Kit phishing canggih telah menargetkan orang Amerika Utara sejak pertengahan September, menggunakan umpan yang berfokus pada hari libur seperti Hari Buruh dan Halloween.
Kit ini menggunakan beberapa teknik deteksi penghindaran dan menggabungkan beberapa mekanisme untuk menjauhkan non-korban dari halaman phishingnya.
Menurut Akamai, yang peneliti keamanannya menemukan kampanye tersebut, salah satu fitur kit yang paling menarik adalah sistem berbasis token yang memastikan setiap korban dialihkan ke URL halaman phishing yang unik.
Ikhtisar kampanye
Kampanye yang terlihat oleh Akamai dimulai pada September 2022 dan berlanjut sepanjang Oktober, memangsa pembeli online yang mencari “spesial liburan”.
Tema sentral dari email phishing yang dikirim ke calon korban adalah kesempatan untuk memenangkan hadiah dari merek ternama.
Tautan dalam email tidak membunyikan alarm apa pun karena mengarah ke situs phishing setelah serangkaian pengalihan, sementara pemendek URL menyembunyikan sebagian besar URL.
Selain itu, penyerang menyalahgunakan layanan cloud yang sah seperti Google, AWS, dan Azure, menyalahgunakan reputasi baik mereka untuk melewati mekanisme perlindungan.
Setiap orang yang mengunjungi situs phishing memenangkan hadiah yang dijanjikan setelah menyelesaikan survei singkat. Selain itu, pengatur waktu lima menit memastikan mereka yang mengikuti survei diresapi dengan perasaan mendesak.
Beberapa merek yang ditiru termasuk perusahaan barang olahraga Dick’s, pembuat koper kelas atas Tumi, Delta Airlines, dan klub grosir, Sam’s Club dan Costco.
Sumber: ScamWatcher
Untuk meningkatkan keefektifan kampanye, pelaku phishing memasukkan testimonial pengguna palsu yang menunjukkan hadiah yang diterima.
Sumber: Akama
Setelah “memenangkan” hadiah, korban diminta untuk menanggung biaya pengiriman untuk menerima hadiah, yang mana mereka harus memasukkan rincian kartu pembayaran mereka.
Tentu saja, tidak ada hadiah yang harus dikirimkan, dan detail kartu kredit dicuri oleh pelaku ancaman untuk digunakan dalam pembelian online.
Akamai mengatakan sekitar 89% pengguna yang menggunakan domain phishing berasal dari Amerika Serikat dan Kanada.
Bergantung pada lokasi persisnya, pengalihan membawa mereka ke situs phishing berbeda yang meniru merek yang tersedia secara lokal.
Setiap korban mendapatkan URL unik
Setiap email phishing berisi tautan ke halaman arahan dengan jangkar (#) biasanya digunakan untuk mengarahkan pengunjung ke bagian tertentu dari halaman yang ditautkan.
Dalam kampanye phishing ini, tag jangkar mewakili token yang digunakan oleh JavaScript pada pendaratan phishing untuk merekonstruksi URL yang menjadi tujuan pengalihan target.
“Nilai yang berada setelah jangkar HTML tidak akan dianggap sebagai parameter HTTP dan tidak akan dikirim ke server, namun nilai ini akan dapat diakses oleh kode JavaScript yang berjalan di browser korban,” jelas Akamai.
“Dalam konteks penipuan phishing, nilai yang ditempatkan setelah jangkar HTML mungkin diabaikan atau diabaikan saat dipindai oleh produk keamanan yang memverifikasi apakah itu berbahaya atau tidak.”
“Nilai ini juga akan hilang jika dilihat oleh alat inspeksi lalu lintas.”
Akamai membagikan gambar berikut yang menunjukkan bagaimana jangkar tautan phishing digunakan untuk membuat tautan pengalihan.
Sumber: Akama
Produk keamanan dan alat pemeriksaan lalu lintas jaringan mengabaikan token ini, sehingga tidak menimbulkan risiko bagi pelaku phishing.
Sebaliknya, ini membantu menjauhkan lalu lintas yang tidak diinginkan, peneliti, analis, dan pengunjung acak dari halaman arahan phishing.
Mereka yang tidak memiliki token yang valid, dan pengalihan browser yang tidak menggunakan JavaScript untuk perenderannya, akan gagal mengakses situs phishing.
Selain memfilter non-korban, token juga dapat digunakan untuk pelacakan khusus korban, pengukuran kinerja kampanye, dan lainnya.
Singkatnya, kit ini menggabungkan hampir semua teknik yang dikenal untuk keefektifan dan penghindaran deteksi, menjadikannya ancaman yang kuat bagi orang Amerika Utara.
Menjelang musim belanja Black Friday dan Natal, konsumen harus ekstra waspada saat menerima pesan tentang promosi dan penawaran khusus.
