Para penjahat dunia maya kini mulai menggunakan file SVG (Scalable Vector Graphics) dalam serangan phishing untuk menghindari perlindungan anti-spam dan anti-phishing. Serangan ini mulai berkembang sejak akhir tahun lalu dan meningkat pesat sejak pertengahan Januari. File SVG, yang biasanya digunakan untuk membuat gambar yang dapat diskalakan, berbeda dengan file gambar biasa seperti JPEG atau PNG. File SVG berisi instruksi berbasis XML yang memberi tahu browser cara menampilkan gambar. Karena browser dapat merender file SVG, file ini juga bisa memuat konten aktif seperti tag tautan dan skrip, yang dimanfaatkan oleh peretas untuk phishing.
Serangan phishing biasanya dimulai dengan email yang berisi lampiran file SVG. Ketika file tersebut dibuka, file akan terbuka di browser default. File SVG mungkin menampilkan bentuk sederhana, namun juga berisi tag anchor yang mengarah ke situs web berbahaya. Mengklik tautan ini dapat mengarahkan korban ke halaman rekayasa sosial yang dirancang untuk mencuri kredensial login.
Baris subjek dalam email phishing ini sering kali terlihat mendesak atau resmi, seperti “Selesai: [nama kontrak]” atau “Tindakan: Pindai Data: Perjanjian Distribusi.” Pesan ini sering kali merujuk pada layanan terkenal seperti DocuSign, Microsoft SharePoint, atau Google Voice. Beberapa email bahkan mempersonalisasi pesan dengan menyertakan nama pengguna email korban.
Setelah korban membuka file SVG, browser akan memuat baik grafik maupun tautan tersembunyi. Tautan tersebut sering mengarah ke halaman CAPTCHA, diikuti oleh halaman login palsu yang menyerupai login Office365 Microsoft. Beberapa serangan bahkan mengisi alamat email secara otomatis di kolom login, membuat penipuan ini terlihat lebih meyakinkan. Serangan yang lebih canggih menyertakan gambar dokumen palsu atau pemberitahuan SharePoint yang tertanam, dengan tautan yang mengarah ke situs phishing.
Salah satu versi serangan secara otomatis memuat halaman phishing setelah jeda singkat, sementara yang lain mungkin menyembunyikan teks dari Wikipedia di dalam SVG atau menggunakan JavaScript untuk memuat halaman secara otomatis. Situs phishing ini dihosting di server berbahaya dan sering kali menggunakan CAPTCHA untuk mencegah akses oleh alat otomatis. Beberapa situs bahkan mengekspor kredensial login ke server eksternal, termasuk bot Telegram.
Para penyerang juga menargetkan bahasa dan wilayah tertentu. Misalnya, beberapa email phishing dipersonalisasi dalam bahasa Jepang, menipu korban dengan berpikir mereka sedang login ke layanan asli seperti Dropbox. Dalam beberapa kasus, serangan mencoba memanfaatkan jalur jaringan lokal alih-alih URL.
Serangan lain melibatkan file SVG yang berisi file zip yang dienkode dalam format base64. Ketika didekode, file zip ini mengandung file eksekusi berbahaya. Salah satu contohnya adalah skrip AutoIt yang menginstal keylogger, memungkinkan peretas untuk menangkap ketikan korban.
Untuk melawan serangan ini, pengguna dapat mengambil beberapa langkah pencegahan. Salah satunya adalah mengaitkan file SVG dengan program selain browser, seperti Notepad. Dengan cara ini, meskipun file SVG berbahaya dibuka, file tersebut tidak akan dieksekusi di browser. Selain itu, pengguna harus berhati-hati terhadap email yang mencurigakan, terutama yang berasal dari pengirim yang tidak dikenal atau berisi konten yang samar.
Sophos telah mengembangkan tanda deteksi untuk mengidentifikasi file SVG berbahaya ini dan mencegahnya sampai ke pengguna. Penting juga untuk tetap waspada dan memeriksa alamat email serta URL dengan teliti untuk menghindari terjebak dalam penipuan phishing.
Apakah Anda sudah mempertimbangkan Sophos sebagai solusi perlindungan titik akhir dengan peringkat terbaik dan ulasan terbanyak?
Jika Anda berminat, kami mengundang Anda untuk menghubungi Sophos Indonesia untuk mendapatkan informasi lebih lanjut tentang solusi keamanan unggulan ini. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia jika Anda ingin penjelasan lebih mendalam.
