Kampanye phishing besar-besaran yang dijuluki “EchoSpoofing” telah mengeksploitasi kerentanan kritis dalam layanan perlindungan email Proofpoint, yang memungkinkan penjahat dunia maya untuk mengirim jutaan email phishing palsu yang meniru merek-merek besar.
Eksploitasi tersebut, yang diungkap oleh firma keamanan siber Guardio Labs, memengaruhi sistem Proofpoint yang digunakan oleh 87 perusahaan Fortune 100.
Serangan berskala besar ini tidak hanya menimbulkan ancaman besar terhadap perusahaan besar dan reputasi mereka tetapi juga menyoroti kerentanan dalam protokol keamanan email yang ada.
Serangan canggih tersebut memanfaatkan infrastruktur Proofpoint untuk mengirimkan email yang tampaknya berasal dari perusahaan terkenal seperti Disney, IBM, Nike, Best Buy, dan Coca-Cola.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Pesan-pesan penipuan ini melewati perlindungan keamanan utama dengan memanfaatkan tanda tangan SPF dan DKIM yang diautentikasi, sehingga tidak dapat dibedakan dari komunikasi yang sah.
Nati Tal, Kepala Guardio Labs, menjelaskan, “Kelemahan ini dapat dengan mudah berubah dari phishing yang meluas menjadi serangan spear-phishing yang terarah, yang memungkinkan penyerang dengan cepat menyamar sebagai karyawan yang sah dan mengirim email tipuan ke rekan kerja.”
Eksploitasi tersebut memanfaatkan beberapa kerentanan, termasuk konfigurasi permisif dalam sistem Proofpoint yang memungkinkan email dari akun Office365 mana pun diteruskan melalui server mereka. Penjahat dunia maya menggunakan kluster Virtual Private Server (VPS) dan perangkat lunak pengiriman email berperforma tinggi yang disebut PowerMTA untuk mengatur operasi tersebut.
Kampanye serangan dimulai pada Januari 2024, dengan rata-rata mengirimkan 2-3 juta email setiap hari. Puncaknya di awal Juni, operasi tersebut mengirimkan hingga 14 juta email berbahaya per hari dengan menyamar sebagai Disney. Guardio Labs memperkirakan bahwa sekitar 360 juta email phishing telah dikirim menggunakan teknik ini selama 180 hari.
Setelah ditemukan, Guardio Labs bekerja sama dengan Proofpoint untuk mengatasi kerentanan tersebut. Proofpoint telah memperbarui panel adminnya untuk meningkatkan proses konfigurasi default, memberi tahu pelanggan tentang potensi risiko, dan memungkinkan mereka menyetujui penyewa tertentu.
Proofpoint menerapkan strategi mitigasi menggunakan header khusus vendor yang unik X-OriginatorOrgHeader ini, yang ditambahkan secara otomatis oleh server Exchange, berisi nama akun Office365 atau “penyewa” yang unik, yang memungkinkan verifikasi sumber email yang andal.
Proofpoint memastikan bahwa setiap spoofing X-OriginatorOrg header dihapus dari email keluar, menambahkan lapisan keamanan ekstra pada pendekatan mitigasi.
Meskipun volume serangan telah menurun secara signifikan sejak penemuan tersebut, dengan kiriman email palsu terakhir yang signifikan dikirim pada tanggal 22 Juli, insiden tersebut menjadi pengingat nyata mengenai sifat ancaman dunia maya yang terus berkembang dan pentingnya langkah-langkah keamanan email yang kuat.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo