Latest News

Serangan Phishing OneDrive Sasar Eksekutif, Begini Modusnya

Ilustrasi Cyber Security 15

Ilustrasi Cyber Security

Dunia maya kembali diguncang dengan munculnya kampanye spear-phishing canggih yang menyasar eksekutif senior dan jajaran direksi (C-level) di berbagai industri. Dalam serangan terbaru ini, para penjahat siber memanfaatkan layanan penyimpanan cloud Microsoft OneDrive sebagai jalur utama untuk mencuri kredensial perusahaan.

Serangan ini dinilai sebagai salah satu eskalasi serius dalam taktik rekayasa sosial (social engineering), karena targetnya bukan lagi pengguna umum, melainkan orang-orang penting yang memegang akses strategis terhadap sistem perusahaan.

 
Modus Serangan: Email HR Palsu Soal Perubahan Gaji

Modus utama yang digunakan penyerang adalah email phishing yang disamarkan seolah-olah berasal dari divisi Human Resources (HR). Dalam pesan tersebut, target diberitahu adanya perubahan gaji atau pembaruan dokumen terkait penghasilan.

Dengan pendekatan ini, para eksekutif yang menjadi sasaran diharapkan tergoda untuk membuka pesan, mengklik tautan, dan akhirnya menyerahkan kredensial login perusahaan mereka.

Menurut analis keamanan, taktik ini memanfaatkan rasa penasaran sekaligus kepentingan pribadi, dua faktor yang efektif membuat seseorang lengah terhadap ancaman siber.

 
Strategi Penyerang: Bermain Halus Sebelum Menggigit

Para pelaku tidak serta-merta mengirimkan email berbahaya. Mereka lebih dulu melakukan warming up dengan mengirim email biasa yang tidak berbahaya selama beberapa hari. Tujuannya sederhana: membuat alamat pengirim terlihat sah dan tidak mencurigakan.

Setelah itu, barulah email phishing dikirim dengan subjek seperti “Salary amendment” atau “FIN_SALARY”. Pesan tersebut didesain menyerupai notifikasi berbagi dokumen dari OneDrive.

Yang membuatnya semakin berbahaya, setiap email dipersonalisasi dengan mencantumkan nama serta detail perusahaan penerima. Dengan begitu, peluang korban tertipu menjadi lebih besar.

 
Infrastruktur Canggih di Balik Serangan

Investigasi dari tim keamanan Stripe OLT mengungkap bahwa serangan ini didukung infrastruktur yang cukup kompleks. Para penyerang menggunakan Amazon Simple Email Service (SES) untuk mengirimkan email berbahaya, serta bergonta-ganti hingga 80 domain dan subdomain berbeda agar tidak mudah dilacak.

Beberapa penyedia layanan yang dimanfaatkan antara lain:

  • Cloudflare untuk layanan DNS,
  • Akamai Cloud untuk hosting,
  • Mat Bao Corporation untuk registrasi domain.

Langkah ini menunjukkan bahwa pelaku memiliki tingkat keamanan operasional (operational security) yang matang, sehingga menyulitkan pihak berwenang dalam menutup jalur serangan.

 
Teknik Pengelakan Unik: Mainkan Mode Gelap

Salah satu trik canggih yang dipakai adalah memanfaatkan perbedaan tampilan email di mode terang (light mode) dan mode gelap (dark mode).

Pada light mode, tombol email terlihat normal dengan label “Open” atau “Share”.
Namun, ketika email dibuka dalam dark mode, tombol tersebut menampilkan teks acak berupa kombinasi huruf dan angka seperti “twPOpenHuxv” atau “gQShareojxYl”.

Cara ini membuat sistem keamanan email kesulitan mendeteksi kata kunci berbahaya, sebab teks yang muncul tidak lagi persis “Open” atau “Share”.

 
Halaman Login Palsu yang Meyakinkan

Begitu korban mengklik tautan, mereka akan diarahkan ke halaman login palsu yang sangat menyerupai tampilan Microsoft Office/OneDrive.

Halaman tersebut meminta pengguna untuk memasukkan kredensial perusahaan dengan alasan harus login untuk melihat dokumen gaji. Lebih berbahaya lagi, tautan phishing ini bersifat sekali pakai (single-use). Setelah dibuka, link otomatis nonaktif, sehingga menyulitkan tim keamanan melakukan analisis forensik.

 
Rekomendasi untuk Organisasi

Untuk mengurangi risiko, para pakar keamanan memberikan beberapa langkah mitigasi:

  • Gunakan kueri KQL (Kusto Query Language), untuk mendeteksi pola email mencurigakan dengan subjek terkait gaji atau OneDrive.
  • Blokir domain berbahaya,  segera lakukan pemblokiran terhadap domain yang sudah teridentifikasi, termasuk:
    • letzdoc.com
    • hr-fildoc.com
    • docutransit.com
  • Pelatihan keamanan siber, perusahaan wajib memberikan edukasi keamanan bagi eksekutif dan staf administrasi. Hal ini penting karena mereka menjadi target utama serangan spear-phishing.
  • Aktifkan autentikasi multi-faktor (MFA), meski kredensial dicuri, lapisan keamanan tambahan bisa mencegah akses tidak sah.
     

Ancaman Nyata bagi Perusahaan Besar

Serangan phishing yang menyasar C-level seperti ini sangat berbahaya. Pasalnya, kredensial milik eksekutif biasanya memiliki akses ke data strategis, dokumen penting, hingga sistem internal perusahaan.

Jika berhasil dibobol, dampaknya tidak hanya pada kerugian finansial, tapi juga reputasi perusahaan yang bisa tercoreng. Oleh karena itu, organisasi harus meningkatkan kewaspadaan dan memperbarui sistem keamanan mereka secara berkelanjutan.

Kasus spear-phishing lewat OneDrive ini membuktikan bahwa penjahat siber semakin kreatif dalam mencari celah. Dengan email yang tampak meyakinkan, infrastruktur canggih, hingga trik unik memanfaatkan mode gelap, mereka berusaha menipu bahkan orang-orang dengan jabatan tinggi di perusahaan.

Organisasi tidak boleh lengah. Edukasi keamanan, penggunaan teknologi deteksi modern, serta kerja sama antar tim IT dan manajemen menjadi kunci agar serangan semacam ini tidak berhasil menembus pertahanan perusahaan.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait