Hacker Pakai Greatness, Pelaku Bisnis yang Menggunakan Layanan Cloud Microsoft 365 Terancam
Penjahat dunia maya akan menggunakan platform PhaaS atau PaaS Greatness yang baru untuk menyerang perusahaan yang menggunakan layanan cloud Microsoft 365 setidaknya mulai pertengahan 2022.
“Saat ini, Greatness hanya berfokus pada situs phishing Microsoft 365, menyediakan plugin dan pembuat tautan bagi pemangku kepentingan yang membuat umpan dan halaman umpan yang sangat menarik,” peneliti Cisco Talos Tiago Pereira dikutip oleh The Hacker News.
Baca Juga : Demi Tingkatkan Keamanan Informasi, Google Hapus Akun yang Lama Tidak Aktif
“Ini termasuk fitur seperti mengisi alamat email korban dan menampilkan logo perusahaan yang benar dan gambar latar belakang dari halaman login Microsoft 365 asli organisasi target.” Lanjutnya
Mengutip dari Cyberthreat.id, Serangan phishing dengan platform ini kebanyakan menyerang unit manufaktur, perawatan kesehatan, dan teknologi di AS, Inggris, Australia, Afrika Selatan, dan Kanada, dengan aktivitas puncak diamati pada Desember 2022 dan Maret 2023. Kit phishing seperti Greatness menawarkan pelaku ancaman, pemula atau lainnya, toko serba ada yang hemat biaya dan dapat diskalakan untuk merancang halaman login yang meyakinkan yang terhubung ke berbagai layanan online dan melewati perlindungan autentikasi dua faktor (2FA).
Secara khusus, halaman phishing yang tampaknya asli bertindak sebagai proxy balik untuk mengumpulkan kredensial berbasis waktu dan kata sandi satu kali (TOTP) yang dimasukkan oleh korban. Rantai serangan dimulai dengan email jahat dengan lampiran HTML yang, ketika dibuka, mengeksekusi kode JavaScript yang disamarkan yang mengarahkan pengguna ke laman landas dengan alamat email penerima yang sudah diisi sebelumnya, kata sandi, dan permintaan kode MFA.
Kredensial yang dimasukkan kemudian diteruskan ke saluran Telegram yang terhubung untuk mendapatkan akses tidak sah ke akun tersebut.
Baca Juga : BFI Finance Alami Serangan Siber, Bagaimana dengan Keamanan Data Nasabah?
Alat phishing AiTM juga memiliki panel kontrol yang memungkinkan mitra mengonfigurasi bot Telegram, melacak data yang dicuri, dan bahkan membuat pin atau tautan. Selain itu, setiap mitra diharapkan memiliki kunci API yang valid untuk memuat halaman phishing. Kunci API juga mencegah alamat IP yang tidak diinginkan menampilkan halaman phishing dan memfasilitasi komunikasi di balik layar dengan halaman login asli Microsoft 365 yang menyamar sebagai korban. “Bersama-sama, alat phishing dan API melakukan serangan ‘man-in-the-middle‘, meminta informasi dari korban, yang kemudian dikirim oleh API ke halaman login yang benar secara real time,” kata Pereira.
“Ini memungkinkan mitra PaaS untuk mencuri nama pengguna dan kata sandi, serta cookie sesi yang diautentikasi jika korban menggunakan MFA.”Dugaan ini muncul karena pada 8 Mei 2023 saat Microsoft mulai mengaktifkan pencocokan angka dalam pemberitahuan push Microsoft Authenticator untuk meningkatkan perlindungan 2FA untuk memerangi berbagai serangan secara cepat.
