Teknik phishing URL baru yang salah format dapat membuat serangan lebih sulit dikenali.
Perusahaan keamanan email GreatHorn memperingatkan bentuk baru serangan phishing yang membuat pesan berbahaya lebih mungkin melewati filter dan lebih sulit dideteksi oleh orang kebanyakan. Dengan menyembunyikan informasi phishing di awalan URL, penyerang dapat mengirim apa yang tampak seperti tautan ke situs web yang sah, bebas dari salah eja, dan semuanya, dengan alamat jahat yang tersembunyi di awalan tautan.
Program pemindaian email, kata GreatHorn dalam sebuah posting blog, tidak dikonfigurasi untuk mendeteksi jenis serangan ini karena tidak sesuai dengan kriteria buruk yang diketahui.
Serangan-serangan ini pertama kali terdeteksi oleh GreatHorn pada Oktober 2020, dan dengan cepat menjadi ancaman serius: Antara minggu pertama Januari 2021 dan awal Februari 2021, volume serangan yang menggunakan prefiks URL yang salah format meningkat sebesar 5.933%.
Awalan adalah bagian fundamental dari URL, dan mencakup protokol web yang akan digunakan tautan untuk dihubungkan, seperti HTTP, HTTPS, FTP, dan lainnya.
Biasanya, awalan diakhiri dengan titik dua dan dua garis miring ke depan (misalnya, http: //).
Dalam kasus trik baru ini, penyerang membuang garis miring kedua ke depan untuk menggunakan garis miring terbalik (misalnya, http: / \), lalu memasukkan URL berbahaya ke awalan sebelum memasukkan nama domain yang sah, yang diperlakukan sebagai subdirektori tambahan dari laman berbahaya — sempurna untuk membuat situs web phishing.
"Peramban memaafkan dan menganggap Anda bermaksud melakukan '//' saat Anda tidak sengaja mengetik '/ \', jadi mereka 'memperbaikinya' untuk Anda dan secara otomatis mengubahnya menjadi http: // yang membawa Anda ke tujuan," kata GreatHorn CEO Kevin O'Brien.
"Penjahat dunia maya dapat memasukkan tautan berbahaya dalam email ke dalam kotak masuk, dan ketika seseorang mengklik atau menyalinnya, meskipun formatnya salah sesuai dengan spesifikasi, browser dengan senang hati akan membawa Anda ke sana," kata O'Brien.
GreatHorn mengatakan telah mendeteksi jenis serangan URL yang salah format ini di semua jenis organisasi, tetapi farmasi, peminjaman, manajemen kontrak dan konstruksi, serta telekomunikasi paling terpukul. Selain itu, organisasi yang menjalankan Office 365 telah menjadi sasaran lebih sering.
Serangan itu dimulai pada bulan Oktober dengan upaya phishing yang meniru pesan pesan suara yang dikirim melalui email, sebuah taktik yang telah umum dan berhasil selama beberapa tahun .
Sejak itu, kata GreatHorn, serangan awalan URL yang salah format mulai menggunakan taktik baru, seperti:
• Memalsukan nama tampilan untuk mengelabui pengguna agar mengira email itu internal,
• Menggunakan domain dan pengirim yang tidak dikenal untuk mengelabui filter yang mencari pelaku yang diketahui jahat,
• Payload yang berisi link menggunakan domain redirector terbuka,
• Pesan penting yang dimaksudkan untuk mengelabui pengguna agar melakukan kesalahan.
Contoh tautan email phishing yang disertakan dalam posting blog menunjukkan bagaimana email pesan suara palsu menipu pengguna agar menyerahkan kredensial akun Microsoft mereka, lengkap dengan tes reCAPTCHA palsu dan alamat email yang diisi otomatis untuk memberikan kredibilitas situs lebih besar.
Meskipun serangan baru ini rumit dan sulit dideteksi oleh pengguna, GreatHorn mengatakan bahwa ada solusi yang relatif sederhana: Setel pemfilteran email untuk mencari "http: / \" dan hapus semua kecocokan. Meskipun hal ini dapat menyebabkan kesalahan positif jika seseorang melakukan kesalahan ketik, kesalahan sesekali perlu dilakukan untuk mengirim ulang pesan ketika keamanan individu dan organisasinya dipertaruhkan.