Seorang pakar keamanan telah mengeluarkan peringatan kepada pengguna email Microsoft tentang penipuan phishing yang sangat meyakinkan.
Menurut Vsevolod Kokorin, yang akun daringnya adalah Slonser, terdapat bug yang memungkinkan penjahat dunia maya membuat penipuan phishing terlihat lebih kredibel. Artinya, korban mungkin mengeklik tautan berbahaya tanpa menyadari bahwa itu adalah bagian dari penipuan.
Secara khusus, pelaku kejahatan dapat meniru akun perusahaan Microsoft – yang berakhiran @microsoft.com – membuatnya seolah-olah mereka mengirim email dari sumber yang dapat dipercaya. Misalnya, sebuah email mungkin tampak berasal dari [email protected]seperti yang disorot dalam postingan asli Slonser.
Saya ingin berbagi kasus terbaru saya:
> Saya menemukan kerentanan yang memungkinkan pengiriman pesan dari pengguna@domain mana pun
> Kami tidak dapat mereproduksinya
> Saya mengirim video dengan eksploitasi, PoC lengkap
> Kami tidak dapat mereproduksinya
Pada titik ini, saya memutuskan untuk menghentikan komunikasi dengan Microsoft. pic.twitter.com/mJDoHTn9Xv— slonser (@slonser_) 14 Juni 2024
Meskipun salinan dalam email tersebut jelas bukan dari Microsoft, alamat emailnya sendiri terlihat sangat realistis. Ini adalah taktik umum dalam penipuan phishing, membujuk korban untuk mengeklik tautan berdasarkan permintaan yang sah namun sebenarnya mengarahkan orang ke situs web berbahaya.
Hal ini kemudian dapat menyebabkan orang-orang menyerahkan informasi sensitif, membayar uang kepada orang yang tidak dikenal, atau mengunduh malware ke perangkat tanpa mereka sadari.
Bagaimana tanggapan Microsoft?
Slonser telah melaporkan bug tersebut ke Microsoft tetapi perusahaan tersebut awalnya mengatakan bahwa mereka tidak dapat mereproduksi eksploitasi aslinya. Dalam postingan lanjutannya di X, dia melanjutkan dengan mencatat bahwa perusahaan teknologi tersebut telah mengakui masalah tersebut.
Terlebih lagi, berbicara kepada situs web TechCrunch.dll pada hari Rabu, Kokorin berkata: “Microsoft hanya mengatakan mereka tidak dapat mereproduksinya tanpa memberikan rincian apa pun. Microsoft mungkin memperhatikan tweet saya karena beberapa jam yang lalu dibuka kembali [sic] salah satu laporanku yang kuserahkan beberapa bulan lalu.”
Bug ini tampaknya hanya berfungsi ketika mengirim email langsung ke akun Outlook, sehingga pengguna email Microsoft khususnya harus waspada, yang jumlahnya ada sekitar 400 juta di dunia.
Meski begitu, penipuan phishing dapat menyerang siapa saja yang memiliki akun email apa pun, dan dianggap sebagai salah satu ancaman teknologi teratas pada awal tahun ini. Nantikan email apa pun yang mencoba membuat Anda segera mengambil tindakan. Jika ragu, hubungi perusahaan secara langsung daripada mengeklik tautan di email.
Gambar unggulan: Pexels
