Perusahaan keamanan CrowdStrike secara tidak sengaja menyebabkan kekacauan di seluruh dunia pada hari jumat setelah menyebarkan pembaruan perangkat lunak yang salah ke platform pemantauan Falcon milik perusahaan yang merusak komputer Windows yang menjalankan produk tersebut. Dampak dari insiden tersebut akan memakan waktu berhari-hari untuk diatasi, dan perusahaan memperingatkan bahwa, saat administrator sistem dan staf TI berupaya memperbaiki, ancaman lain muncul: penipuan digital predator yang mencoba memanfaatkan krisis tersebut.
Para peneliti pada Jumat sore mulai memperingatkan bahwa penyerang memesan nama domain dan mulai memutar situs web dan infrastruktur lain untuk menjalankan penipuan “Dukungan CrowdStrike” yang menargetkan pelanggan perusahaan dan siapa pun yang mungkin terkena dampak kekacauan tersebut. Para peneliti CrowdStrike sendiri juga diperingatkan tentang aktivitas tersebut pada hari Jumat dan menerbitkan daftar domain yang tampaknya didaftarkan untuk meniru perusahaan tersebut.
“Kami tahu bahwa musuh dan pelaku kejahatan akan mencoba memanfaatkan kejadian seperti ini,” kata pendiri dan CEO CrowdStrike, George Kurtz menulis dalam sebuah pernyataan. “Saya menghimbau semua orang untuk tetap waspada dan memastikan bahwa Anda berinteraksi dengan perwakilan resmi CrowdStrike. Blog dan dukungan teknis kami akan terus menjadi saluran resmi untuk pembaruan terkini.”
Para penyerang pasti memanfaatkan peristiwa global terkemuka sebaik isu topikal di area geografis tertentu untuk mencoba mengelabui orang agar mengirimkan uang kepada mereka, mencuri kredensial akun target, atau membahayakan korban dengan malware.
“Pelaku ancaman selalu berusaha memanfaatkan setiap peristiwa besar,” kata Brett Callow, direktur pelaksana komunikasi keamanan siber dan privasi data di FTI Consulting. “Setiap kali sebuah organisasi mengalami insiden, pelanggan dan mitra bisnis harus siap menghadapinya.”
Meskipun sebagian besar individu tidak bertanggung jawab secara pribadi untuk mengatasi gangguan komputer terkait CloudStrike, insiden tersebut dapat dieksploitasi karena beberapa profesional TI yang menangani perbaikan mungkin sangat membutuhkan solusi. Dalam sebagian besar kasus, perbaikan untuk komputer yang terdampak melibatkan booting dan perbaikan satu per satu—proses yang berpotensi memakan waktu dan sulit secara logistik. Dan bagi pemilik usaha kecil yang tidak memiliki akses ke keahlian TI yang luas, tantangan tersebut mungkin sangat menakutkan.
Para peneliti, termasuk dari intelijen CrowdStrike, sejauh ini telah melihat penyerang mengirim email phishing atau melakukan panggilan telepon dengan berpura-pura menjadi staf pendukung CrowdStrike dan menjual perangkat lunak yang mengklaim dapat mengotomatiskan proses pemulihan dari pembaruan perangkat lunak yang salah. Beberapa penyerang juga berpura-pura menjadi peneliti dan mengklaim memiliki informasi khusus yang penting untuk pemulihan—bahwa situasi tersebut sebenarnya merupakan hasil dari serangan siber, padahal tidak.
CrowdStrike menekankan bahwa pelanggan harus memastikan bahwa mereka berkomunikasi dengan staf perusahaan yang sah dan hanya mempercayai komunikasi korporat resmi perusahaan.
“Peringatan cepat kepada karyawan yang menguraikan potensi risiko akan membantu,” kata Callow tentang bagaimana pelanggan CloudStrike harus bekerja untuk melindungi diri mereka sendiri. “Peringatan dini sama dengan peringatan dini.”
