Microsoft dikabarkan sudah memperoleh perintah pengadilan Distrik AS untuk Distrik Timur Virginia bulan ini yang memungkinkan perusahaan untuk mengambil kendali atas enam domain yang digunakan dalam operasi phishing terhadap pelanggan Office 365, termasuk dalam operasi yang memanfaatkan topik COVID-19.
Menurut dokumen dari pengadilan, Microsoft telah menargetkan operasi phishing yang didistribusikan kepada pelanggan perusahaan tersebut sejak Desember 2019.
Phishing didistribusikan dengan mengirim email ke perusahaan yang menghosting server email dan infrastruktur perusahaan di layanan cloud Office 365 milik Microsoft.
Email phishing berpura-pura berasal dari sesama karyawan atau mitra bisnis tepercaya. Operasi phising khusus ini terbilang unik, karena penyerang tidak mengarahkan pengguna ke situs phishing yang meniru halaman login Office 365.
Sebagai gantinya, penyerang menebarkan dokumen Office. Ketika pengguna mencoba membuka file, mereka diarahkan untuk menginstal aplikasi Office 365 pihak ketiga berbahaya yang dibuat oleh penyerang.
Baca Juga: “Waspada, Ada Serangan Phishing Yang Menargetkan Pengguna Twitter“
Jika aplikasi berbahaya diinstal, maka akan memberi penyerang akses penuh ke akun Office 365 korban, pengaturannya, file pengguna, konten email, daftar kontak, catatan, dan lainnya.
Microsoft mengatakan bahwa dengan menggunakan aplikasi Office 365 pihak ketiga, penyerang bisa memperoleh semua akses yang mereka butuhkan ke akun target tanpa benar-benar perlu mengumpulkan kata sandi, namun sebagai gantinya mereka akan menerima token OAuth2.
Beberapa serangan phishing seperti ini bisa berhasil karena tiga alasan.
Yang pertama adalah karena aplikasi dibuat agar terlihat seperti dari Microsoft dan merupakan aplikasi resmi dan aman digunakan.
Yang kedua adalah karena Office 365 diarahkan untuk modularitas yang disediakan oleh aplikasi pihak ketiga, baik yang dibuat khusus oleh perusahaan atau tersedia di Office 365 AppSource Store, dan pengguna menginstalnya untuk menggunakan aplikasi.
Ketiga, para penyerang menggunakan teknik canggih di mana tautan pemasangan aplikasi pada awalnya membawa pengguna ke halaman login resmi Microsoft. Namun, penyerang menggunakan trik untuk mengarahkan pengguna ke aplikasi berbahaya setelah proses otentikasi berhasil, yang mana akan memberikan kesan kepada pengguna bahwa mereka menggunakan aplikasi yang sudah diperiksa Microsoft.
Microsoft mengajukan gugatan perdata pada 30 Juni tahun ini, dan perusahaan menargetkan enam domain yang digunakan penyerang untuk menghosting aplikasi Office 365 berbahaya.
Microsoft mengatakan yakin setidaknya ada dua pihak di balik operasi phishing ini. Perusahaan mencatat bahwa serangan awalnya mulai menggunakan tema yang terkait dengan bisnis, tetapi mereka dengan cepat berubah menjadi phishing yang membawa dokumen bertema virus corona begitu COVID-19 menjadi pandemi global.
Baca Juga: “Microsoft Peringatkan Adanya Phishing Massal Menyebarkan File Excel Berbahaya“
Tujuan Akhir Dari Operasi Adalah Serangan BEC
Dalam sebuah posting blog, Tom Burt, Wakil Presiden Korporat, Keamanan & Kepercayaan Pelanggan di Microsoft, mengatakan aplikasi pihak ketiga yang berbahaya digunakan untuk mendapatkan wawasan tentang struktur si korban sehingga penyerang dapat menindaklanjuti dengan serangan BEC.
BEC adalah singkatan dari business email compromise. Dalam skema BEC, pelaku biasanya mengirim email ke perusahaan, menyamar sebagai karyawan, manajemen tingkat atas, atau mitra bisnis tepercaya, dan meminta korban untuk melakukan transaksi bisnis yang biasanya berakhir di rekening bank pelaku.
Tujuan penipuan BEC adalah menggunakan akun email yang dibajak atau biasa juga menggunakan trik social engineering untuk memodifikasi detail transaksi atau melakukan transaksi tanpa mengikuti prosedur yang benar.
Sejauh ini, penipuan BEC merupakan salah satu kategori kejahatan siber top saat ini.
