Peretas menargetkan karyawan yang kembali ke kantor pasca-COVID – TechCrunch

0
41


Dengan pencabutan pembatasan COVID-19 dan karyawan mulai kembali ke kantor, peretas dipaksa untuk mengubah taktik. Sementara pekerja jarak jauh telah menjadi target utama scammers selama 18 bulan terakhir karena perpindahan massal ke pekerjaan rumahan yang diperlukan oleh pandemi, yang baru pengelabuan kampanye berusaha untuk mengeksploitasi mereka yang sudah mulai kembali ke tempat kerja fisik.

Kampanye berbasis email, diamati oleh Cofense, menargetkan karyawan dengan email yang mengaku berasal dari CIO mereka untuk menyambut mereka kembali ke kantor.

Email tersebut terlihat cukup sah, dengan logo resmi perusahaan di header, serta bertanda tangan spoofing CIO. Sebagian besar pesan menguraikan tindakan pencegahan baru dan perubahan pada operasi bisnis yang diambil perusahaan relatif terhadap pandemi.

Jika seorang karyawan tertipu oleh email tersebut, mereka akan dialihkan ke halaman Microsoft SharePoint yang menghosting dua dokumen bermerek perusahaan. “Saat berinteraksi dengan dokumen-dokumen ini, terlihat jelas bahwa dokumen itu tidak asli dan malah merupakan mekanisme phishing untuk mendapatkan kredensial akun,” jelas Dylan Main, analis ancaman di Cofense’s Phishing Defense Center.

Namun, jika korban memutuskan untuk berinteraksi dengan salah satu dokumen, panel login akan muncul dan meminta penerima untuk memberikan kredensial login untuk mengakses file.

“Ini tidak umum di antara kebanyakan halaman phishing Microsoft di mana taktik spoofing layar login Microsoft membuka panel pengautentikasi,” lanjut Main. “Dengan memberikan tampilan file yang nyata dan tidak mengarahkan ke halaman login lain, pengguna mungkin lebih cenderung memberikan kredensial mereka untuk melihat pembaruan.”

Teknik lain yang digunakan peretas adalah penggunaan kredensial tervalidasi palsu. Beberapa kali informasi login pertama dimasukkan ke panel, hasilnya akan menjadi pesan kesalahan yang menyatakan: “Akun atau kata sandi Anda salah.”

“Setelah memasukkan informasi login beberapa kali, karyawan tersebut akan diarahkan ke halaman Microsoft yang sebenarnya,” kata Main. “Ini memberi kesan bahwa informasi login sudah benar, dan karyawan sekarang memiliki akses ke dokumen OneDrive. Pada kenyataannya, pelaku ancaman sekarang memiliki akses penuh ke informasi pemilik akun. “

Meskipun ini adalah salah satu kampanye pertama yang diamati menargetkan karyawan yang kembali ke tempat kerja (peneliti Check Point menemukan yang lain tahun lalu), itu tidak mungkin menjadi yang terakhir. Kedua Google dan Microsoft, misalnya, telah mulai menyambut staf kembali ke bilik kantor, dan sekitar 75% eksekutif berharap bahwa setidaknya 50% karyawan akan kembali bekerja di kantor pada bulan Juli, menurut laporan terbaru. Studi PwC.

Aktor ancaman biasanya beradaptasi untuk mengeksploitasi lingkungan global. Sama seperti pergeseran ke pekerjaan massal melalui koneksi jarak jauh yang menyebabkan peningkatan jumlah serangan yang mencoba mengeksploitasi kredensial login jarak jauh, sepertinya jumlah serangan yang menargetkan jaringan di lokasi dan pekerja berbasis kantor akan terus bertambah selama beberapa bulan mendatang.



Sumber

LEAVE A REPLY

Please enter your comment!
Please enter your name here