• February 1, 2025

Ancaman Keamanan Siber Bulan Ini: Serangan Phishing E-Signature Hampir Menyebabkan Bencana bagi Perusahaan Listrik

Seri blog Cybersecurity Stop of the Month mengeksplorasi taktik yang terus berkembang dari para penjahat siber dan bagaimana Proofpoint membantu organisasi memperkuat pertahanan email mereka guna melindungi pengguna dari ancaman terbaru.

Phishing tetap menjadi taktik utama yang digunakan peretas untuk menargetkan individu serta mencuri data dan dana berharga. Menurut Verizon, phishing adalah metode utama yang digunakan penyerang untuk mendapatkan akses tanpa izin, dan teknik ini terus berkembang dalam frekuensi serta kompleksitasnya. Tren ini tidak hanya mengkhawatirkan—tetapi juga sangat merugikan. IBM memperkirakan bahwa rata-rata pelanggaran data yang berasal dari phishing menyebabkan kerugian hingga $4,88 juta.

Dalam artikel ini, kita akan menganalisis ancaman phishing e-signature terbaru yang menggunakan berbagai teknik canggih untuk menghindari keamanan email bawaan Microsoft.

 

Latar Belakang

Dalam serangan phishing e-signature, penyerang berpura-pura menjadi merek tepercaya dan mengirim konten berbahaya melalui saluran digital resmi. Mereka sering menggunakan metode seperti Adversary-in-the-Middle (AitM) untuk melewati autentikasi multifaktor (MFA), yang memungkinkan mereka mendapatkan akses lebih luas. Teknik gabungan seperti AitM plus geofencing membuat serangan ini semakin sulit dideteksi.

 

Berikut beberapa aspek utama dalam serangan phishing e-signature:

  1. Meniru Merek Terpercaya

Penyerang sering menyamar sebagai layanan tanda tangan elektronik populer seperti DocuSign atau Adobe Sign untuk menipu korban agar mengunduh dokumen berbahaya atau memasukkan kredensial mereka di situs palsu. Berdasarkan laporan 2024 State of the Phish dari Proofpoint, lebih dari 3,5 juta email berbahaya menggunakan merek DocuSign sebagai umpan phishing.

 

  1. Melewati MFA

Selain mencuri kredensial login, penyerang juga berusaha mencuri kode MFA atau sesi cookie aktif menggunakan teknik Adversary-in-the-Middle (AitM). Situs perantara yang mereka buat memungkinkan mereka menangkap setiap langkah login pengguna, termasuk kode MFA dan sesi yang masih aktif.

 

  1. Geofencing untuk Menghindari Deteksi

Serangan phishing e-signature sering kali menggunakan geofencing untuk membatasi akses ke situs berbahaya hanya di lokasi geografis tertentu. Ini membuatnya lebih sulit bagi tim IT dan alat keamanan otomatis di luar wilayah target untuk mendeteksi ancaman ini.

Kasus Nyata: Serangan Terhadap Perusahaan Listrik Global

Seorang penyerang menggunakan kombinasi taktik di atas untuk menargetkan perusahaan listrik global yang memasok tenaga ke salah satu kota terbesar di dunia. Perusahaan ini memiliki lebih dari 15.000 karyawan, dan serangan ini menargetkan seorang eksekutif di tingkat C-suite.

Email phishing berhasil melewati keamanan email bawaan Microsoft serta alat deteksi tambahan yang seharusnya mencegah serangan ini. Beruntung, Proofpoint berhasil mendeteksi ancaman ini dan mengamankan perusahaan dari kemungkinan pelanggaran data atau serangan siber.

 

Bagaimana Serangan Ini Terjadi?

