Sebuah kampanye phishing bertahap menargetkan pengguna bisnis dengan memanfaatkan cloud storage Vercel, lampiran PDF, dan bot Telegram untuk mencuri kredensial Dropbox.
Jika kamu pernah menerima email biasa tentang kontrak bisnis atau request order, kamu mungkin telah mengkliknya tanpa berpikir dua kali. Namun laporan terbaru menunjukkan bahwa pesan-pesan yang tampak rutinitas ini sekarang menjadi bagian dari skema penipuan terencana.
Peneliti keamanan siber di Forcepoint menemukan penipuan phishing baru di mana pelaku menggunakan proses “bertingkat” untuk tetap tidak terlihat dan mencapai tujuan mereka — mencuri detail login kamu.
Kebanyakan penipuan email tertangkap oleh filter karena berisi tautan berbahaya atau virus. Yang ini berbeda. Ini dimulai dengan email yang tampak profesional, biasanya tentang “tender” atau kesepakatan pengadaan. Emailnya sendiri sepenuhnya bersih. Semua aksi berbahaya terjadi melalui lampiran PDF.
Menurut investigasi X-Labs yang dibagikan kepada Hackread.com, PDF ini menggunakan pengaturan teknis seperti AcroForms dan FlateDecode. Secara sederhana, ini memungkinkan penipu menyembunyikan tombol yang bisa diklik di dalam dokumen yang terlihat seperti file kantor biasa. Karena kita cenderung lebih mempercayai PDF daripada tautan langsung di email, pelaku memanfaatkan hal itu.
Bagaimana Skema Ini Bekerja
Setelah seorang pengguna mengklik tautan di dalam PDF, mereka diarahkan ke file kedua yang di-hosting di Vercel Blob storage, sebuah layanan cloud yang sah. Dengan menggunakan infrastruktur cloud yang dipercaya seperti ini, pelaku dapat membypass perangkat lunak keamanan yang biasanya memblokir situs yang tidak dikenal atau mencurigakan.
File yang di-hosting di cloud ini kemudian membawa korban ke halaman login Dropbox palsu, yang dirancang terlihat persis seperti halaman asli Dropbox. Namun di belakang layar, sebuah skrip bekerja untuk mencuri email, kata sandi, alamat IP, lokasi (termasuk kota dan negara), serta jenis perangkat yang digunakan korban.
Kemana Data Itu Pergi?
Jadi, apa yang terjadi dengan kata sandi yang dicuri? Penelitian menunjukkan bahwa data yang berhasil direbut dikirim langsung ke saluran pribadi di Telegram.
“Skrip ini dirancang untuk menangkap kredensial pengguna,” jelas Kumar (peneliti), sebelum mengirimkannya ke bot Telegram yang sudah diprogram sebelumnya dan dikendalikan oleh para peretas. Untuk membuat korban tetap dalam ketidaktahuan, situs palsu itu selalu menampilkan pesan kesalahan, membuatmu berpikir bahwa kamu salah memasukkan kata sandi, sementara peretas sudah mendapatkan data kamu.
Kesimpulan:
Seringkali email yang tampaknya profesional dan “bersih” dapat menjadi bagian dari skema phishing yang kompleks — terutama jika ada lampiran PDF yang meminta tindakan lebih lanjut. Selalu berhati-hati sebelum memasukkan kredensial atau mengeklik tautan di dokumen yang tidak kamu harapkan.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Forcepoint indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!