Phishing di LinkedIn Menargetkan Eksekutif Keuangan dengan Undangan Dewan Direksi Palsu

Para peretas kini memanfaatkan LinkedIn untuk melancarkan serangan phishing yang menargetkan eksekutif di sektor keuangan, dengan mengirimkan pesan langsung (DM) yang berpura-pura sebagai undangan resmi menjadi anggota dewan investasi. Tujuan utamanya adalah mencuri kredensial akun Microsoft para korban.
๐ฏ Modus Serangan
Menurut temuan dari Push Security, serangan ini dimulai dari pesan pribadi di LinkedIn yang berisi tautan berbahaya. Pesan tersebut berpura-pura sebagai undangan untuk bergabung dengan โCommon Wealth Investment Fundโ di Amerika Selatan, bekerja sama dengan perusahaan fiktif โAMCO Asset Management.โ
Contoh isi pesan phishing:
โSaya dengan senang hati mengundang Anda untuk bergabung dalam Executive Board dari Common Wealth Investment Fund di Amerika Selatanโฆ proyek ini merupakan kolaborasi baru dengan AMCO โ cabang manajemen aset kami.โ
Pesan tersebut diakhiri dengan ajakan untuk mengklik tautan โLearn Moreโ guna mengetahui detail posisi tersebut.
๐ Rantai Redirect yang Rumit
Begitu korban mengklik tautan, mereka akan diarahkan melalui serangkaian pengalihan (redirect):
- Google Open Redirect โ
- Situs berbahaya milik penyerang โ
- Halaman palsu di Firebase (firebasestorage.googleapis[.]com) yang meniru tampilan portal LinkedIn Cloud Share.
Beberapa domain berbahaya yang teridentifikasi antara lain:
payrails-canaccord[.]icuboardproposalmeet[.]comsqexclusiveboarddirect[.]icu
๐ชค Tampilan Palsu dan Phishing Canggih
Halaman Firebase tersebut menampilkan dokumen palsu terkait posisi dewan, dan meminta pengguna untuk menekan tombol โView with Microsoftโ guna melihat file.
Saat tombol ditekan, korban diarahkan ke situs login.kggpho[.]icu, yang menampilkan captcha Cloudflare Turnstile untuk menghindari deteksi otomatis oleh sistem keamanan. Setelah captcha diselesaikan, halaman login Microsoft palsu (Adversary-in-the-Middle / AITM) muncul untuk mencuri kredensial dan cookie sesi pengguna.
๐ Serangan Meluas ke Platform Non-Email
Menurut Jacques Louw, Chief Product Officer di Push Security:
โPhishing kini tidak lagi terbatas pada email. Sekitar 34% serangan phishing dalam sebulan terakhir terjadi melalui platform seperti LinkedIn dan layanan non-email lainnya, naik dari kurang dari 10% tiga bulan lalu.โ
Penyerang kini beralih ke platform tempat para profesional aktif berinteraksi โ seperti LinkedIn โ untuk meningkatkan peluang sukses dalam serangan mereka.
๐ง Cara Menghindari Serangan Ini
- Jangan klik tautan dari pesan LinkedIn yang tidak dikenal atau terlalu bagus untuk menjadi kenyataan (misalnya undangan mendadak menjadi anggota dewan).
- Periksa alamat pengirim dan pastikan akun tersebut benar-benar resmi serta terverifikasi.
- Waspadai domain aneh seperti
.icu,.xyz,.top, atau domain yang tidak umum digunakan oleh perusahaan besar. - Gunakan autentikasi multifaktor (MFA) untuk akun Microsoft dan LinkedIn Anda.
- Jika sudah terlanjur memasukkan kredensial, segera ganti kata sandi dan cabut sesi aktif dari akun Anda.
Sumber: BleepingComputer, Push Security








