Serangan Phishing dari “0ktapus” Targetkan 130 Lembaga, 10 Ribu Kredensial Login Dicuri
JAKARTA - Lebih dari 130 organisasi, termasuk Twilio, DoorDash, dan Cloudflare, berpotensi disusupi oleh peretas sebagai bagian dari kampanye phishing selama berbulan-bulan yang dijuluki "0ktapus" oleh para peneliti keamanan. Menurut laporan dari kelompok keamanan siber Group-IB, kredensial login milik hampir 10.000 orang dicuri oleh penyerang yang meniru layanan sistem masuk Okta,
Saat Group-IB menjelaskan lebih detail, penyerang menggunakan akses itu untuk pivot dan menyerang akun di seluruh layanan lain. Pada 15 Agustus, layanan pesan aman Signal memberi tahu pengguna Twilio bahwa penyerang memungkinkan mereka untuk mengungkapkan sebanyak 1.900 akun Signal dan mengonfirmasi bahwa mereka dapat mendaftarkan perangkat baru ke beberapa akun, yang akan memungkinkan penyerang untuk mengirim dan terima dari akun itu.
Minggu ini Twilio juga memperbarui pemberitahuan pelanggarannya, mereka juga mencatat bahwa 163 pelanggan telah mengakses data mereka. Ia juga mencatat bahwa 93 pengguna Authy, layanan cloud untuk otentikasi multifaktor, telah mengakses akun mereka dan perangkat tambahan yang terdaftar.
Target kampanye phishing dikirimi pesan teks yang mengarahkan mereka ke situs phishing. Seperti yang dinyatakan oleh laporan dari Group-IB, “Dari sudut pandang korban, situs phishing terlihat cukup meyakinkan karena sangat mirip dengan halaman otentikasi yang biasa mereka lihat.” Korban dimintai nama pengguna, kata sandi, dan kode otentikasi dua faktor. Informasi ini kemudian dikirim ke penyerang.
Menariknya, analisis Grup-IB menunjukkan bahwa para penyerang agak tidak berpengalaman. “Analisis kit phishing mengungkapkan bahwa itu tidak dikonfigurasi dengan baik dan cara pengembangannya memberikan kemampuan untuk mengekstrak kredensial yang dicuri untuk analisis lebih lanjut,” kata Roberto Martinez, analis intelijen ancaman senior di Group-IB, kepada TechCrunch.
Tetapi berpengalaman atau tidak, skala serangannya sangat besar, saat Group-IB mendeteksi 169 domain unik yang ditargetkan oleh kampanye itu. Diyakini bahwa kampanye 0ktapus ini dimulai sekitar Maret 2022 dan sejauh ini, sekitar 9.931 kredensial login telah dicuri.
Para penyerang telah menyebarkan jaring mereka secara luas, menargetkan beberapa industri, termasuk keuangan, gim, dan telekomunikasi. Domain yang dikutip oleh Group-IB sebagai target (tetapi tidak dikonfirmasi pelanggarannya) termasuk Microsoft, Twitter, AT&T, Verizon Wireless, Coinbase, Best Buy, T-Mobile, Riot Games, dan Epic Games.
Uang tunai tampaknya menjadi salah satu motif serangan mereka. “Melihat perusahaan keuangan dalam daftar yang disusupi memberi kita ide bahwa penyerang juga mencoba untuk mencuri uang. Selain itu, beberapa perusahaan yang ditargetkan menyediakan akses ke aset dan pasar crypto, sedangkan yang lain mengembangkan alat investasi,” kata sumber di Group-IB, seperti dikutip The Verge.
Baca juga:
- Sebanyak 1.900 Nomor Telepon Signal Terkena Serangan Phishing di Twilio Inc.
- Ramai Isu Kebocoran Data dari PLN dan Indihome, Pakar Keamanan Siber Kaspersky Beri Tips ini Untuk Perusahaan
- "Golden Ticket" Spionase Industri, APT Canggih Targetkan Infrastuktur TI
- Lindungi Diri dari Ancaman di Platform Gaming Online, Pakar Keamanan Beri Saran Ini
Group-IB memperingatkan bahwa mereka mungkin tidak akan mengetahui skala penuh dari serangan ini untuk beberapa waktu. Untuk menghindari serangan serupa seperti ini, Group-IB menawarkan saran biasa: selalu pastikan untuk memeriksa URL situs mana pun tempat Anda memasukkan detail login; memperlakukan URL yang diterima dari sumber yang tidak dikenal dengan lebih berhati-hati; dan untuk perlindungan tambahan, dapat menggunakan kunci keamanan dua faktor yang “tidak dapat dipalsukan”, seperti YubiKey.
Menurut Group-IB, serangkaian serangan phishing baru-baru ini adalah salah satu kampanye paling mengesankan dalam skalanya hingga saat ini. Laporan mereka menyimpulkan bahwa “0ktapus menunjukkan betapa rentannya organisasi modern terhadap beberapa serangan rekayasa sosial dasar dan seberapa jauh jangkauannya efek dari insiden tersebut dapat mempengaruhi mitra dan pelanggan mereka.”
Penelitian dari Zscaler menunjukkan bahwa serangan phishing meningkat 29 persen secara global pada tahun 2021 dibandingkan tahun sebelumnya. Skala ancaman ini juga tidak akan berkurang dalam waktu dekat.
Mereka juga mencatat bahwa phishing SMS juga meningkat lebih cepat daripada jenis penipuan lainnya karena orang mulai mengenali email penipuan dengan lebih baik. Penipuan dan peretasan yang direkayasa secara sosial juga terlihat meningkat selama pandemi COVID-19, dan awal tahun ini, Zscaler bahkan melihat bahwa Apple dan Meta berbagi data dengan peretas yang berpura-pura menjadi petugas penegak hukum.