Mail Bombing & Microsoft Teams

Image credit: Magnific

Mail Bombing & Microsoft Teams – Gelombang serangan siber baru kini tengah menyasar karyawan perusahaan melalui kombinasi licik antara “pemboman” kotak masuk (inbox flooding) dan kontak dukungan TI palsu di Microsoft Teams.

Taktik ini bertujuan untuk menipu pengguna agar memberikan akses jarak jauh (remote access) ke perangkat mereka sendiri. Serangan ini terpantau tumbuh stabil sejak awal 2026 dan para peneliti memperingatkan bahwa tren ini belum menunjukkan tanda-tanda melambat.

Serangan biasanya dimulai dengan korban menerima ratusan atau bahkan ribuan email sampah dalam waktu yang sangat singkat. Teknik yang dikenal sebagai Email Bombing ini dirancang untuk menciptakan kepanikan dan kebingungan.

Saat korban merasa sangat cemas karena mengira akun mereka sedang diretas atau mengalami kerusakan sistem, seorang “spesialis dukungan TI” akan menghubungi mereka melalui Microsoft Teams dengan tawaran bantuan untuk memperbaiki masalah tersebut.

Baca juga: Zero Trust Verifikasi Dulu Akses Kemudian

Personalisasi Akun Palsu

Apa yang membuat operasi ini sangat memprihatinkan adalah bagaimana penyerang mencampur tekanan sosial dengan platform kerja tepercaya.

Sebagian besar karyawan menggunakan Microsoft Teams setiap hari dan telah dikondisikan untuk mengharapkan pesan dari departemen TI di sana. Penyerang mengeksploitasi kepercayaan tersebut secara langsung.

Para peneliti mengidentifikasi beberapa pola dalam serangan ini:

  • Identitas Profesional: Penyerang menyamar sebagai tim IT internal dengan menggunakan nama tampilan seperti “IT Protection Department” atau “Windows Security Help Desk.”
  • Persona yang Realistis: Akun-akun tersebut tidak menggunakan label generatif seperti helpdesk@, melainkan menggunakan nama lengkap yang terdengar nyata seperti michaelturner@ atau danielfoster@ untuk meningkatkan kredibilitas.
  • Penyalahgunaan Akses Jarak Jauh: Begitu korban menerima bantuan, mereka diminta memberikan akses melalui alat seperti Quick Assist atau AnyDesk, yang memberikan kontrol penuh atas perangkat tersebut kepada penyerang.

Data dari laporan ancaman siber tahun 2026 menunjukkan bahwa serangan ini memiliki tingkat keberhasilan yang mencengangkan, yakni mencapai 72%.

Kelompok aktor ancaman seperti Scattered Spider, Payouts King, dan UNC6692 telah dikaitkan dengan variasi teknik ini.

Eksploitasi Pasca-Akses

Setelah akses jarak jauh didapatkan, kerusakan sebenarnya dimulai. Para penyerang sering kali tidak menggunakan malware khusus yang mudah terdeteksi, melainkan menggunakan perangkat lunak sah untuk menyamarkan aktivitas mereka.

Dalam beberapa kasus yang diamati oleh peneliti:

  1. Pencurian Data via WinSCP: Penyerang mengunduh versi portabel dari WinSCP langsung dari situs resminya. WinSCP adalah aplikasi transfer file yang sah, sehingga aktivitas pemindahan data sensitif keluar dari sistem sering kali tidak memicu alarm keamanan standar.
  2. Eksekusi Java Berbahaya: Dalam insiden lain, penyerang menggunakan Quick Assist untuk mengirim file ZIP dengan nama yang terdengar resmi seperti Email-Deployment-Process-System.zip. File ini berisi biner Java yang, saat dieksekusi, akan mencuri data dan memberikan akses persisten kepada peretas.
  3. Infrastruktur Terorganisir: Pesan-pesan jahat di Teams ini sebagian besar berasal dari penyedia bulletproof hosting internasional, yang menunjukkan bahwa operasi ini didukung oleh infrastruktur yang kuat dan terorganisir, bukan sekadar improvisasi.

Perbandingan dengan Serangan Vishing dan Rekayasa Sosial

Taktik ini merupakan evolusi dari serangan Vishing (Voice Phishing) yang sering kita bahas sebelumnya. Perbedaannya, serangan kali ini menggabungkan gangguan layanan nyata (melalui bom email) dengan komunikasi teks di platform kolaborasi resmi.

