Belakangan ini, para pelaku kejahatan siber kembali beraksi dengan trik baru yang cukup licik. Mereka meluncurkan kampanye phishing yang menyamar sebagai notifikasi spam-filter resmi dari perusahaan Anda sendiri. Sekilas bentuknya benar-benar mirip, sampai-sampai banyak pengguna yang tidak menyadari bahwa email tersebut sebenarnya adalah jebakan.
Baca Juga : QR Code Palsu Jadi Senjata Baru Hacker untuk Serang Akun Microsoft Kalian
Modusnya sederhana, tapi efektif. Email palsu itu mengklaim bahwa sistem Secure Message di perusahaan Anda baru saja mengalami pembaruan. Akibatnya, beberapa pesan “tertahan” dan tidak masuk ke inbox Anda. Untuk mengatasi hal itu, Anda diminta mengklik tombol “Move to Inbox” guna mengambil pesan yang katanya masih tertahan.
Masalahnya: notifikasi yang terlihat membantu ini sebenarnya adalah pintu masuk bagi pelaku untuk mencuri kredensial email Anda.
Email Palsu yang Sangat Meyakinkan
Kalau dilihat sepintas, email phishing ini memang dibuat sangat meyakinkan. Ia menampilkan judul pesan yang generik, laporan pengiriman yang terlihat biasa saja, bahkan menyertakan tautan unsubscribe agar makin terlihat resmi.
Namun di balik tampilan itu, terdapat trik yang cukup berbahaya. Baik tombol utama maupun tautan unsubscribe sama-sama membawa korban menuju redirect berbahaya melalui situs cbssports[.]com yang telah dikompromikan, sebelum akhirnya diarahkan ke halaman phishing yang di-host di mdbgo[.]io.
.webp "Email Palsu yang Sangat Meyakinkan")
Yang lebih canggih lagi, alamat email korban ikut disematkan dalam URL dalam bentuk string base64. Itu sebabnya halaman login palsu mampu langsung menampilkan domain perusahaan Anda, sehingga terlihat makin personal dan tidak mencurigakan.
Menurut penelitian awal dari Unit42, kampanye phishing ini berkembang sangat cepat. Setelah itu, tim keamanan dari Malwarebytes mendapati bahwa serangannya sudah jauh lebih kompleks dari versi pertama.
Halaman login palsunya bukan sekadar tampilan untuk memanen username dan password. Di baliknya terdapat kode yang di-obfuscate dengan sangat berat, sehingga fungsinya sulit dideteksi oleh sistem keamanan biasa.
Metode Pencurian Kredensial Berbasis Websocket
Bagian paling berbahaya dari serangan ini ada pada teknologi yang digunakan. Tidak seperti serangan phishing tradisional yang hanya menyimpan data setelah Anda menekan tombol “submit”, kampanye ini memakai teknologi websocket untuk mencuri informasi secara real-time.
Bayangkan websocket sebagai sambungan telepon yang tidak pernah ditutup. Selama koneksi terbuka, data bisa mengalir dua arah tanpa harus me-refresh halaman. Begitu Anda mengetikkan alamat email atau password di kolom login palsu, setiap karakter yang Anda masukkan langsung dikirim ke server pelaku dalam hitungan detik.
Itulah sebabnya mereka bisa mengakses akun email, penyimpanan cloud, hingga layanan lain yang terhubung dengan sangat cepat.
Lebih parah lagi, websocket memungkinkan pelaku mengirimkan prompt tambahan ke halaman yang Anda buka. Jika akun Anda dilindungi dengan two-factor authentication (2FA), mereka dapat memaksa munculnya permintaan kode verifikasi palsu. Jadi, meskipun Anda sudah memakai 2FA, akun tetap bisa dibobol karena kode yang Anda masukkan ikut terkirim secara langsung ke tangan pelaku.
Serangan yang Terus Berkembang
Jika Anda merasa pernah menerima email yang mengatasnamakan sistem Secure Message, atau notifikasi filter spam internal kantor, kini saatnya lebih waspada. Serangan ini menunjukkan bahwa kampanye phishing tidak lagi hanya mengandalkan halaman login sederhana. Pelaku mulai memanfaatkan teknologi komunikasi web modern untuk mencuri data secara langsung dan cepat, bahkan sebelum Anda menekan tombol apa pun.
Kampanye ini juga terlihat terus berubah seiring waktu. Templatenya diperbarui, URL redirect diganti, hingga tampilan login semakin dibuat menyerupai antarmuka email perusahaan. Tujuannya hanya satu: membuat korban percaya bahwa mereka sedang membuka halaman resmi.
Baca Juga : Bug Zimbra SSRF Buka Akses Hacker ke Informasi Sensitif di Server Email
Jangan Asal Klik Notifikasi Email
Modus phishing dengan spam filter palsu ini jadi pengingat baru bahwa keamanan email tidak boleh dianggap remeh. Jika Anda menerima notifikasi aneh tentang pesan tertahan—apalagi yang meminta Anda mengklik tombol untuk “mengambil” pesan—lebih baik cek ulang langsung ke admin IT atau periksa dashboard email resmi perusahaan.
Satu klik saja sudah cukup untuk memberikan akses penuh kepada penyerang. Dan mengingat metode websocket yang mereka gunakan, semua data bisa dicuri bahkan sebelum halaman selesai dimuat.
Tetap hati-hati, selalu verifikasi alamat pengirim, dan hindari login melalui tautan dari email mencurigakan. Di era serangan yang makin canggih seperti sekarang, kewaspadaan adalah pertahanan terbaik Anda.
