Jaringan Phishing Global Terungkap: Lebih dari 12.000 Server Terlibat
Ketika email mencurigakan mendarat di kotak masukmu, menawarkan hadiah finansial atau permintaan pembayaran mendesak, biasanya infrastruktur di balik email tersebut jauh dari apa yang terlihat. Penyelidikan oleh Comparitech mengungkap adanya jaringan spam dan phishing terkoordinasi yang mencakup 12.704 server di 55 negara.
Email phishing ini sering terkait dengan skema hadiah finansial palsu dan taktik yang dirancang untuk menghindari alat pengaman seperti antivirus dan sistem perlindungan ransomware yang banyak digunakan. Gaya komunikasi ini bikin kita semakin wary, apalagi saat ditambahkan dengan link-link yang seolah aman!
Link Google Terpercaya Bikin Kampanye Phishing Sulit Terdeteksi
Kampanye ini dimulai dengan email tak diinginkan yang mempromosikan hadiah finansial, produk kesehatan, tawaran judi, atau permintaan pembayaran mendesak melalui link-link yang disisipkan.
Alih-alih mengarahkan penerima langsung ke situs web yang dikuasai penyerang, link ini menelusuri dulu halaman Google Cloud Storage yang dihosting di infrastruktur Google. Pendekatan ini cukup cerdas, karena domain Google biasanya menarik lebih sedikit perhatian dari pengguna dan sistem pemfilteran otomatis dibandingkan situs web yang tidak dikenal.
URL milik Google ini dapat dengan mudah melewati gerbang email, firewall, dan filter reputasi yang sering kali memberikan kepercayaan bagi domain Google tanpa pemeriksaan lebih mendalam. Para peneliti menemukan bahwa para penyerang mengunggah file HTML dan JavaScript sederhana ke lokasi penyimpanan cloud, memungkinkan mereka untuk mengalihkan pengunjung tanpa menempatkan konten berbahaya yang jelas di server Google.
Keberadaan pemisahan ini memberi fleksibilitas operasional bagi penyelenggara kampanye. Destinasi pengalihan dapat diubah kapan saja tanpa memerlukan modifikasi pada email yang sudah tersebar kepada calon korban.
Skala Jaringan Phishing Ini Sulit Dikesampingkan
Penyelidikan menemukan jejak jaringan ini melalui satu jalur file CSS — assets/ayt/css/main.css — yang diulang identik di ribuan server. Pola ini menunjukkan bahwa ada penerapan terpusat daripada operator independen. Dari 12.704 server yang teridentifikasi, 99,8% menjalankan perangkat lunak usang tanpa pembaruan keamanan aktif, tersebar di 412 penyedia hosting di berbagai yurisdiksi.
Penyebaran geografis ini hampir pasti disengaja — penutupan satu penyedia tidak menggangu jaringan lainnya. Memeriksa 5.000 dari server tersebut terhadap database reputasi IP berbasis kerumunan mengungkapkan bahwa 89% tidak memiliki riwayat penyalahgunaan sebelumnya. Ini menunjukkan bahwa infrastruktur ini mungkin baru saja diperoleh atau sering diputar agar tetap terdepan dari sistem antivirus dan intelijen ancaman lainnya.
Siapa pun yang memasukkan informasi pribadi pada halaman manapun yang dijangkau melalui salah satu email ini harus menganggap data tersebut telah terkompromi. Mereka harus segera mengganti kata sandi, terutama jika kata sandi tersebut digunakan di beberapa layanan. Selain itu, penting untuk terus memantau semua akun keuangan untuk aktivitas mencurigakan, seberapa kecil pun terlihat.
Klik pada link tanpa memasukkan informasi tetap membawa konsekuensi. Tindakan klik itu menandakan kepada operator bahwa alamat email tersebut aktif. Artinya, email tersebut kemungkinan akan menerima volume spam yang lebih tinggi di masa mendatang, yang meningkatkan risiko terkena lebih banyak percobaan phishing dan skema penipuan lainnya.
