Kampanye phishing canggih baru mengincar sejumlah akun X milik figur publik crypto. Mereka menggunakan taktik yang mampu melewati autentikasi dua faktor atau two-factor authentication (2FA) dan terlihat lebih kredibel dibandingkan scam tradisional.

Menurut unggahan X pada Rabu oleh developer crypto Zak Cole, sebuah kampanye phishing baru memanfaatkan infrastruktur X sendiri untuk mengambil alih akun milik tokoh-tokoh crypto. “Deteksi nol. Aktif sekarang. Ambil alih akun secara penuh,” ujarnya.

Cole menyoroti serangan ini tidak melibatkan halaman login palsu maupun pencurian kata sandi. Alih-alih, serangan memanfaatkan dukungan aplikasi X untuk mendapatkan akses akun sekaligus melewati two-factor authentication.

Peneliti keamanan MetaMask, Ohm Shah, mengonfirmasi sudah pernah melihat serangan ini secara “langsung di lapangan”, menandakan kampanye yang lebih luas. Seorang model OnlyFans bahkan juga menjadi sasaran versi serangan yang lebih sederhana.

Menyusun Pesan Phishing yang Kredibel

Fitur paling menonjol dari kampanye phishing ini ialah seberapa kredibel dan terselubung pesannya. Serangan dimulai lewat pesan langsung X berisi tautan yang nampak mengarah ke domain resmi Google Calendar. Hal ini bisa terjadi berkat cara platform media sosial ini membuat pratinjau. Dalam kasus Cole sendiri, pesan tersebut berpura-pura datang dari perwakilan firma venture capital Andreessen Horowitz.

Tautan phishing ada di pesan | Sumber: Zak Cole


Domain yang ditautkan pesan tersebut adalah “x(.)ca-lendar(.)com” dan didaftarkan pada Sabtu. Namun, X menampilkan calendar.google.com yang asli di pratinjau. Ini terjadi berkat metadata situs yang mengeksploitasi cara X menghasilkan pratinjau dari metadata.

“Otak Anda melihat Google Calendar. [Padahal] URL-nya berbeda.“
Metadata situs phishing | Sumber: Zak Cole

Ketika diklik, JavaScript halaman mengarahkan ke endpoint autentikasi X yang meminta izin untuk sebuah aplikasi agar bisa mengakses akun media sosial Anda. Aplikasi ini terlihat seperti “Calendar, namun pemeriksaan teknis pada teks mengungkapkan bahwa nama aplikasi berisi dua huruf Cyrillic yang mirip “a” dan “e”. Hal ini membuatnya menjadi aplikasi yang berbeda dari aplikasi “Calendar” yang sebenarnya di sistem X.

Permintaan otorisasi phishing X | Sumber: Zak Cole

Petunjuk yang Ungkap Serangan

Sejauh ini, tanda paling jelas bahwa tautan itu tidak sah mungkin adalah URL yang sempat muncul secara singkat sebelum pengguna dialihkan. Namun, itu hanya muncul sepersekian detik dan sangat mudah terlewatkan.

Tetap saja, di halaman otorisasi X, kita menemukan petunjuk pertama bahwa ini adalah serangan phishing. Aplikasi meminta daftar panjang izin kontrol akun menyeluruh, termasuk mengikuti dan berhenti mengikuti akun, memperbarui profil dan pengaturan akun, membuat dan menghapus postingan, hingga berinteraksi dengan postingan orang lain.

Izin-izin tersebut terlihat tidak relevan untuk sebuah aplikasi kalender dan bisa menjadi petunjuk yang menyelamatkan pengguna yang berhati-hati dari serangan. Jika izin diberikan, penyerang akan memperoleh akses ke akun karena pengguna kemudian diarahkan ke calendly.com meskipun pratinjau menampilkan Google Calendar.

“Calendly? Mereka memalsukan Google Calendar, tetapi mengalihkan ke Calendly? Ini kegagalan keamanan operasional besar. Inkonsistensi ini bisa menjadi sinyal bagi korban,” terang Cole.

Menurut laporan GitHub Cole mengenai serangan ini, untuk mengecek apakah profil Anda telah disusupi dan mengusir penyerang dari akun, disarankan agar mengunjungi halaman aplikasi terhubung X atau X connected apps. Kemudian, ia menyarankan untuk mencabut izin aplikasi apa pun yang bernama “Calendar”.