Scroll untuk baca artikel
Networking

Phishing menyamar sebagai wawancara kerja merek besar untuk mencuri akun Google

2
×

Phishing menyamar sebagai wawancara kerja merek besar untuk mencuri akun Google

Share this article
phishing-menyamar-sebagai-wawancara-kerja-merek-besar-untuk-mencuri-akun-google
Phishing menyamar sebagai wawancara kerja merek besar untuk mencuri akun Google

Phishing menyamar sebagai wawancara kerja merek besar untuk mencuri akun Google

Kampanye phishing meniru lebih dari 30 merek terkenal, termasuk Adobe, Netflix, Coca-Cola, dan OpenAI, dalam wawancara kerja palsu untuk mencuri kredensial akun Google dari profesional pemasaran.

Example 300x600

Operasi tersebut menyalahgunakan platform sumber daya manusia PeopleForce berbasis cloud yang sah dan domain yang terkait dengan layanan Salesforce Marketing Cloud sebelum mengarahkan penerima ke halaman arahan berbahaya.

Untuk lebih menanamkan kepercayaan dan meningkatkan peluang keberhasilan, pelaku ancaman menggunakan nama dan gambar perekrut asli di perusahaan yang menyamar.

gambar

Will Thomas, penasihat senior di perusahaan intelijen keamanan siber dan pemburu ancaman Team Cymru, menganalisis kampanye tersebut dan menemukan bahwa email phishing tersebut berpura-pura berasal dari “seorang perekrut yang ingin mempekerjakan orang untuk peran pemasaran.”

Peneliti menemukan bahwa pelaku ancaman menggunakan setidaknya 34 domain yang meniru perusahaan bernilai tinggi di sektor berikut:

  • Maskapai penerbangan dan perjalanan: American Airlines, Booking.com, Delta Air Lines, United Airlines
  • Makanan dan minuman: Coca-Cola, PepsiCo, Red Bull
  • Pakaian dan barang mewah: Adidas, Louis Vuitton, Sephora, Levis
  • Kepegawaian, konsultasi, dan teknologi: Adobe, Aquent, ManpowerGroup, McKinsey & Company, OpenAI
  • Perhotelan dan pemasaran: Marriott, Omnicom Group
  • Hiburan dan olahraga: FIFA, Netflix

Thomas ditemukan bahwa kampanye ini mengandalkan pengalihan bersarang, sebuah teknik yang mengarahkan pengunjung melalui beberapa layanan sah sebelum mencapai laman landas berbahaya.

Peneliti mencatat bahwa meskipun email phishing tampaknya berasal dari PeopleForce, tautan yang mendasarinya mengarah ke kecuali[.]bersih domain, yang dioperasikan oleh Salesforce setelah mengakuisisi platform otomasi pemasaran ExactTarget, kini berganti nama menjadi Salesforce Marketing Cloud.

Pengalihan ExactTarget ke Agen Bijaksana (agen bijak[.]com) perangkat lunak Manajemen Hubungan Pelanggan (CRM) real estate berbasis cloud untuk agen, tim, dan broker, yang meneruskan ke halaman arahan phishing.

BleepingComputer menemukan bahwa operasi tersebut telah berjalan setidaknya selama lima bulan dan awalnya menggunakan alamat email Outlook dengan nama perusahaan yang ditiru.

Satu email phishing, menyamar sebagai pesan dari perekrut Adidas Paulina Manzo, meminta penerima untuk menjadwalkan percakapan tentang peran potensial di perusahaan.

Email phishing mencoba mencuri kata sandi Gmail
Email phishing mencoba mencuri kata sandi Gmail
sumber: Sergius George

Saat mengklik link ke kalender, penerima diarahkan ke halaman arahan pelaku ancaman perekrutan adidas[.]com

Untuk melanjutkan proses penjadwalan pertemuan dengan perekrut, calon korban diminta masuk ke akun Google-nya.

Laman penjadwalan rapat palsu meniru Adidas
Halaman penjadwalan rapat palsu yang meniru Adidas
sumber: BleepingComputer

Mengeklik tombol “Lanjutkan dengan Google” akan memicu popup masuk Google palsu yang ditampilkan di dalam laman phishing untuk meniru autentikasi Google.

Meskipun pop-up mungkin muncul sebagai jendela browser yang sah, itu hanyalah kode HTML dan CSS yang ditampilkan di dalam halaman phishing, sebuah teknik yang dikenal sebagai browser-di-browser (BitB).

Dengan menggunakan alat pengembangan web modern, penyerang dapat meniru semua elemen halaman pop-up otentikasi yang sah.

Formulir autentikasi Google palsu
Formulir autentikasi Google palsu
sumber: BleepingComputer

Meskipun tidak jelas bagaimana pelaku ancaman mendapatkan akses ke platform yang sah, menyalahgunakan platform tersebut tidak berarti kompromi terhadap layanan tersebut.

Salah satu cara yang mungkin dilakukan adalah membuat akun asli khusus untuk kampanye, atau menggunakan login yang disusupi, yang memungkinkan konfigurasi rantai pengalihan dan halaman arahan.

Daftar domain yang ditemukan dalam kampanye phishing ini tersedia di Analisis Will Thomas di GitHub.

gambar artikel

Uji setiap lapisan sebelum penyerang melakukannya

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.

Dapatkan whitepapernya