Kemiripannya dengan kasus BlackFile yang pernah kita bahas adalah penggunaan identitas palsu yang sangat meyakinkan untuk memanipulasi staf garis depan yang sedang berada dalam tekanan situasi.

Baca juga: Predator Infeksi Korban Hanya dengan Melihat Iklan

Panduan Mitigasi Korporasi

Untuk mengurangi risiko dari serangan yang mengandalkan kepercayaan dan panik ini, langkah-langkah pertahanan berikut harus segera diimplementasikan:

  1. Batasi Komunikasi Eksternal di Teams: Konfigurasikan Microsoft Teams untuk membatasi pesan dan panggilan dari organisasi luar. Jika kolaborasi eksternal diperlukan, pastikan fitur notifikasi pengirim aktif sehingga pengguna tahu bahwa mereka sedang berbicara dengan pihak di luar organisasi.
  2. Kebijakan Pemblokiran Alat Remote Access: Blokir penggunaan alat seperti Quick Assist, AnyDesk, dan ConnectWise melalui kebijakan sistem, kecuali jika secara operasional sangat dibutuhkan oleh tim TI resmi.
  3. Batasi Utilitas Transfer File: Batasi penggunaan utilitas seperti WinSCP, RClone, FileZilla, dan MegaSync pada perangkat karyawan biasa untuk mencegah eksfiltrasi data secara diam-diam.
  4. Verifikasi Melalui Saluran Sekunder: Edukasi karyawan untuk selalu memverifikasi setiap permintaan bantuan TI yang tidak terduga melalui saluran kedua yang sah, seperti menelepon nomor resmi helpdesk, mengirim email langsung, atau memeriksa tiket melalui portal internal perusahaan.
  5. Gunakan Keamanan Email Tingkat Lanjut: Terapkan solusi yang dapat mendeteksi pola email bombing dan secara otomatis mengisolasi pesan-pesan sampah sebelum membanjiri kotak masuk pengguna.
  6. Pantau Aktivitas PowerShell dan Skrip: Tim keamanan harus memantau setiap eksekusi skrip atau penggunaan alat administratif yang dilakukan melalui sesi akses jarak jauh yang tidak terdokumentasi.
  7. Edukasi Psikologi Serangan: Berikan pelatihan yang menekankan bahwa departemen TI resmi tidak akan pernah meminta akses jarak jauh secara mendadak melalui akun eksternal di Teams tanpa adanya tiket laporan yang sah dari pengguna.

Penolong yang Mencurigakan

Keberhasilan serangan ini membuktikan bahwa rasa panik adalah celah keamanan terbesar manusia. Bom email hanyalah umpan untuk menciptakan kondisi mental yang rentan, sementara Microsoft Teams adalah panggung untuk membangun kepercayaan palsu.

Di tahun 2026, setiap tawaran bantuan yang datang secara tiba-tiba di tengah kekacauan digital harus dicurigai sebagai bagian dari skenario serangan.

Membangun budaya verifikasi dan prosedur operasional yang ketat untuk dukungan TI adalah benteng utama organisasi agar tidak terjebak dalam perangkap rekayasa sosial yang semakin canggih ini.

 

 

Baca artikel lainnya: 

 

 

Sumber berita:

 

Prosperita IT News

Tags:

Related News

Bluekit Platform Phising All in One

Bluekit Platform Phising All in One

May 5, 2026 0
Penipuan Kripto Lewat Telegram Mini Apps

Penipuan Kripto Lewat Telegram Mini Apps

May 5, 2026 0

You may have missed

Mail Bombing & Microsoft Teams

Mail Bombing & Microsoft Teams

May 5, 2026 0
Bluekit Platform Phising All in One

Bluekit Platform Phising All in One

May 5, 2026 0
Penipuan Kripto Lewat Telegram Mini Apps

Penipuan Kripto Lewat Telegram Mini Apps

May 5, 2026 0
Copy Fail Ketika Kernel Linux Menjadi Musuh Sendiri

Copy Fail Ketika Kernel Linux Menjadi Musuh Sendiri

May 4, 2026 0
Serangan Rantai Pasok Mini Shai-Hulud

Serangan Rantai Pasok Mini Shai-Hulud

May 4, 2026 0
Neuro Phising

Neuro Phising

May 4, 2026 0