Para pelanggan Office 365 sedang menjadi target dari sebuah kampanye phishing yang menggunakan pesan pembaruan VPN palsu untuk mencuri detail login mereka.
Seperti dilansir dari Techradar, para pakar keamanan telah menginformasikan bahwa kampanye yang dilakukan tampaknya meniru pesan sah yang memberi tahu para pekerja yang bekerja secara jarak jauh bahwa mereka perlu memperbarui konfigurasi VPN mereka saat bekerja dari rumah.
Email phishing yang digunakan dalam kampanye tersebut dibuat seolah-olah berasal dari departemen IT organisasi atau perusahaan mereka dalam upaya untuk memikat karyawan agar membukanya. Menurut perusahaan keamanan email Abnormal Security, sejauh ini ada sekitar 15.000 target yang telah menerima email phishing yang terlihat meyakinkan tersebut.
Penggunaan VPN telah meningkat dengan banyaknya karyawan yang bekerja dari rumah daripada sebelumnya. Hal ini karena munculnya pandemic, sehingga alasan mengapa kampanye phishing terbaru seperti ini sangat efektif. Karyawan mengandalkan VPN sebagai sarana untuk terhubung ke server perusahaan mereka dan mengakses data sensitif saat bekerja dari jarak jauh.
Para peretas di balik kampanye ini telah berusaha keras untuk membuat tidak hanya email phishing, tetapi mereka juga membuat halaman pendaratan phishing yang sangat meyakinkan. Ini akan membuat pengguna tidak menyadari bahwa halaman situs web tersebut bukan halaman resmi.
Awalnya para peretas akan memalsukan alamat email pengirim dalam email phishing mereka agar sesuai dengan domain organisasi target. Konfigurasi VPN yang dikirim dalam email ini akan membawa pengguna ke halaman pendaratan phishing yang telah mereka buat yang disamarkan secara akurat seolah-olah halaman itu milik Microsoft Office 365. Halaman login palsu ini juga di-host di domain yang dimiliki oleh Microsoft.
Dengan memanfaatkan platform Azure Blob Storage, para peretas dapat membuat halaman yang mereka buat memiliki sertifikat Microsoft yang valid dan menampilkan gembok aman karena mereka menggunakan sertifikat SSL wildcard web.core.windows.net wildcard. Sebagian besar pengguna akan melihat bahwa sertifikat dikeluarkan oleh Microsoft dan bahkan banyak yang tidak berpikir dua kali untuk memasukkan kredensial Office 365 mereka.
Dalam sebuah postingannya di blog, Abnormal Security memperingatkan bahwa kampanye phising tersebut telah tersebar luas dan banyak versi dari serangan tersebut.
“Banyak versi serangan ini telah dilihat di berbagai klien, dari email pengirim yang berbeda dan berasal dari alamat IP yang berbeda. Namun, tautan serta muatan yang digunakan sama, ini berarti bahwa I serangan tersebut dikirim oleh seorang penyerang tunggal yang mengontrol situs web phishing, ” seperti dikutip dari blog Abnormal Security.
Untuk menghindari menjadi korban kampanye phising ini, pengguna harus memasukkan kredensial Office 365 mereka di halaman login resmi yang diselenggarakan oleh Microsoft di domain microsoft.com, live.com, atau outlook.com.(hh)