Peneliti keamanan telah memberikan peringatan tentang meningkatnya aktivitas phishing yang menyalahgunakan Google Accelerated Mobile Pages (AMP) untuk menghindari tindakan keamanan email dan mendapatkan akses ke kotak masuk karyawan perusahaan.
Google AMP adalah framework HTML open-source yang dirancang secara kolaboratif oleh Google dan 30 mitra untuk meningkatkan kecepatan pemuatan konten web pada perangkat seluler.
Halaman AMP dihosting di server Google, dimana konten disederhanakan dan beberapa elemen media yang berat dimuat sebelumnya untuk memastikan pengiriman yang lebih cepat.
Ide di balik penggunaan URL AMP Google yang disematkan dalam email phishing adalah untuk menghindari teknologi perlindungan email yang mungkin menandai pesan sebagai berbahaya atau mencurigakan karena reputasi baik Google. Dengan memanfaatkan reputasi baik Google, para pelaku phishing berharap korban akan lebih cenderung terperdaya dan membuka email tersebut karena alamat URL yang digunakan terlihat sah dan dapat dipercaya.
URL AMP menyebabkan pengalihan ke situs phishing berbahaya dan langkah tambahan ini juga menambahkan lapisan penghalang untuk mencegah analisis yang mendalam.
Menurut data dari perusahaan perlindungan anti-phishing Cofense, terjadi peningkatan yang signifikan dalam volume serangan phishing yang menggunakan AMP menjelang pertengahan Juli. Hal ini menunjukkan bahwa pelaku ancaman mungkin mulai mengadopsi metode ini sebagai bagian dari upaya mereka.
Dalam laporan tersebut, Cofense menjelaskan bahwa dari semua URL Google AMP yang mereka amati, sekitar 77% dihosting di domain google.com, sementara 23% dihosting di domain google.co.uk.
Meskipun jalur "google.com/amp/s/" umum digunakan dalam semua kasus, pemblokiran semacam ini juga akan mempengaruhi semua kasus penggunaan Google AMP yang sah. Namun, menandainya sebagai potensi berbahaya mungkin menjadi tindakan yang paling tepat, setidaknya untuk memberi peringatan kepada penerima agar lebih waspada terhadap pengalihan yang mungkin berisiko.
Ekstra Siluman
Cofense melaporkan bahwa para pelaku phishing yang menyalahgunakan layanan Google AMP juga menggunakan sejumlah teknik tambahan yang secara bersama-sama membantu mereka menghindari deteksi dan meningkatkan tingkat keberhasilan serangan mereka.
Sebagai contoh, Cofense mengamati banyak kasus dimana para pelaku ancaman menggunakan email HTML berbasis gambar sebagai gantinya untuk teks biasa. Tindakan ini dimaksudkan untuk membingungkan pemindai teks yang mencari istilah phishing umum dalam konten pesan.
Dalam contoh lain, para penyerang menggunakan langkah pengalihan ekstra dengan menyalahgunakan URL Microsoft.com. Mereka mengarahkan korban ke domain AMP Google dan akhirnya meneruskannya ke situs phishing yang sebenarnya.
Pada tahap akhir, para penyerang memanfaatkan layanan CAPTCHA Cloudflare untuk menggagalkan analisis otomatis halaman phishing oleh bot keamanan dengan tujuan mencegah perayap atau bot keamanan lainnya agar tidak dapat mengakses halaman phishing tersebut.
Secara keseluruhan, para pelaku phishing saat ini menggunakan berbagai metode untuk menghindari deteksi yang semakin mempersulit target dan alat keamanan dalam menangkap dan memblokir ancaman tersebut.
0 Comments
