Kampanye Phishing Canggih Menargetkan Akun X
Sebuah kampanye phishing baru yang canggih kini menargetkan akun X dari tokoh-tokoh di dunia cryptocurrency. Taktik yang digunakan dalam serangan ini mampu melewati otentikasi dua faktor (2FA) dan tampak lebih kredibel dibandingkan penipuan tradisional. Menurut sebuah posting di X pada hari Rabu oleh pengembang crypto Zak Cole, kampanye phishing ini memanfaatkan infrastruktur X sendiri untuk mengambil alih akun para tokoh crypto.
“Deteksi nol. Aktif sekarang. Pengambilalihan akun penuh,” ungkapnya.
Cole menekankan bahwa serangan ini tidak melibatkan halaman login palsu atau pencurian kata sandi. Sebaliknya, serangan ini memanfaatkan dukungan aplikasi X untuk mendapatkan akses ke akun sambil juga melewati otentikasi dua faktor. Peneliti keamanan dari MetaMask, Ohm Shah, mengonfirmasi bahwa mereka telah melihat serangan ini “di lapangan,” yang menunjukkan adanya kampanye yang lebih luas. Bahkan, seorang model OnlyFans juga menjadi target versi serangan yang kurang canggih.
Membuat Pesan Phishing yang Kredibel
Fitur mencolok dari kampanye phishing ini adalah seberapa kredibel dan diskritnya. Serangan dimulai dengan pesan langsung di X yang berisi tautan yang tampaknya mengalihkan ke domain resmi Google Calendar, berkat cara platform media sosial ini menghasilkan pratinjau. Dalam kasus Cole, pesan tersebut berpura-pura berasal dari seorang perwakilan firma modal ventura Andreessen Horowitz.
Iklan Offline berarti tidak tersentuh. Dengan NGRAVE, alami keamanan murni dan dingin untuk Bitcoin, NFT, dan token Anda. —> Hemat 10% dengan kode COINTELEGRAPH.
Domain yang ditautkan oleh pesan tersebut adalah x(.)ca-lendar(.)com dan terdaftar pada hari Sabtu. Namun, X menunjukkan calendar.google.com yang sah dalam pratinjau berkat metadata situs yang mengeksploitasi cara X menghasilkan pratinjau dari metadata-nya. “Otak Anda melihat Google Calendar. URL-nya berbeda.” Ketika diklik, JavaScript halaman tersebut mengalihkan ke titik akhir otentikasi X yang meminta otorisasi untuk aplikasi agar dapat mengakses akun media sosial Anda. Aplikasi tersebut tampaknya adalah “Calendar,” tetapi pemeriksaan teknis terhadap teks mengungkapkan bahwa nama aplikasi tersebut mengandung dua karakter Kiril yang terlihat seperti “a” dan “e,” menjadikannya aplikasi yang berbeda dibandingkan dengan aplikasi “Calendar” yang sebenarnya dalam sistem X.
Petunjuk yang Mengungkapkan Serangan
Sejauh ini, tanda paling jelas bahwa tautan tersebut tidak sah mungkin adalah URL yang muncul sebentar sebelum pengguna dialihkan. Ini kemungkinan hanya muncul selama sepersekian detik dan mudah terlewatkan. Namun, di halaman otentikasi X, kita menemukan petunjuk pertama bahwa ini adalah serangan phishing. Aplikasi tersebut meminta daftar panjang izin kontrol akun yang komprehensif, termasuk mengikuti dan berhenti mengikuti akun, memperbarui profil dan pengaturan akun, membuat dan menghapus pos, berinteraksi dengan pos orang lain, dan lainnya. Izin-izin tersebut tampak tidak perlu untuk aplikasi kalender dan mungkin menjadi petunjuk yang menyelamatkan pengguna yang berhati-hati dari serangan ini.
Jika izin diberikan, para penyerang mendapatkan akses ke akun, sementara pengguna diberikan petunjuk lain dengan pengalihan ke calendly.com meskipun pratinjau menunjukkan Google Calendar. “Calendly? Mereka menyamar sebagai Google Calendar, tetapi mengalihkan ke Calendly? Kegagalan keamanan operasional besar. Ketidakkonsistenan ini bisa memberi tahu korban,” sorot Cole. Menurut laporan GitHub Cole tentang serangan tersebut, untuk memeriksa apakah profil Anda telah dikompromikan dan mengusir para penyerang dari akun, disarankan untuk mengunjungi halaman aplikasi terhubung di X. Kemudian, ia menyarankan untuk mencabut izin aplikasi yang bernama “Calendar.”
