Dalam dunia siber, penjahat siber selalu mencari cara untuk menipu calon korban. Mendapatkan akses ke sistem korban melalui kerentanan zero-day bukanlah tugas yang mudah, dan hal ini membutuhkan biaya yang mahal. Oleh karena itu, metode social engineering sering digunakan sebagai langkah awal serangan. Dalam kasus ini, penyerang menipu calon korban dengan menggunakan beberapa cara, termasuk mengirim pesan berisikan link atau lampiran. Untuk melakukannya, media yang digunakan juga beragam, termasuk media sosial seperti LinkedIn.
Ancaman Melalui LinkedIn: Taktik Penjahat Siber
LinkedIn sebagai platform profesional juga tidak terkecuali dari target penjahat siber. Para penyerang menggunakan berbagai cara untuk memancing korban agar membuka link atau lampiran yang dikirimkan, dan hal ini memungkinkan malware menyusup ke dalam sistem korban. Umumnya, ada dua taktik yang digunakan oleh penyerang, yaitu dengan menyamar sebagai headhunter (orang yang menawarkan pekerjaan) maupun jobseeker (pencari kerja).
Taktik Penyerang sebagai Headhunter
Serangan terbaru dilaporkan terjadi melalui informasi palsu tentang lowongan pekerjaan di perusahaan terkenal, seperti Corsair. Dalam kasus ini, penjahat siber menyebarkan informasi palsu di LinkedIn, menawarkan link untuk melihat detail pekerjaan dan gaji. Link tersebut sekilas tampak meyakinkan, mirip dengan URL resmi Corsair, tetapi sebenarnya mengarah ke file .zip yang mengandung malware. Isi dari .zip file tersebut adalah Job Description of Corsair.docx, Salary and new products.txt, dan PDF Salary and Products.pdf.
Berdasarkan analisis dari WithSecure, ketika file-file tersebut dibuka, sebuah VBS script otomatis dijalankan, memulai rantai instalasi DarkGate malware. Alurnya dimulai dari download file curl.exe ke satu folder, dilanjut dengan download file autoit3.exe, yang secara otomatis dijalankan dan membuat script baru untuk menciptakan sebuah malware. 30 detik setelah instalasi, DarkGate akan menghapus antivirus yang ada di sistem.
Taktik Penyerang sebagai Jobseeker
Penjahat siber yang dikenal dengan nama TA4557 melakukan aksi penyerangan dengan mengaku sebagai pencari kerja. Mereka mengirimkan lamaran pekerjaan melalui LinkedIn atau email kepada staf rekrutmen, dan melampirkan link ke situs web pribadi untuk mengakses CV atau portofolio.
Korban yang membuka link tersebut akan diarahkan ke situs web pribadi yang bertugas mengevaluasi tingkat keamanan sistem milik korban. Jika korban memiliki proteksi keamanan siber yang baik, mereka akan diarahkan ke halaman web dengan CV dalam bentuk teks. Namun, jika korban memenuhi kriteria tertentu untuk dilakukan serangan, mereka akan diarahkan untuk download CV dalam format file .zip yang berisi file LNK. Jika file tersebut diklik, proses download dan eksekusi serangan siber akan dimulai.
Menghadapi Ancaman
Untuk melindungi diri dari serangan semacam ini, pengguna LinkedIn dan platform media sosial lainnya perlu meningkatkan kewaspadaan. Salah satu caranya adalah dengan terus memperbaharui perangkat lunak keamanan dan antivirus. Selain itu, kita juga harus selalu waspada terhadap pesan atau link yang mencurigakan, bahkan jika berasal dari profil LinkedIn yang terlihat sah. Dengan meningkatkan kesadaran dan keamanan siber, kita dapat melindungi diri dari taktik baru penjahat siber yang terus berkembang.