Dengan pencabutan pembatasan COVID-19 dan karyawan mulai kembali ke kantor, peretas terpaksa mengubah taktik. Sementara pekerja jarak jauh telah menjadi target utama penipu selama 18 bulan terakhir karena perpindahan massal ke pekerjaan rumahan yang diharuskan oleh pandemi, kampanye phishing baru mencoba mengeksploitasi mereka yang sudah mulai kembali ke tempat kerja fisik.
Kampanye berbasis email, diamati oleh Cofense, menargetkan karyawan dengan email yang mengaku berasal dari CIO mereka menyambut mereka kembali ke kantor.
Email tersebut terlihat cukup sah, menampilkan logo resmi perusahaan di header, serta ditandatangani sebagai pemalsuan CIO. Sebagian besar pesan menguraikan tindakan pencegahan baru dan perubahan pada operasi bisnis yang dilakukan perusahaan sehubungan dengan pandemi.
Jika seorang karyawan tertipu oleh email tersebut, mereka akan dialihkan ke halaman Microsoft SharePoint yang menampung dua dokumen bermerek perusahaan. “Ketika berinteraksi dengan dokumen-dokumen ini, menjadi jelas bahwa mereka tidak asli dan sebaliknya merupakan mekanisme phishing untuk mendapatkan kredensial akun,” jelas Dylan Main, analis ancaman di Cofense’s Phishing Defense Center.
Namun, jika korban memutuskan untuk berinteraksi dengan salah satu dokumen, panel login akan muncul dan meminta penerima untuk memberikan kredensial login untuk mengakses file.
“Hal ini tidak biasa di antara sebagian besar halaman phishing Microsoft di mana taktik memalsukan layar masuk Microsoft membuka panel autentikator,” lanjut Main. “Dengan memberikan tampilan file yang nyata dan tidak mengarahkan ke halaman login lain, pengguna mungkin lebih cenderung memberikan kredensial mereka untuk melihat pembaruan.”
Teknik lain yang digunakan peretas adalah penggunaan kredensial palsu yang divalidasi. Beberapa kali informasi login pertama kali dimasukkan ke panel, hasilnya adalah pesan kesalahan yang berbunyi: “Akun atau kata sandi Anda salah.”
“Setelah memasukkan informasi login beberapa kali, karyawan akan dialihkan ke halaman Microsoft yang sebenarnya,” kata Main. “Ini memberikan kesan bahwa informasi masuk sudah benar, dan karyawan sekarang memiliki akses ke dokumen OneDrive. Kenyataannya, pelaku ancaman sekarang memiliki akses penuh ke informasi pemilik akun.”
Meskipun ini adalah salah satu kampanye pertama yang diamati menargetkan karyawan yang kembali ke tempat kerja (peneliti Check Point menemukan yang lain tahun lalu), ini tidak mungkin menjadi yang terakhir. Baik Google dan Microsoft, misalnya, telah mulai menyambut staf kembali ke bilik kantor, dan mayoritas eksekutif berharap setidaknya 50% karyawan akan kembali bekerja di kantor pada bulan Juli, menurut studi PwC baru-baru ini.
“Kami melihat pelaku ancaman mengikuti tren selama pandemi, dan kami berharap mereka cenderung memanfaatkan tema untuk kembali bekerja dalam serangan mereka dalam beberapa bulan mendatang,” Tonia Dudley, penasihat strategis di Cofense, mengatakan kepada TechCrunch. “Kita dapat mengharapkan pekerja jarak jauh untuk terus menjadi sasaran juga. Sementara majikan mulai membawa staf kembali ke kantor, kemungkinan kita akan melihat model kerja hybrid bergerak maju. Kedua grup akan menjadi target serangan phishing.”
Pelaku ancaman biasanya beradaptasi untuk mengeksploitasi lingkungan global. Pergeseran ke pekerjaan massal melalui koneksi jarak jauh menyebabkan peningkatan jumlah serangan yang mencoba mengeksploitasi kredensial login jarak jauh, kemungkinan jumlah serangan yang menargetkan jaringan lokal dan pekerja berbasis kantor akan terus bertambah selama beberapa bulan mendatang. .
