Security

Phishing di LinkedIn Menargetkan Eksekutif Keuangan dengan Undangan Dewan Direksi Palsu

Para peretas kini memanfaatkan LinkedIn untuk melancarkan serangan phishing yang menargetkan eksekutif di sektor keuangan, dengan mengirimkan pesan langsung (DM) yang berpura-pura sebagai undangan resmi menjadi anggota dewan investasi. Tujuan utamanya adalah mencuri kredensial akun Microsoft para korban.


๐ŸŽฏ Modus Serangan

Menurut temuan dari Push Security, serangan ini dimulai dari pesan pribadi di LinkedIn yang berisi tautan berbahaya. Pesan tersebut berpura-pura sebagai undangan untuk bergabung dengan โ€œCommon Wealth Investment Fundโ€ di Amerika Selatan, bekerja sama dengan perusahaan fiktif โ€œAMCO Asset Management.โ€

Contoh isi pesan phishing:

โ€œSaya dengan senang hati mengundang Anda untuk bergabung dalam Executive Board dari Common Wealth Investment Fund di Amerika Selatanโ€ฆ proyek ini merupakan kolaborasi baru dengan AMCO โ€“ cabang manajemen aset kami.โ€

Pesan tersebut diakhiri dengan ajakan untuk mengklik tautan โ€œLearn Moreโ€ guna mengetahui detail posisi tersebut.


๐Ÿ”— Rantai Redirect yang Rumit

Begitu korban mengklik tautan, mereka akan diarahkan melalui serangkaian pengalihan (redirect):

  1. Google Open Redirect โ†’
  2. Situs berbahaya milik penyerang โ†’
  3. Halaman palsu di Firebase (firebasestorage.googleapis[.]com) yang meniru tampilan portal LinkedIn Cloud Share.

Beberapa domain berbahaya yang teridentifikasi antara lain:

  • payrails-canaccord[.]icu
  • boardproposalmeet[.]com
  • sqexclusiveboarddirect[.]icu

๐Ÿชค Tampilan Palsu dan Phishing Canggih

Halaman Firebase tersebut menampilkan dokumen palsu terkait posisi dewan, dan meminta pengguna untuk menekan tombol โ€œView with Microsoftโ€ guna melihat file.

Saat tombol ditekan, korban diarahkan ke situs login.kggpho[.]icu, yang menampilkan captcha Cloudflare Turnstile untuk menghindari deteksi otomatis oleh sistem keamanan. Setelah captcha diselesaikan, halaman login Microsoft palsu (Adversary-in-the-Middle / AITM) muncul untuk mencuri kredensial dan cookie sesi pengguna.


๐Ÿ“Š Serangan Meluas ke Platform Non-Email

Menurut Jacques Louw, Chief Product Officer di Push Security:

โ€œPhishing kini tidak lagi terbatas pada email. Sekitar 34% serangan phishing dalam sebulan terakhir terjadi melalui platform seperti LinkedIn dan layanan non-email lainnya, naik dari kurang dari 10% tiga bulan lalu.โ€

Penyerang kini beralih ke platform tempat para profesional aktif berinteraksi โ€” seperti LinkedIn โ€” untuk meningkatkan peluang sukses dalam serangan mereka.


๐Ÿง  Cara Menghindari Serangan Ini

  • Jangan klik tautan dari pesan LinkedIn yang tidak dikenal atau terlalu bagus untuk menjadi kenyataan (misalnya undangan mendadak menjadi anggota dewan).
  • Periksa alamat pengirim dan pastikan akun tersebut benar-benar resmi serta terverifikasi.
  • Waspadai domain aneh seperti .icu, .xyz, .top, atau domain yang tidak umum digunakan oleh perusahaan besar.
  • Gunakan autentikasi multifaktor (MFA) untuk akun Microsoft dan LinkedIn Anda.
  • Jika sudah terlanjur memasukkan kredensial, segera ganti kata sandi dan cabut sesi aktif dari akun Anda.

Sumber: BleepingComputer, Push Security

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button