• February 18, 2026

Waspada Serangan Phishing Dropbox Palsu yang Mencuri Kredensial Login

Penjahat siber meluncurkan kampanye phishing berbahaya yang menipu pengguna agar menyerahkan kredensial login mereka dengan menyamar sebagai Dropbox.

Serangan ini menggunakan pendekatan multi-tahap untuk menghindari pemeriksaan keamanan email dan pemindai konten.

Para pelaku memanfaatkan platform cloud tepercaya dan file PDF yang tampak tidak berbahaya untuk membuat rantai tipuan yang mengarahkan korban ke halaman login palsu yang dirancang untuk mencuri kredensial mereka.

 Bagaimana Serangan Ini Dimulai

  1. Korban menerima email bisnis yang tampak sah, seolah-olah berkaitan dengan proses pengadaan.

  2. Email ini berisi lampiran PDF dan meminta penerima untuk meninjau pesanan permintaan dengan masuk menggunakan kredensial mereka.

  3. Keefektifan kampanye ini adalah karena badan email tidak mengandung tautan berbahaya apa pun, sehingga bisa melewati pemeriksaan autentikasi seperti SPF, DKIM, dan DMARC tanpa menimbulkan tanda bahaya.

 Tahap Peralihan Phishing

  • Setelah korban membuka lampiran PDF, mereka melihat tautan tersembunyi yang mengarah ke PDF lain yang dihosting di layanan cloud tepercaya seperti Vercel Blob Storage.

  • Dokumen lapisan ini memanfaatkan kepercayaan pengguna terhadap platform terkenal.

  • PDF tersebut kemudian mengalihkan korban ke situs palsu yang menyamar sebagai halaman login Dropbox dengan antarmuka yang familiar.

Halaman palsu ini dirancang untuk meyakinkan pengguna bahwa mereka harus memasukkan kredensial untuk mengakses dokumen penting.

 Bagaimana Data Dicuri

  • Ketika korban memasukkan email dan kata sandi, informasi itu langsung ditangkap dan dikirim ke penyerang melalui infrastruktur Telegram.

  • Halaman palsu berisi JavaScript tersembunyi yang melakukan fungsi berbahaya, termasuk:

    • Memvalidasi format email dan mengumpulkan kata sandi tanpa batasan panjang minimum;

    • Mengambil informasi tambahan seperti alamat IP dan lokasi geografi korban melalui API eksternal;

  • Semua data yang dikumpulkan dikemas menjadi pesan dan dikirim ke bot Telegram penyerang menggunakan token bot dan ID chat yang hardcoded.

  • Skrip bahkan menyimulasikan proses login dengan penundaan lima detik sebelum menampilkan pesan kesalahan, sehingga membuat korban merasa mereka hanya salah mengetikkan kredensial, padahal data mereka sudah dicuri.

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Forcepoint indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!