Credit image: Freepix
Para pelaku ancaman kini menggunakan karakter Unicode untuk membuat tautan phishing yang terlihat identik dengan tautan asli Booking.com dalam sebuah kampanye penyebaran malware terbaru. Taktik ini memanfaatkan karakter-karakter yang memiliki kemiripan visual dengan karakter lain, yang dikenal sebagai homoglyph.
Serangan ini, yang pertama kali ditemukan oleh peneliti keamanan JAMESWT, mengeksploitasi karakter hiragana Jepang “ん” (Unicode U+3093). Sekilas, karakter ini bisa terlihat seperti kombinasi huruf Latin ‘/n’ atau ‘/~’, terutama dalam font tertentu.
Kemiripan visual ini memungkinkan penipu untuk menciptakan URL yang tampak seperti domain Booking.com yang asli, padahal mengarahkan pengguna ke situs berbahaya.
|
Baca juga: 1001 Alasan Melindungi Identitas Online |
Cara Kerja Serangan Homoglyph Booking.com
Email phising yang beredar menampilkan teks tautan yang menipu, misalnya https://admin.booking.com/hotel/…. Meskipun terlihat sah, tautan yang sebenarnya mengarah ke:
https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/
Saat ditampilkan di bilah alamat peramban web, karakter ‘ん’ tersebut dapat mengecoh pengguna. Mereka mengira sedang menavigasi subdirektori dari booking.com.
Padahal, domain terdaftarnya yang sebenarnya adalah www-account-booking[.]com, sebuah domain tiruan yang dibuat penjahat siber.
Korban yang mengklik tautan ini akan dialihkan ke www-account-booking[.]com/c.php?a=0, yang pada gilirannya mengunduh installer MSI berbahaya dari tautan CDN.
File MSI ini kemudian digunakan untuk menjatuhkan payload berbahaya lainnya, seperti infostealer atau remote access trojan.
Taktik ini memanfaatkan homoglyph, yaitu karakter yang terlihat mirip dengan karakter lain dari set atau alfabet berbeda. Misalnya, karakter Kiril “О” (U+041E) terlihat identik dengan huruf Latin “O” (U+004F).
Para penjahat siber telah berulang kali memanfaatkan homoglyph dalam serangan homograf dan email phishing.
|
Baca juga: PhaaS Morphing Meerkat |
Kampanye Phishing Lain ‘Lntuit’ Bukan ‘Intuit’
Sergiu Gatlan dari BleepingComputer menemukan kampanye phishing lain yang menargetkan pengguna dengan email bertema Intuit.
Email ini menggunakan domain yang dimulai dengan ‘Lntuit’, yang jika dilihat dalam huruf kecil (lntuit), bisa terlihat sangat mirip dengan ‘intuit’ di beberapa jenis font.
Email ini dirancang dengan tata letak sempit, mengindikasikan bahwa target utamanya adalah pengguna seluler. Para penyerang mengandalkan pengguna seluler yang cenderung terburu-buru mengklik tautan tanpa memeriksanya dengan teliti.
Cara Melindungi Diri dari Serangan Phishing
Insiden-insiden ini menjadi pengingat bahwa penyerang akan terus mencari cara kreatif untuk menyalahgunakan tipografi demi rekayasa sosial. Untuk melindungi diri, berikut beberapa tips penting:
- Arahkan Kursor pada Tautan: Selalu arahkan kursor mouse ke tautan sebelum mengkliknya untuk melihat alamat tujuan yang sebenarnya.
- Periksa Domain Asli: Selalu periksa domain yang terdaftar di bagian paling kanan bilah alamat, sebelum garis miring tunggal pertama (/).
- Perbarui Perangkat Lunak Keamanan: Perangkat lunak keamanan endpoint yang selalu diperbarui dapat memberikan lapisan pertahanan tambahan, karena banyak phishing kit modern yang secara langsung menyebarkan malware setelah tautan diklik.
Meskipun pengenalan visual URL penting, penggunaan karakter Unicode yang menipu seperti ‘ん‘ menunjukkan bahwa memeriksa URL secara visual saja tidak lagi cukup.
Sumber berita:
