Kebingungan Spoofs 'Picture-in-Picture' Delta, Kohl untuk Pemanenan Kredensial

Peretas beralih ke taktik kebingungan dengan mengandalkan foto iklan mengkilap dari Delta Airlines dan pengecer Kohl's, menipu pengguna agar mengunjungi situs pemanenan kredensial dan memberikan informasi pribadi.

A kampanye baru-baru ini dianalisis oleh Avanan menunjukkan bagaimana pelaku ancaman menyembunyikan tautan jahat di balik foto meyakinkan yang menawarkan kartu hadiah dan program loyalitas dari merek tepercaya tersebut. Secara lebih luas, kampanye ini adalah bagian dari tren yang lebih besar dari penjahat dunia maya yang memperbarui taktik lama dengan alat baru — seperti AI — yang membuat phishing lebih meyakinkan.

Peneliti Avanan, yang menjuluki teknik kebingungan "gambar dalam gambar", mencatat bahwa penjahat dunia maya di balik serangan itu hanya menghubungkan foto pemasaran ke URL jahat. Ini berbeda dengan steganografi, yang menyandikan muatan berbahaya pada tingkat piksel dalam gambar.

Jeremy Fuchs, peneliti dan analis keamanan siber di Avanan, mencatat hal itu steganografi seringkali sangat kompleks, dan "ini adalah cara yang jauh lebih sederhana dalam melakukan hal-hal yang mungkin masih memiliki dampak yang sama dan lebih mudah ditiru oleh peretas dalam skala besar."

Filter URL Perusahaan Dihalangi oleh Kebingungan Gambar

Meskipun mudah, pendekatan gambar-dalam-gambar mempersulit filter URL untuk mendeteksi ancaman, catat para peneliti Avanan.

"[Email akan] terlihat bersih [to filter] jika mereka tidak memindai di dalam gambar," menurut analisis. “Seringkali, peretas akan dengan senang hati menautkan file, gambar, atau kode QR ke sesuatu yang berbahaya. Anda dapat melihat maksud sebenarnya dengan menggunakan OCR untuk mengonversi gambar menjadi teks atau mem-parsing kode QR dan mendekodekannya. Tetapi banyak layanan keamanan tidak atau tidak dapat melakukan ini.”

Fuchs menjelaskan bahwa manfaat utama lain dari pendekatan ini adalah membuat kejahatan tidak terlalu terlihat oleh target.

"Dengan mengikat rekayasa sosial ke kebingungan, Anda berpotensi memberi pengguna akhir sesuatu yang sangat menggoda untuk diklik dan ditindaklanjuti," katanya, menambahkan peringatan bahwa jika pengguna mengarahkan kursor ke gambar, tautan URL jelas tidak terkait dengan merek palsu. “Serangan ini cukup canggih, meskipun peretas mungkin kehilangan poin dengan tidak menggunakan URL yang lebih orisinal,” katanya.

Sementara phish menyebarkan jaring konsumen yang luas, bisnis harus waspada mengingat bahwa komunikasi program loyalitas maskapai sering masuk ke kotak masuk perusahaan; dan masuk usia kerja jarak jauh, banyak karyawan menggunakan perangkat pribadi untuk bisnis, atau mengakses layanan pribadi (seperti Gmail) di laptop yang dikeluarkan untuk bisnis.

“Dalam hal dampak, [kampanye] ditujukan untuk sejumlah besar pelanggan, di berbagai wilayah,” tambah Fuchs. “Meskipun sulit untuk mengetahui siapa pelakunya, hal-hal seperti ini seringkali dapat dengan mudah diunduh sebagai perangkat siap pakai.”

Menggunakan Gen AI untuk Memperbarui Taktik Lama

Fuchs mengatakan bahwa kampanye tersebut cocok dengan salah satu tren yang muncul di lanskap phishing: spoof yang hampir tidak dapat dibedakan dari versi yang sah. Ke depan, penggunaan AI generatif (seperti ChatGPT) untuk membantu taktik penyamaran ketika datang ke serangan phishing berbasis gambar hanya akan membuat ini lebih sulit dikenali, tambahnya.

“Sangat mudah dengan AI generatif,” katanya. “Mereka dapat menggunakannya untuk dengan cepat mengembangkan gambar realistis dari merek atau layanan yang sudah dikenal dan melakukannya dalam skala besar dan tanpa pengetahuan desain atau pengkodean apa pun.”

Misalnya, hanya menggunakan permintaan ChatGPT, seorang peneliti Forcepoint baru-baru ini diyakinkan AI untuk membangun malware steganografi yang tidak terdeteksi, meskipun direktif untuk menolak permintaan berbahaya.

Phil Neray, wakil presiden strategi pertahanan dunia maya di CardinalOps, mengatakan tren AI sedang berkembang.

“Apa yang baru adalah tingkat kecanggihan yang sekarang dapat diterapkan untuk membuat email ini tampak hampir identik dengan email yang Anda terima dari merek yang sah,” ujarnya. “Seperti penggunaan Deepfake yang dihasilkan AI, AI sekarang mempermudah pembuatan email dengan konten tekstual, nada, dan citra yang sama dengan email yang sah.”

Secara umum, phisher menggandakan apa yang disebut Fuchs sebagai "kebingungan dalam legitimasi."

“Yang saya maksud dengan itu adalah menyembunyikan hal-hal buruk dalam hal yang tampak seperti hal-hal baik,” jelasnya. “Meskipun kami telah melihat banyak contoh pemalsuan layanan yang sah seperti PayPal, ini menggunakan versi yang lebih teruji dan benar, yang mencakup gambar palsu, namun tampak meyakinkan.”

Memanfaatkan Perlindungan URL untuk Melindungi Dari Kehilangan Data

Implikasi potensial dari serangan untuk bisnis adalah kerugian moneter dan kehilangan data, dan untuk mempertahankan diri, organisasi pertama-tama harus mencari cara untuk mengedukasi pengguna tentang jenis serangan ini, menekankan pentingnya mengarahkan kursor ke URL dan melihat tautan lengkap sebelum mengklik.

“Selain itu, menurut kami penting untuk meningkatkan perlindungan URL yang menggunakan teknik phishing seperti ini sebagai indikator serangan, serta menerapkan keamanan yang melihat semua komponen URL dan mengemulasi halaman di belakangnya,” catat Fuchs.

Tidak semua orang setuju bahwa keamanan email yang ada tidak mampu menangkap phishing semacam itu. Mike Parkin, insinyur teknis senior di Vulcan Cyber, mencatat bahwa banyak filter email akan menangkap kampanye ini dan menandainya sebagai spam paling buruk, atau menandainya sebagai berbahaya.

Dia mencatat spammer telah menggunakan gambar sebagai pengganti teks selama bertahun-tahun dengan harapan melewati filter spam, dan filter spam telah berevolusi untuk menghadapinya.

“Sementara serangan itu cukup umum akhir-akhir ini, setidaknya jika spam di folder email sampah saya merupakan indikasi, itu bukan serangan yang sangat canggih,” tambahnya.

Serangan yang diaktifkan AI mungkin cerita yang berbeda. Neray dari CardinalOps mengatakan cara terbaik untuk melawan serangan berbasis gambar yang lebih canggih itu adalah dengan menggunakan sejumlah besar data untuk melatih algoritme berbasis AI tentang cara mengenali email palsu — dengan menganalisis konten email itu sendiri serta dengan mengumpulkan informasi tentang bagaimana semua pengguna lain berinteraksi dengan email.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
• Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
• Sumber: https://www.darkreading.com/endpoint/picture-in-picture-obfuscation-spoofs-delta-kohls-credential-harvesting