BazarCall
Serangan phising panggilan balik pertama kali muncul pada Maret 2021 dengan nama “BazarCall,” di mana pelaku mulai mengirim email.
Email berpura-pura menjadi langganan layanan streaming, produk perangkat lunak, atau perusahaan layanan medis, memberikan nomor telepon untuk dihubungi jika mereka ingin membatalkan pembelian.
Saat penerima menelepon, pelaku memandu mereka melalui serangkaian langkah yang mengarah pada pengunduhan file Excel yang akan menginstal malware BazarLoader.
BazarLoader akan menyediakan akses jarak jauh ke perangkat yang terinfeksi, menyediakan akses awal ke jaringan perusahaan dan akhirnya mengarah ke serangan ransomware Ryuk atau Conti.
Seiring waktu, serangan phising callback telah muncul sebagai ancaman yang signifikan karena sekarang digunakan oleh banyak kelompok peretas.
Kelompok peretas yang diketahui menggunakan metode baru phising telepon tersebut diantaranya Grup Silent Ransom, Quantum, dan ransomware Royal/operasi pemerasan.
Trik Baru
Proses social engineering telah berubah dalam kampanye metode baru phising telepon baru-baru ini, meskipun umpan dalam email phising tetap sama.
Namun kali ini, ada faktur untuk pembayaran yang dilakukan ke Geek Squad, Norton, McAfee, PayPal, atau Microsoft, berikut langkah-langkahnya:
-
Setelah penerima menelepon balik scammer pada nomor yang diberikan, mereka diminta untuk memberikan rincian faktur untuk “verifikasi.”
-
Selanjutnya, scammer menyatakan bahwa tidak ada entri yang cocok dalam sistem dan bahwa email yang diterima korban adalah spam.
-
Kemudian, agen layanan pelanggan yang seharusnya memperingatkan korban bahwa email spam mungkin telah mengakibatkan infeksi malware pada mesin mereka, menawarkan untuk menghubungkan mereka dengan spesialis teknis.
-
Setelah beberapa saat, scammer yang berbeda menelepon korban untuk membantu dan mengarahkan mereka ke situs web tempat mereka mengunduh malware yang menyamar sebagai perangkat lunak antivirus.
-
Varian lain yang digunakan dalam serangan phising bertema PayPal adalah menanyakan korban apakah mereka menggunakan PayPal
-
Dan kemudian dengan susah payah memeriksa email mereka untuk mencari terjadinya peretasan, mengklaim bahwa akun mereka diakses oleh delapan perangkat yang tersebar di berbagai lokasi di seluruh dunia.
-
Dalam kampanye pembaruan langganan perangkat lunak keamanan, scammer mengklaim bahwa produk keamanan yang diinstal sebelumnya dengan laptop korban kedaluwarsa dan diperbarui secara otomatis untuk memperpanjang perlindungan.
-
Akhirnya, scammer mengarahkan korban ke portal pembatalan dan pengembalian dana yang merupakan situs yang berfungsi untuk menyusupkan malware.
Hasil dari semua operasi ini adalah meyakinkan korban untuk mengunduh malware, yang dapat berupa BazarLoader, trojan akses jarak jauh, Cobalt Strike, atau perangkat lunak akses jarak jauh lainnya, tergantung pada pelaku ancaman.
Mengambil Kendali Jarak Jauh Perangkat
Sebagian besar operasi ini mendorong executable ClickOnce bernama support.Client.exe, yang ketika diluncurkan menginstal alat akses jarak jauh ScreenConnect.
Pelaku juga dapat menampilkan layar kunci palsu dan membuat sistem tidak dapat diakses oleh korban, dimana pelaku dapat melakukan tugas tanpa disadari oleh korban.
Dalam beberapa kasus yang dilihat oleh analis keamanan, scammers membuka formulir pembatalan palsu dan meminta korban untuk mengisinya dengan data pribadi mereka.
Akhirnya, untuk menerima pengembalian dana, korban didesak masuk ke rekening bank mereka, dimana mereka ditipu untuk mengirim uang ke scammer.
“Ini dicapai dengan mengunci layar korban dan memulai permintaan transfer-out dan kemudian membuka kunci layar ketika transaksi memerlukan OTP (One Time Password) atau kata sandi sekunder,”
Korban juga diberikan halaman sukses pengembalian uang palsu untuk meyakinkan dia agar percaya bahwa mereka telah menerima pengembalian dana.
Penipu juga dapat mengirim SMS kepada korban dengan pesan penerimaan uang palsu sebagai taktik tambahan untuk mencegah korban curiga.
Tentu saja, kehilangan uang hanyalah salah satu masalah yang dapat dihadapi oleh pengguna yang terinfeksi, karena pelaku dapat menyusupkan malware tambahan yang lebih jahat kapan saja, memata-matai mereka dalam jangka panjang dan mencuri informasi yang sangat sensitif. Digitalmania. AN