Sebagai Chief Information Security Officer (CISO), selalu penting untuk tetap waspada terhadap potensi serangan phishing. Baru-baru ini, sebuah contoh phishing langsung mencuri perhatian karena beberapa hal yang mencurigakan. Yang paling mencolok adalah alasan mengapa permintaan tersebut diterima, padahal alamat email korporat tidak pernah digunakan di PayPal. Selain itu, alamat tujuan email, yaitu “Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com,” jelas bukan milik penerima yang seharusnya.
Mengidentifikasi Tanda-Tanda Phishing yang Jelas
Biasanya, email seperti ini akan segera dilaporkan dan diabaikan, namun kali ini rasa penasaran muncul. Ketika melihat sebuah email phishing, sering kali muncul pertanyaan, “Bagaimana jika ibu seseorang yang menerima email ini?” Apa yang akan dilakukan ibu tersebut berdasarkan metode yang telah diajarkan untuk mengenali phishing?
Mencari Ciri-Ciri Phishing yang Jelas
Pertama-tama, alamat pengirim tampaknya sah dan tidak tampak disamarkan.
Selain itu, URL yang digunakan juga terlihat asli.
Pada titik ini, email ini tampak seperti email yang sah—setidaknya kita mungkin akan menganggapnya begitu. Lalu, apa yang sebenarnya terjadi?
Apa Masalahnya?
Email yang sah tidak akan menimbulkan masalah, bukan? Nah, berikut ini masalahnya. Ketika Anda mengklik tautan tersebut, Anda akan diarahkan ke halaman login PayPal yang menampilkan permintaan pembayaran. Seseorang yang panik mungkin akan terburu-buru login dengan data akun mereka, tetapi ini sangat berbahaya. Hal ini menghubungkan alamat akun PayPal Anda dengan alamat yang seharusnya tidak Anda terima—dalam hal ini, PayPal mengira bahwa permintaan ini dikirim ke Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com.
Bagaimana Cara Kerja Phishing Ini?
Penipu tampaknya hanya mendaftarkan domain uji coba MS365 yang gratis selama tiga bulan dan kemudian membuat Daftar Distribusi (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) yang berisi email korban, seperti yang ditunjukkan di bawah ini:
Pada portal web PayPal, mereka hanya meminta uang dan menambahkan daftar distribusi sebagai alamat tujuan:
Permintaan uang ini kemudian didistribusikan ke korban yang ditargetkan, dan sistem SRS (Sender Rewrite Scheme) Microsoft365 menulis ulang pengirimnya menjadi sesuatu seperti bounces+SRS=onDJv=S6[@]5ln7g7.onmicrosoft.com, yang akan lolos dari pemeriksaan SPF/DKIM/DMARC.
Begitu korban yang panik login untuk memeriksa apa yang sedang terjadi, akun penipu (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) akan terhubung dengan akun PayPal korban. Penipu sekarang bisa mengendalikan akun PayPal korban—sebuah trik yang sangat cerdik. Saking cerdiknya, metode ini bisa lolos bahkan dari pengecekan phishing PayPal sendiri.
Bagaimana Cara Melindungi Diri dari Phishing Ini?
Keindahan serangan ini adalah karena ia tidak menggunakan metode phishing tradisional. Email, URL, dan elemen lainnya terlihat valid. Oleh karena itu, solusi terbaik adalah Human Firewall—seseorang yang terlatih untuk berhati-hati dan waspada terhadap email yang tidak diminta, apapun bagaimana email tersebut tampak sah. Ini menekankan pentingnya memastikan bahwa tenaga kerja Anda mendapatkan pelatihan untuk mengenali ancaman seperti ini, agar mereka—dan organisasi Anda—tetap aman.
Perlindungan Menggunakan FortiMail
Meskipun ini adalah email yang sah dalam banyak hal, masih mungkin untuk membuat aturan DLP (Data Loss Prevention) untuk mencari beberapa kondisi yang mengindikasikan bahwa email ini dikirim melalui daftar distribusi. Berikut adalah aturan yang akan berhasil mengidentifikasi kasus seperti ini:
Tabel Perbandingan
Berikut adalah tabel yang menggambarkan beberapa elemen utama dari serangan phishing PayPal ini:
| Elemen | Keterangan |
| Alamat Pengirim | Terlihat sah dan tidak terduga, tidak ada indikasi pemalsuan. |
| URL | Tampak valid, namun mengarah ke halaman login palsu. |
| Daftar Distribusi MS365 | Penipu menggunakan domain uji coba gratis dari Microsoft365. |
| Metode Pengelabuan | Pengirim diganti menggunakan SRS untuk lolos dari pemeriksaan SPF/DKIM/DMARC. |
| Dampak | Jika korban login, akun PayPal korban terhubung dengan penipu, memungkinkan akses penuh ke akun. |
Kesimpulan
Serangan phishing ini adalah contoh dari teknik yang sangat cerdik, di mana penipu memanfaatkan domain yang sah dan URL yang valid, tetapi dengan cara yang sangat licik dapat mengakses akun PayPal korban. Meskipun terlihat sah, email ini tetap membawa risiko besar jika pengguna tidak berhati-hati. Ini menegaskan pentingnya pelatihan karyawan dan pengguna untuk mengenali phishing, meskipun email tersebut tampak sah. Sebagai tambahan, penerapan sistem perlindungan seperti FortiMail dapat membantu mengidentifikasi dan mencegah serangan berbasis distribusi email ini.