Ini resmi. [dilindungi email] tidak lagi aman.
Jika Anda menerima pesan teks dengan tautan aneh baru-baru ini, atau baris subjek email yang terlihat terlalu mendesak, periksa pengirimnya. Jika tertulis alamat itu—bingo. Itu Microsoft. Itu nyata. Dan itulah masalahnya.
Penipu tidak memalsukan domain. Mereka mempersenjatai sistem yang sebenarnya.
Eksploitasi Kepercayaan
Kita diajarkan untuk memeriksa alamat pengirim. Jika itu @microsoft.com, itu pasti sah, menurut kami. Tidak lagi.
Penyerang telah menemukan cara cerdas dan berteknologi rendah untuk membajak mesin notifikasi. Mereka tidak perlu membobol server Microsoft. Mereka hanya perlu menyewa satu.
Berikut alur ceritanya, yang dirinci oleh perusahaan keamanan siber Abnormal:
- Pelaku jahat membuat akun Microsoft 36 sekali pakai.
- Mereka masuk ke pengaturan Tenant Branding (khusus di Microsoft Entra ID).
- Mereka mengubah kolom “Nama” penyewa tersebut menjadi pesan penipuan itu sendiri. Peringatan keuangan palsu. Perintah phishing. Apapun yang menarik perhatian Anda.
- Mereka memicu tindakan otomatis yang memaksa Microsoft mengirim email ke korban. Seringkali hal ini melibatkan permintaan untuk menambahkan email korban ke akun.
Karena sistem Microsoft mengirimkan pemberitahuan, sistem menggunakan alamat [dilindungi email] yang sah.
Isi emailnya? Minimal.
Tidak ada lampiran berbahaya. Tidak ada hyperlink menyeramkan yang mengarah ke halaman login palsu. Hanya baris subjek dan mungkin sedikit teks isi. Teksnya? Itu adalah kolom “Nama” yang telah diedit penyerang sebelumnya. Itu berada di header atau isi sebagai data mentah dari sumber tepercaya.
Eksploitasi inti terletak pada konfigurasi dalam Microsoft Entra ID.
Filter spam Anda melihat pengirimnya. Mereka melihat Microsoft. Mereka membiarkannya. Tidak ada tanda tangan malware yang dapat tersandung. Email tersebut secara teknis bersih, meskipun tujuannya jahat.
Sudah berapa lama hal ini berlangsung?
Sebentar.
Anda mungkin telah memperhatikan orang-orang di Twitter yang mengeluhkan hal ini akhir-akhir ini, tetapi Abnormal menulis tentang taktik ini pada bulan Januari. Aktor jahat menyukai efisiensi. Jika satu metode berhasil, ribuan orang akan menyalinnya. Dan metode ini? Ini melewati lapisan keamanan paling mahal karena mengandalkan kepercayaan.
Mengapa penyedia email Anda memblokir email yang datang langsung dari proses verifikasi penyewa Microsoft? Seharusnya tidak. Sampai seharusnya.
Microsoft belum merilis pernyataan publik atau perbaikan untuk penyalahgunaan merek khusus ini, menurut laporan.
Jadi, kamu sendirian.
Apa yang kamu lakukan sekarang?
Abaikan alamat pengirimnya.
Lihatlah konteks. Apakah Anda meminta Microsoft untuk mengubah nama penyewa Anda? Mungkin tidak. Apakah baris subjek terlihat seperti pemberitahuan umum, atau berisi permintaan khusus?
“Penyerang menavigasi ke Properti Penyewa…”
Kedengarannya membosankan. Kedengarannya seperti dokumen IT. Namun dokumen yang membosankan itu adalah senjatanya.
Buka matamu. Jika email masuk dari alamat itu dan Anda tidak mengharapkan apa pun, jedalah. Periksa URL di bilah alamat browser Anda, bukan tautan email. Hapus bagian yang mencurigakan.
Internet tidak lagi aman. Itu nyaman.
Hati-hati di luar sana.
