Phishing Berkedok Lowongan Kerja dari Adobe hingga OpenAI Curi Akun Google Profesional Marketing

Pelaku kejahatan siber melancarkan kampanye phishing baru dengan menyamar sebagai perekrut dari lebih dari 30 perusahaan ternama, termasuk Adobe, Netflix, Coca-Cola, dan OpenAI, untuk mencuri kredensial akun Google milik para profesional di bidang pemasaran (marketing).
Yang membuat kampanye ini lebih meyakinkan adalah penggunaan layanan cloud resmi seperti PeopleForce dan Salesforce Marketing Cloud sebagai bagian dari rantai pengalihan (redirect), sehingga email tampak berasal dari sumber yang sah.
Menyamar Sebagai Perekrut Perusahaan Besar
Menurut analisis dari Will Thomas, Senior Advisor di Team Cymru, email phishing tersebut mengatasnamakan perekrut yang sedang mencari kandidat untuk posisi di bidang pemasaran.
Pelaku diketahui meniru identitas lebih dari 30 perusahaan terkenal dari berbagai sektor, di antaranya:
Teknologi dan Konsultan
- Adobe
- OpenAI
- McKinsey & Company
- Aquent
- ManpowerGroup
Hiburan
- Netflix
- FIFA
Makanan dan Minuman
- Coca-Cola
- PepsiCo
- Red Bull
Maskapai dan Perjalanan
- American Airlines
- Delta Air Lines
- United Airlines
- Booking.com
Fashion dan Retail
- Adidas
- Louis Vuitton
- Sephora
- Levi’s
Perhotelan dan Pemasaran
- Marriott
- Omnicom Group
Menggunakan Identitas Perekrut Asli
Untuk meningkatkan tingkat keberhasilan serangan, pelaku tidak hanya memalsukan nama perusahaan, tetapi juga menggunakan:
- nama perekrut sungguhan;
- foto profil asli perekrut.
Sebagai contoh, salah satu email mengatasnamakan perekrut Adidas bernama Paulina Manzo, yang mengundang korban untuk menjadwalkan wawancara kerja.
Memanfaatkan Redirect dari Layanan Resmi
Salah satu teknik yang digunakan adalah nested redirect, yaitu mengalihkan korban melalui beberapa layanan sah sebelum akhirnya tiba di situs phishing.
Rantai pengalihan yang ditemukan peneliti meliputi:
- Email dikirim melalui platform HR PeopleForce.
- Tautan mengarah ke domain exct.net, milik Salesforce Marketing Cloud (sebelumnya ExactTarget).
- Pengguna kemudian diarahkan ke layanan CRM Wise Agent.
- Setelah itu korban baru dialihkan ke situs phishing.
Karena seluruh proses melewati domain-domain yang dikenal dan terpercaya, peluang korban untuk curiga menjadi jauh lebih kecil.
Halaman Login Google Palsu
Setelah korban memilih jadwal wawancara, mereka diminta login menggunakan akun Google.
Namun tombol “Continue with Google” tidak membuka halaman login Google yang sebenarnya.
Sebaliknya, pelaku menampilkan jendela login palsu menggunakan teknik Browser-in-the-Browser (BitB).
Teknik ini membuat halaman HTML dan CSS terlihat seperti jendela pop-up login Google asli sehingga sangat sulit dibedakan oleh pengguna.
Jika korban memasukkan email dan kata sandi, seluruh informasi tersebut langsung dikirim kepada pelaku.
Berlangsung Selama Berbulan-bulan
BleepingComputer menemukan bahwa kampanye ini telah aktif selama setidaknya lima bulan.
Pada tahap awal, pelaku bahkan menggunakan alamat email Outlook dengan nama perusahaan yang mereka tiru agar email terlihat semakin meyakinkan.
Hingga kini belum diketahui bagaimana pelaku memanfaatkan layanan PeopleForce maupun Salesforce Marketing Cloud. Namun, peneliti menegaskan bahwa penggunaan platform tersebut tidak berarti layanan-layanan tersebut telah diretas.
Kemungkinan besar pelaku membuat akun resmi sendiri atau menggunakan akun yang telah disusupi untuk mengatur rantai redirect tersebut.
Cara Melindungi Diri
Untuk menghindari menjadi korban kampanye serupa, pengguna disarankan untuk:
- selalu memverifikasi alamat domain sebelum login menggunakan akun Google;
- membuka halaman login Google secara langsung melalui browser, bukan melalui tautan dalam email;
- berhati-hati terhadap undangan wawancara yang meminta login sebelum proses rekrutmen dimulai;
- memperhatikan apakah jendela login benar-benar merupakan pop-up browser asli atau hanya tampilan yang dibuat di dalam halaman web;
- mengaktifkan autentikasi multi-faktor (MFA) pada akun Google.
Kampanye ini menunjukkan bahwa pelaku kini semakin memanfaatkan layanan cloud yang sah untuk menyamarkan aktivitas phishing, sehingga pengguna perlu lebih teliti meskipun email tampak berasal dari platform yang terpercaya.








