Berita Informasi

Serangan BazarCall menyalahgunakan Google Formulir untuk melegitimasi email phishing

Dalam lonjakan serangan BazarCall baru-baru ini, penjahat dunia maya telah mengadopsi pendekatan baru dengan memanfaatkan Google Formulir untuk membuat dan mengirimkan tanda terima pembayaran kepada korbannya yang tidak menaruh curiga. Taktik inovatif ini dirancang untuk meningkatkan legitimasi upaya phishing, sehingga meningkatkan kemungkinan keberhasilan.

Pertama kali diidentifikasi pada tahun 2021, BazarCall adalah serangan phishing yang menggunakan email menipu yang menyerupai pemberitahuan pembayaran atau konfirmasi berlangganan dari entitas terkemuka seperti penyedia perangkat lunak keamanan, layanan dukungan komputer, dan platform streaming populer. Email palsu ini biasanya menyampaikan rasa urgensi, mengklaim bahwa penerimanya akan secara otomatis terdaftar dalam langganan dengan harga selangit. Penerima kemudian didesak untuk segera membatalkan langganan jika mereka ingin menghindari biaya.

Khususnya, modus operandi tradisional email phishing ini melibatkan penyediaan nomor telepon, bukan hyperlink. Nomor ini konon menghubungkan korban dengan agen layanan pelanggan yang berafiliasi dengan merek yang ditiru tersebut. Korban, setelah menghubungi nomor tersebut, tanpa sadar akan terlibat dengan penjahat dunia maya yang menyamar sebagai perwakilan dukungan pelanggan. Interaksi yang menipu ini bertujuan untuk membujuk korban agar tanpa disadari memasang malware di komputer mereka melalui proses langkah demi langkah.

Malware yang bertanggung jawab atas serangan ini dikenal sebagai BazarLoader, dinamai sesuai fungsinya sebagai alat yang dirancang untuk memfasilitasi instalasi muatan berbahaya tambahan pada sistem korban. Integrasi Google Formulir ke dalam metodologi serangan mewakili evolusi strategis dalam upaya mencapai kampanye phishing yang lebih meyakinkan dan efektif.

Proses serangan melibatkan langkah-langkah berikut:

  1. Penyerang membuat Formulir Google dengan detail tentang transaksi palsu, seperti nomor faktur, tanggal, metode pembayaran, dan informasi lain-lain tentang produk atau layanan yang digunakan sebagai umpan.
  2. Penyerang mengaktifkan opsi tanda terima respons pada tab Pengaturan dan mengirimkan undangan untuk melengkapi formulir.
  3. Saat undangan tiba, penyerang mengklik tombol “Isi Formulir”, yang membuka Google Formulir.

Serangan ini sulit dideteksi karena beberapa alasan:

  • Tidak ada indikator penyusupan yang jelas, seperti tautan atau lampiran berbahaya, sehingga menyulitkan sistem keamanan email lama untuk menandai atau memblokir email phishing.
  • Google Formulir adalah layanan yang banyak digunakan dan sah untuk membuat survei, kuis, dan formulir, sehingga menyulitkan alat keamanan email untuk membedakan antara formulir yang sah dan berbahaya.
  • Google Formulir sering kali menggunakan URL yang dibuat secara dinamis, yang terus berubah dan dapat menghindari tindakan keamanan tradisional yang mengandalkan pola yang diketahui untuk mengidentifikasi ancaman.
Contoh iming-iming khas BazarCall (Abnormal)

Untuk melindungi diri Anda dari serangan BazarCall, Anda harus berhati-hati saat menerima email berisi permintaan pembayaran atau tautan ke situs web asing, terutama jika email tersebut berasal dari sumber tidak dikenal atau tampak mencurigakan. Selain itu, penggunaan alat keamanan email yang kuat dapat membantu mendeteksi dan memblokir potensi ancaman sebelum mencapai kotak masuk Anda.

Penyalahgunaan Google Formulir

Abnormal, sebuah perusahaan keamanan email, baru-baru ini mengidentifikasi pengulangan baru serangan BazarCall, yang menandai tren penyalahgunaan Google Formulir yang mengkhawatirkan. Google Formulir, alat online gratis yang banyak digunakan, memungkinkan pengguna membuat formulir dan kuis yang dipersonalisasi yang dapat dibagikan, diintegrasikan ke dalam situs web, dan digunakan untuk berbagai tujuan.

Dalam serangan yang dimodifikasi ini, pelaku membuat Formulir Google yang berisi rincian palsu dari transaksi yang tidak ada, termasuk elemen seperti nomor faktur, tanggal, metode pembayaran, dan informasi lain-lain terkait dengan produk atau layanan yang diklaim. Selanjutnya, penyerang mengaktifkan fitur “tanda terima respons” di pengaturan formulir, memicu pengiriman otomatis salinan formulir yang telah diisi ke alamat email yang diberikan.

Salinan formulir dikirim ke target (Abnormal)

Memanfaatkan alamat email target, konfirmasi pembayaran palsu, menyerupai transaksi sah, dikirim dari server Google ke penerima yang tidak menaruh curiga. Karena sifat asli Google Formulir, alat keamanan email konvensional tidak dapat menandai atau memblokir email phishing ini, sehingga memastikan keberhasilan pengirimannya ke target yang dituju. Menambah ilusi keaslian, email tersebut berasal dari alamat Google, khususnya “noreply@google.com.”

Faktur palsu yang dikirimkan kepada korban menyertakan nomor telepon pelaku ancaman, disertai dengan perintah mendesak bagi penerima untuk menelepon dalam waktu 24 jam untuk mengatasi perselisihan apa pun. Elemen urgensi ini meningkatkan kemungkinan keberhasilan manipulasi. Meskipun laporan Abnormal tidak menyelidiki tahap serangan selanjutnya, perlu dicatat bahwa BazarCall sebelumnya dikaitkan dengan perolehan akses awal ke jaringan perusahaan, yang sering kali membuka jalan bagi serangan ransomware.

Sumber:

https://abnormalsecurity.com/blog/bazarcall-attack-leverages-google-forms
https://cyber.vumetric.com/security-news/2023/12/13/bazarcall-attacks-abuse-google-forms-to-legitimize-phishing-emails/
https://www.bleepingcomputer.com/news/security/bazarcall-attacks-abuse-google-forms-to-legitimize-phishing-emails/
https://thehackernews.com/2023/12/bazacall-phishing-scammers-now.html?m=1
https://itnerd.blog/2023/12/13/new-bazarcall-attack-variant-discovered-threat-actors-leverage-google-form-with-call-back-phishing/?amp=1