- Grup Korea Utara Kimsuky menggunakan kode QR phishing untuk mencuri kredensial
- Serangan melewati MFA melalui pencurian token sesi, mengeksploitasi perangkat seluler yang tidak dikelola di luar perlindungan EDR
- FBI mendesak pertahanan berlapis: pelatihan karyawan, protokol pelaporan QR, dan manajemen perangkat seluler
Warga Korea Utara menargetkan lembaga-lembaga pemerintah, lembaga pemikir, dan akademisi AS dengan kode QR phishing yang sangat canggih, atau serangan ‘quishing’, yang ditujukan untuk kepentingan mereka. Microsoft 365, Okta, atau kredensial VPN.
Hal ini menurut Biro Investigasi Federal (FBI) yang baru-baru ini menerbitkan laporan Flash baru, yang memperingatkan mitra domestik dan internasional tentang kampanye yang sedang berlangsung.
Dalam laporan tersebut disebutkan bahwa pelaku ancaman yang dikenal sebagai Kimsuky mengirimkan umpan email yang meyakinkan, berisi gambar dengan kode QR. Karena gambar lebih sulit dipindai dan dianggap berbahaya, maka email melewati perlindungan dengan lebih mudah dan masuk ke kotak masuk orang.
Mencuri token sesi dan kredensial login
FBI juga mengatakan bahwa komputer perusahaan umumnya terlindungi dengan baik, tetapi kode QR paling mudah dipindai dengan ponsel – perangkat yang tidak dikelola di luar Deteksi dan Respons Titik Akhir (EDR) normal dan batas pemeriksaan jaringan. Hal ini juga membuat serangan lebih mungkin berhasil.
Ketika korban memindai kode, mereka dikirim melalui beberapa pengalihan yang mengumpulkan informasi dan atribut identitas berbeda, seperti agen pengguna, sistem operasialamat IP, lokal, dan ukuran layar. Data ini kemudian digunakan untuk mengarahkan korban ke halaman pengambilan kredensial yang dibuat khusus, meniru portal Microsoft 365, Okta, atau VPN.
Jika korban tidak menyadari trik tersebut dan mencoba masuk, kredensialnya akan menjadi milik penyerang. Terlebih lagi – serangan ini sering kali berakhir dengan pencurian token sesi dan pemutaran ulang, sehingga pelaku ancaman dapat melewati autentikasi multifaktor (Kementerian Luar Negeri) dan membajak akun cloud tanpa memicu peringatan “MFA gagal” yang biasa.
“Musuh kemudian membangun kegigihan dalam organisasi dan menyebarkan spearphishing sekunder dari kotak surat yang disusupi,” kata FBI lebih lanjut. “Karena jalur kompromi berasal dari perangkat seluler yang tidak dikelola di luar Endpoint Detection and Response (EDR) normal dan batas pemeriksaan jaringan, quishing kini dianggap sebagai vektor intrusi identitas berkeyakinan tinggi dan berketahanan MFA di lingkungan perusahaan.”
Untuk mempertahankan diri dari serangan quishing tingkat lanjut Kimsuky, FBI merekomendasikan strategi keamanan “berlapis”, yang mencakup pendidikan karyawan, menyiapkan protokol yang jelas untuk melaporkan kode QR yang mencurigakan, menerapkan manajemen perangkat seluler (MDM) yang mampu menganalisis URL tertaut QR, dan banyak lagi.
Melalui Berita Peretas
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
