Phishing di LinkedIn Menargetkan Eksekutif Keuangan dengan Undangan Dewan Direksi Palsu

Para peretas kini memanfaatkan LinkedIn untuk melancarkan serangan phishing yang menargetkan eksekutif di sektor keuangan, dengan mengirimkan pesan langsung (DM) yang berpura-pura sebagai undangan resmi menjadi anggota dewan investasi. Tujuan utamanya adalah mencuri kredensial akun Microsoft para korban.

🎯 Modus Serangan

Menurut temuan dari Push Security, serangan ini dimulai dari pesan pribadi di LinkedIn yang berisi tautan berbahaya. Pesan tersebut berpura-pura sebagai undangan untuk bergabung dengan “Common Wealth Investment Fund” di Amerika Selatan, bekerja sama dengan perusahaan fiktif “AMCO Asset Management.”

Contoh isi pesan phishing:

“Saya dengan senang hati mengundang Anda untuk bergabung dalam Executive Board dari Common Wealth Investment Fund di Amerika Selatan… proyek ini merupakan kolaborasi baru dengan AMCO – cabang manajemen aset kami.”

Pesan tersebut diakhiri dengan ajakan untuk mengklik tautan “Learn More” guna mengetahui detail posisi tersebut.

🔗 Rantai Redirect yang Rumit

Begitu korban mengklik tautan, mereka akan diarahkan melalui serangkaian pengalihan (redirect):

1. Google Open Redirect →
2. Situs berbahaya milik penyerang →
3. Halaman palsu di Firebase (firebasestorage.googleapis[.]com) yang meniru tampilan portal LinkedIn Cloud Share.

Beberapa domain berbahaya yang teridentifikasi antara lain:

• payrails-canaccord[.]icu
• boardproposalmeet[.]com
• sqexclusiveboarddirect[.]icu

🪤 Tampilan Palsu dan Phishing Canggih

Halaman Firebase tersebut menampilkan dokumen palsu terkait posisi dewan, dan meminta pengguna untuk menekan tombol “View with Microsoft” guna melihat file.

Saat tombol ditekan, korban diarahkan ke situs login.kggpho[.]icu, yang menampilkan captcha Cloudflare Turnstile untuk menghindari deteksi otomatis oleh sistem keamanan. Setelah captcha diselesaikan, halaman login Microsoft palsu (Adversary-in-the-Middle / AITM) muncul untuk mencuri kredensial dan cookie sesi pengguna.

📊 Serangan Meluas ke Platform Non-Email

Menurut Jacques Louw, Chief Product Officer di Push Security:

“Phishing kini tidak lagi terbatas pada email. Sekitar 34% serangan phishing dalam sebulan terakhir terjadi melalui platform seperti LinkedIn dan layanan non-email lainnya, naik dari kurang dari 10% tiga bulan lalu.”

Penyerang kini beralih ke platform tempat para profesional aktif berinteraksi — seperti LinkedIn — untuk meningkatkan peluang sukses dalam serangan mereka.

🧠 Cara Menghindari Serangan Ini

• Jangan klik tautan dari pesan LinkedIn yang tidak dikenal atau terlalu bagus untuk menjadi kenyataan (misalnya undangan mendadak menjadi anggota dewan).
• Periksa alamat pengirim dan pastikan akun tersebut benar-benar resmi serta terverifikasi.
• Waspadai domain aneh seperti .icu, .xyz, .top, atau domain yang tidak umum digunakan oleh perusahaan besar.
• Gunakan autentikasi multifaktor (MFA) untuk akun Microsoft dan LinkedIn Anda.
• Jika sudah terlanjur memasukkan kredensial, segera ganti kata sandi dan cabut sesi aktif dari akun Anda.

Sumber: BleepingComputer, Push Security