Sebagai CISO, saya selalu waspada terhadap upaya phishing, dan contoh terbaru ini langsung membunyikan alarm. Yang paling jelas, mengapa saya bahkan menerima permintaan ini? Saya tidak menggunakan alamat email perusahaan saya di PayPal. Selain itu, alamat tujuan (To:), “Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com,” bukan milik saya.
Tangkapan layar email phishing PayPal
Biasanya, ini akan menyebabkan tindakan ‘laporkan dan lanjutkan’ dari saya, tetapi saya sedikit tertarik. Setiap kali saya melihat email phishing, saya selalu berpikir, WWMMD (apa yang akan dilakukan ibu saya?). Bagaimana saya akan merespons berdasarkan semua metode yang saya ajarkan padanya untuk dicari?
Mencari tanda-tanda phishing yang jelas
Pertama-tama, alamat pengirim tampaknya valid dan tidak dipalsukan.
Alamat pengirim phishing PayPal …dan URL-nya terlihat asli.
URL asli phishing PayPal Pada titik ini, ini tampaknya email yang sah—setidaknya, ibu saya mungkin berpikir demikian. Jadi, apa yang sedang terjadi?
Apa yang menjadi jebakannya?
Email yang sah masih bisa menjadi masalah, bukan? Nah, inilah jebakannya dalam kasus ini. Ketika Anda mengklik tautan, Anda akan diarahkan ke halaman login PayPal yang menampilkan permintaan pembayaran. Seseorang yang panik mungkin tergoda untuk login dengan detail akun mereka, tetapi ini akan sangat berbahaya. Itu akan menghubungkan alamat akun PayPal Anda dengan alamat yang diterima—bukan alamat yang Anda terima. Dalam hal ini, PayPal mengira permintaan ini dikirim ke Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com.
Tangkapan layar billing phishing PayPal Bagaimana ini bekerja? Penipu tampaknya hanya mendaftarkan domain uji MS365, yang gratis selama tiga bulan, dan kemudian membuat Daftar Distribusi (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) yang berisi email korban, seperti yang ditunjukkan di bawah:
Domain uji MS365 phishing PayPal terdaftar Di portal web PayPal, mereka hanya meminta uang dan menambahkan daftar distribusi sebagai alamat:
Tangkapan layar portal web PayPal phishing Permintaan uang ini kemudian didistribusikan ke korban yang ditargetkan, dan Microsoft365 SRS (Sender Rewrite Scheme) menulis ulang pengirim menjadi, misalnya, bounces+SRS=onDJv=S6[@]5ln7g7.onmicrosoft.com, yang akan lolos dari pemeriksaan SPF/DKIM/DMARC.
Begitu korban yang panik login untuk melihat apa yang sedang terjadi, akun penipu (Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com) akan terhubung ke akun korban. Penipu kemudian dapat mengambil alih akun PayPal korban—trik yang sangat canggih. Ini begitu canggih, bahkan dapat lolos dari instruksi pemeriksaan phishing PayPal sendiri.
Instruksi pemeriksaan phishing PayPal Bagaimana saya melindungi diri? Keindahan dari serangan ini adalah bahwa itu tidak menggunakan metode phishing tradisional. Email, URL, dan semuanya tampak sah. Sebagai gantinya, solusi terbaik adalah Firewall Manusia—seseorang yang telah dilatih untuk waspada dan berhati-hati terhadap setiap email yang tidak diminta, tidak peduli seberapa sah pun itu terlihat. Ini, tentu saja, menyoroti kebutuhan untuk memastikan bahwa tenaga kerja Anda menerima pelatihan yang mereka butuhkan untuk mengenali ancaman seperti ini guna menjaga keselamatan mereka—dan organisasi Anda.
Perlindungan FortiMail Ini adalah email yang valid dengan cara yang paling umum. Namun, masih mungkin untuk membuat aturan DLP untuk mencari beberapa kondisi yang menunjukkan bahwa email ini dikirim melalui daftar distribusi. Aturan berikut akan berhasil mengidentifikasi kasus seperti ini.