  1. Mengirim Umpan Berbahaya
    • Penyerang mengirim email phishing yang berpura-pura sebagai notifikasi dari DocuSign, meminta penerima mengunduh salinan dokumen yang diklaim telah selesai.
    • Email tersebut dibuat sangat meyakinkan dengan mencantumkan nama dan perusahaan penerima di subjek dan isi pesan.
    • Namun, alamat pengirim tidak dikenal dan berasal dari domain email baru yang baru saja terdaftar.
  2. Menggunakan Rantai Redirect
    • URL dalam email mengarahkan korban melalui serangkaian tautan yang dihosting di infrastruktur Google, sehingga lebih sulit bagi alat keamanan email untuk mendeteksi jalur serangan.
  3. Menggunakan Situs Proxy Palsu
    • Setelah melalui rantai pengalihan, korban tiba di halaman login DocuSign palsu yang sebenarnya adalah situs proxy.
    • Semua data yang dimasukkan di situs ini—termasuk kredensial dan kode MFA—dikirim langsung ke server penyerang.
    • Geofencing diterapkan untuk membatasi akses ke situs hanya bagi pengguna di wilayah target.
  4. Mendapatkan Akses Tanpa Izin
    • Penyerang mencuri kredensial login, kode MFA, serta sesi cookie aktif korban, yang bisa digunakan untuk mengakses akun lain.
    • Untuk memperluas akses, korban diberikan opsi untuk masuk menggunakan kredensial Microsoft.

 

Bagaimana Proofpoint Mendeteksi Serangan Ini?

Keamanan email Microsoft gagal mendeteksi serangan ini karena beberapa alasan:

  • Microsoft hanya memindai URL jika tautan langsung mengarah ke malware.
  • Sandboxing hanya terjadi setelah pengguna mengklik tautan berbahaya, yang memungkinkan serangan tetap tidak terdeteksi sebelumnya.
  • Sistem Microsoft mengalami kesulitan dalam mendeteksi ancaman yang menggunakan rantai URL multi-lapisan.

Sebaliknya, Proofpoint dengan mudah mengidentifikasi serangan ini dengan kombinasi teknologi berikut:

Behavioral AI Analysis

  • Menganalisis pola perilaku pengguna untuk mendeteksi interaksi mencurigakan, seperti pengirim yang belum pernah berkomunikasi dengan target sebelumnya.
  • Mengidentifikasi bahwa domain email pengirim baru saja didaftarkan.

URL Sandboxing

  • Proofpoint menggunakan sandboxing URL sebelum, selama, dan setelah email dikirim untuk mengidentifikasi tautan berbahaya.
  • Teknologi URL-to-URL (U2U) analysis memungkinkan pemetaan rantai serangan yang kompleks.
  • Global Threat Analysis Centers dari Proofpoint dapat melewati taktik geofencing, memastikan deteksi ancaman yang menargetkan wilayah tertentu.

 

Pelajaran yang Bisa Diambil

Untuk melindungi organisasi dari serangan phishing e-signature, penting untuk:

🔹 Gunakan analisis URL yang komprehensif

  • Pastikan sistem keamanan email dapat mendeteksi ancaman tersembunyi dalam rantai pengalihan kompleks.

🔹 Lacak perilaku mencurigakan dengan AI

  • Pastikan alat keamanan menggunakan analisis perilaku untuk mendeteksi interaksi yang tidak biasa dengan pengirim atau domain baru.

🔹 Investasikan dalam visibilitas ancaman global

  • Kemampuan untuk melihat dan memahami ancaman secara menyeluruh akan meningkatkan deteksi, respons, dan postur keamanan secara keseluruhan.

 

Kesimpulan

Serangan phishing e-signature menunjukkan betapa canggihnya taktik serangan email saat ini. Ancaman ini mengeksploitasi kelemahan dalam sistem keamanan tradisional dan menargetkan titik paling rentan dalam suatu organisasi—yaitu, penggunanya.

Untuk melawan ancaman ini, organisasi membutuhkan lebih dari sekadar alat keamanan email dasar. Mereka memerlukan keamanan yang berfokus pada manusia, didukung oleh kecerdasan ancaman canggih dan kemampuan deteksi berbasis AI.

Proofpoint menawarkan perlindungan menyeluruh yang mendeteksi ancaman di setiap tahap, mulai dari pemindaian sebelum pengiriman hingga pertahanan saat pengguna mengklik tautan berbahaya. Dengan kombinasi analisis perilaku dan sandboxing URL tingkat lanjut, kami melindungi organisasi dari upaya phishing paling kompleks.

Apabila anda butuh penjelasan lebih detail mengenai IBM bisa langsung hubungi IBM Indonesia.