Kampanye phishing besar-besaran yang dijuluki “EchoSpoofing” mengeksploitasi izin yang lemah dan kini telah diperbaiki dalam layanan perlindungan email Proofpoint untuk mengirimkan jutaan email palsu yang menyamar sebagai entitas besar seperti Disney, Nike, IBM, dan Coca-Cola, untuk menargetkan perusahaan-perusahaan Fortune 100.
Kampanye ini dimulai pada Januari 2024, menyebarkan rata-rata 3 juta email palsu setiap hari dan mencapai puncaknya 14 juta email pada awal Juni.
Sumber: Guardio Labs
Email phishing tersebut dirancang untuk mencuri informasi pribadi yang sensitif dan menimbulkan biaya yang tidak sah. Email tersebut juga menyertakan Sender Policy Framework (SPF) dan tanda tangan Domain Keys Identified Mail (DKIM) yang dikonfigurasi dengan benar, sehingga tampak asli bagi penerima.
Sumber: Guardio Labs
Laboratorium Guardio membantu menemukan kampanye phishing dan celah keamanan di server relai email Proofpoint. Pada bulan Mei 2024, mereka memberi tahu firma tersebut dan membantu mereka memperbaikinya.
Kampanye EchoSpoofing
Untuk menjalankan kampanye tersebut, pelaku ancaman menyiapkan server SMTP mereka sendiri guna membuat email palsu dengan tajuk yang dimanipulasi, lalu meneruskannya melalui server relai Proofpoint menggunakan akun Microsoft Office 365 yang telah disusupi atau palsu.
Para penyerang menggunakan Virtual Private Server (VPS) yang dihosting oleh OVHCloud dan Centrilogic untuk mengirim email tersebut dan menggunakan berbagai domain yang didaftarkan melalui Namecheap.
Sumber: Guardio Labs
Pelaku ancaman dapat melewati pemeriksaan SPF dan mengirim email melalui server Proofpoint karena adanya rekaman SPF yang sangat permisif yang dikonfigurasi pada domain oleh layanan keamanan email.
Saat mengonfigurasi domain untuk menggunakan gateway email Proofpoint, perusahaan menyediakan opsi konfigurasi untuk memilih berbagai layanan email yang ingin Anda izinkan untuk meneruskan email.
Saat Office 365 dipilih, rekaman SPF yang terlalu permisif dibuat, yang memungkinkan akun Office 365/Microsoft 365 mana pun untuk menyampaikan email melalui layanan email aman Proofpoint.
include:spf.protection.outlook.com include:spf-00278502.pphosted.com
Pada pengaturan default, tidak ada akun atau penyewa tertentu yang dapat ditentukan. Sebaliknya, Proofpoint memercayai rentang alamat IP Office 365 mana pun, yang berarti akun mana pun dapat menggunakan relainya.
Untuk DKIM, saat perusahaan bekerja dengan Proofpoint, perusahaan tersebut mengunggah kunci privat DKIM ke platform sehingga email yang mengalir melalui layanan tersebut ditandatangani dengan benar.
Karena email tersebut kini telah lolos pemeriksaan DKIM dan SPF, email tersebut diizinkan untuk dikirim ke kotak masuk tanpa ditandai sebagai spam.
Guardio Labs menjelaskan bahwa platform email utama seperti Gmail memperlakukan email ini sebagai email asli, dan bukannya mengirimnya ke folder spam, mereka malah mengirimkannya ke kotak masuk pengguna.
Sumber: Guardio Labs
Email tersebut menampilkan iming-iming terkait dengan merek yang ditiru, yang mengklaim tanggal kedaluwarsa akun, atau permintaan perpanjangan/persetujuan pembayaran.
Sumber: Guardio Labs
Proofpoint memperketat keamanan
Di sebuah laporan terkoordinasi dari Proofpoint, perusahaan mengatakan mereka telah memantau kampanye ini sejak Maret,
Dengan IOC teknis yang dibagikan oleh Guardio, Proofpoint lebih mampu mengurangi serangan ini dan memberikan pengaturan serta saran baru tentang cara mencegahnya di masa mendatang.
Perusahaan tersebut memiliki panduan terperinci tentang bagaimana pengguna dapat menambahkan pemeriksaan anti-spoof dan memperketat keamanan email mereka, tetapi beberapa organisasi tidak melakukan tindakan manual tersebut untuk mencegah penyalahgunaan, sehingga memungkinkan kampanye seperti EchoSpoofing terwujud.
Proofpoint menghubungi pelanggan dengan pengaturan permisif untuk membantu mereka mengamankan konfigurasi akun mereka.
Perusahaan memperkenalkan header ‘X-OriginatorOrg’ untuk membantu memverifikasi sumber email dan menyaring email yang tidak sah dan tidak sah.
Selain itu, layar konfigurasi onboarding Microsoft 365 yang baru memungkinkan pelanggan untuk mengonfigurasi izin yang lebih ketat pada konektor Microsoft 365. Izin ini menentukan penyewa Microsoft 365 yang dapat diteruskan melalui server Proofpoint.
.jpg)
Sumber: Guardio Labs
Terakhir, Proofpoint telah memberi tahu pelanggan yang terdampak bahwa pelaku phishing berhasil menyalahgunakan merek mereka dalam operasi berskala besar.
Meskipun Microsoft juga telah diberitahu tentang penyalahgunaan Microsoft 365, akun yang melanggar tetap aktif, beberapa di antaranya selama lebih dari tujuh bulan.
