Penipu phishing memanfaatkan hosting web Wix

Penjahat dunia maya suka menumbangkan layanan online yang sah seperti Google Docs dan Dropbox untuk melakukan aktivitas jahat mereka. Perusahaan hosting situs web gratis, Wix, adalah tambahan terbaru dalam daftar layanan yang telah mereka penyalahgunaan.

Peneliti dari perusahaan keamanan Cyren menemukan bahwa scammer membuat situs phishing yang dirancang untuk mengambil kredensial masuk Office 365 melalui Wix, yang menawarkan editor klik-dan-seret sederhana untuk membuat halaman web. Seperti yang biasanya terjadi dengan layanan gratis, para penjahat memanfaatkan alat ini untuk menjalankan operasi mereka.

Situs phishing terlihat seperti jendela browser baru yang terbuka ke halaman masuk Office 365. Faktanya, ini adalah tangkapan layar dari halaman masuk Office 365 dengan bidang yang dapat diedit terhampar pada gambar. Pengguna akan menganggap situs tersebut sah dan memasukkan kredensial masuk, kecuali informasi yang dimasukkan ke dalam bidang di overlay dan bukan halaman Office 365 yang sebenarnya.

Di desktop, hamparannya baik-baik saja, tetapi fakta bahwa bidang terpisah dari gambar jauh lebih jelas di perangkat seluler, kata Cyren.

Para penjahat juga memikirkan cara untuk tetap berada di bawah radar Wix. Misalnya, tidak ada teks pada halaman — semuanya hanya satu gambar — dan kolom sandi salah dieja sebagai "kata sandi". Para penyerang mungkin telah membuat keputusan ini dengan asumsi bahwa Wix memiliki proses pemindaian otomatis yang memeriksa konten situs untuk menandai situs yang berpotensi buruk.

Para penyerang mungkin telah merancang halaman tersebut untuk membuat pengguna berpikir ada sesuatu yang membuka jendela browser baru, kata peneliti Cyren Avi Turiel. Ini juga bisa menjadi tanda kemalasan, dengan penyerang mengambil tangkapan layar dari halaman login asli dan tidak repot-repot mengedit gambar. “Mungkin ini percobaan untuk melihat apakah itu berhasil, jadi lebih sedikit usaha yang dilakukan untuk itu,” kata Turiel.

Penjahat suka menghosting malware di layanan penyimpanan cloud atau membangun infrastruktur serangan mereka dengan penyedia yang sah untuk menerobos pertahanan keamanan umum. Pengguna — bahkan mereka yang telah dilatih untuk memeriksa tautan untuk potensi spam atau serangan phishing — jangan berpikir dua kali untuk mengeklik tautan ke domain dan layanan populer karena mereka dikondisikan untuk bekerja dengan alat tersebut. Organisasi juga tidak dapat memblokir domain populer dan penyedia layanan yang diadopsi secara luas. Dalam beberapa kasus, produk keamanan web bahkan tidak dapat memindai URL karena produk tersebut dianggap tepercaya.

Ini juga membantu bahwa layanan ini gratis. Penyerang mendapatkan keuntungan dari domain yang valid tanpa harus mengeluarkan uang.

Cyren tidak tahu bagaimana pengguna diarahkan ke halaman Wix. Pengalihan browser atau kampanye manipulasi psikologis dapat mengarahkan pengguna ke situs. Halaman berbahaya telah dilaporkan ke Wix, tetapi administrator harus berhenti menganggap situs tertentu sebagai tepercaya. Bahkan situs yang paling jinak pun dapat digunakan secara jahat.