Periset keamanan kali ini memperingatkan trik email baru yang mudah dieksploitasi dan memungkinkan penyerang mengubah email yang tampaknya aman menjadi berbahaya setelah dikirim ke inbox email kamu.
Dijuluki Ropemaker (singkatan dari Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky), trik ini ditemukan oleh para periset di perusahaan email dan cloud security Mimecast.
Eksploitasi yang berhasil atas serangan Ropemaker memungkinkan penyerang memodifikasi konten email yang dikirim oleh penyerang secara remote, misalnya menukar URL dengan URL berbahaya.
Hal ini dapat dilakukan bahkan setelah email dikirimkan ke penerima dan berhasil melewati semua filter spam dan keamanan yang diperlukan, tanpa memerlukan akses langsung ke komputer penerima atau aplikasi email, yang memaparkan ratusan juta pengguna klien email desktop kepada serangan berbahaya.
Ropemaker menyalahgunakan Cascading Style Sheets (CSS) dan Hypertext Markup Language (HTML) yang merupakan bagian mendasar dari cara informasi disajikan di Internet.
“Asal Ropemaker terletak di persimpangan teknologi email dan web, lebih khusus lagi Cascading Style Sheets (CSS) yang digunakan dengan HTML,” tulis Senior Manajer Pemasaran Produk Mimecast, Matthew Gardiner di sebuah posting blog.
“Meskipun penggunaan teknologi web ini membuat email lebih menarik secara visual dan dinamis dibandingkan dengan pendahulunya yang berbasis teks murni, ini juga telah memperkenalkan vektor serangan yang dapat dieksploitasi untuk email.”
Karena CSS disimpan secara remote, periset mengatakan bahwa penyerang dapat mengubah isi email melalui perubahan yang dimulai dari awal, yang dibuat sesuai ‘gaya’ email yang diinginkan. Kemudian diambil secara remote dan disajikan kepada pengguna, tanpa penerima.
Before Exploit:
After Exploit:
Menurut peneliti, serangan Ropemaker bisa dieksplorasi tergantung pada kreativitas pelaku ancaman.
Misalnya, penyerang dapat mengganti URL yang awalnya mengarahkan pengguna ke situs web yang sah menjadi ke situs yang dirancang untuk menginfeksi pengguna dengan malware atau mencuri informasi sensitif, seperti kredensial dan detail perbankan mereka.
Meskipun beberapa sistem dirancang untuk mendeteksi peralihan URL yang mencegah pengguna membuka tautan berbahaya, namun pengguna tetap saja dapat dikenai risiko keamanan.
Skenario serangan lainnya, yang disebut “Matrix Exploit” oleh Mimecast, lebih canggih daripada “Switch Exploit” tadi, dan karena itu lebih sulit untuk dideteksi dan mampu bertahan.
Dalam serangan Matrix Exploit, penyerang akan menulis sebuah matriks teks dalam sebuah email dan kemudian menggunakan remote CSS untuk secara selektif mengendalikan apa yang ditampilkan, yang memungkinkan penyerang menampilkan apa pun yang mereka inginkan, termasuk menambahkan URL berbahaya ke dalam isi email.
“Karena URL diberikan pasca pengiriman, solusi gateway email seperti Mimecast tidak dapat menemukan, menulis ulang, atau memeriksa situs tujuan yang di klik, karena pada saat pengiriman tidak akan ada URL yang terdeteksi,” menurut laporan tersebut. “Untuk melakukannya akan memerlukan interpretasi file CSS, yang berada di luar jangkauan sistem keamanan email saat ini.”
Menurut perusahaan keamanan, Ropemaker dapat digunakan oleh hacker untuk memotong sistem keamanan yang paling umum dan mengelabui pengguna teknologi yang cerdas untuk berinteraksi dengan URL berbahaya.
Untuk melindungi diri dari serangan tersebut, pengguna disarankan untuk mengandalkan klien email berbasis web seperti Gmail, iCloud dan Outlook, yang tidak terpengaruh oleh eksploitasi tersebut, menurut Mimecast.
Namun, klien email seperti versi desktop dan mobile Apple Mail, Microsoft Outlook, dan Mozilla Thunderbird semuanya rentan terhadap serangan Ropemaker.
