Undangan Dewan Direksi Palsu di LinkedIn, Begini Modusnya

Dalam dunia profesional digital yang semakin terhubung, LinkedIn menjadi salah satu platform utama bagi para eksekutif dan profesional bisnis untuk berjejaring, mencari peluang kerja, serta memperluas koneksi. Namun, popularitas dan kredibilitas platform ini kini dimanfaatkan oleh para peretas sebagai sarana baru untuk melancarkan serangan siber.

Baru-baru ini, sebuah kampanye phishing canggih terdeteksi di LinkedIn dengan target para eksekutif keuangan, menggunakan modus undangan palsu untuk bergabung dalam dewan direksi perusahaan investasi.

Modus Baru: Undangan Dewan Direksi yang Tampak Profesional

Serangan ini pertama kali terungkap oleh Push Security, perusahaan keamanan siber yang mendeteksi pesan mencurigakan di LinkedIn. Dalam pesan tersebut, peretas mengirimkan undangan palsu bergabung dengan dewan eksekutif sebuah dana investasi fiktif bernama “Common Wealth”, yang diklaim beroperasi di Amerika Selatan dan bermitra dengan perusahaan manajemen aset AMCO.

Gaya bahasa yang digunakan sangat meyakinkan. Pesan disusun dengan nada profesional dan formal, seolah-olah benar dikirim oleh pejabat senior perusahaan investasi ternama. Dalam salah satu contoh pesan, peretas menulis:

“Saya dengan senang hati mengundang Anda untuk bergabung dengan Dewan Eksekutif Common Wealth Investment Fund di Amerika Selatan, bekerja sama dengan AMCO, cabang manajemen aset kami, yang tengah meluncurkan dana investasi baru di wilayah tersebut.”

Pesan seperti ini dirancang untuk menarik perhatian eksekutif tingkat tinggi yang sering menerima tawaran profesional serupa. Di akhir pesan, penerima diarahkan untuk mengklik tautan guna mengetahui lebih lanjut tentang “kesempatan eksklusif” tersebut yang ternyata adalah jebakan.

Jalur Pengalihan yang Rumit

Menurut Push Security, ketika korban mengklik tautan tersebut, mereka diarahkan melalui serangkaian pengalihan (redirect) yang rumit. Pengalihan pertama melewati Google open redirect, kemudian mengarah ke situs yang dikendalikan peretas, dan akhirnya membawa pengguna ke halaman berbahaya yang di-host di firebasestorage.googleapis[.]com.

Sejumlah domain berbahaya yang digunakan dalam kampanye ini antara lain:

• payrails-canaccord[.]icu
• boardproposalmeet[.]com
• sqexclusiveboarddirect[.]icu

Halaman berbahaya itu berpura-pura menjadi portal “LinkedIn Cloud Share”, lengkap dengan dokumen palsu terkait posisi dewan direksi. Namun, ketika korban mencoba membuka salah satu dokumen tersebut, muncul notifikasi bahwa mereka harus menekan tombol “View with Microsoft” untuk mengakses file.

Begitu tombol ditekan, korban diarahkan ke situs lain, login.kggpho[.]icu, yang menampilkan CAPTCHA Cloudflare Turnstile. Menurut peneliti, CAPTCHA ini bukan untuk keamanan pengguna, melainkan untuk menghalangi sistem deteksi otomatis agar situs phishing tidak mudah dianalisis atau diblokir.

Halaman Login Palsu Microsoft

Setelah melewati CAPTCHA, pengguna akan melihat tampilan yang sangat mirip dengan halaman login resmi Microsoft. Padahal, halaman ini adalah Adversary-in-the-Middle (AITM) phishing page, dirancang untuk mencuri kata sandi dan cookie sesi login Microsoft. Cookie ini memungkinkan peretas masuk ke akun korban bahkan tanpa perlu mengetahui kata sandi mereka secara langsung.

Push Security menjelaskan bahwa metode seperti ini menunjukkan tingkat kecanggihan baru dalam dunia phishing. Peretas tidak hanya memanfaatkan teknik sosial, tetapi juga teknologi keamanan seperti Cloudflare Turnstile untuk mengelabui sistem keamanan perusahaan.

Phishing Beralih dari Email ke Media Sosial

Menurut Jacques Louw, Chief Product Officer di Push Security, tren phishing kini mengalami perubahan besar. Jika dulu serangan banyak dilakukan melalui email, kini peretas lebih sering beraksi melalui platform komunikasi profesional seperti LinkedIn.

“Phishing tidak lagi hanya melalui email,” jelas Louw. “Dalam sebulan terakhir, sekitar 34% dari upaya phishing yang kami pantau terjadi melalui LinkedIn dan saluran non-email lainnya, naik tajam dari kurang dari 10% tiga bulan lalu.”

Perubahan ini menandakan bahwa para penyerang semakin cerdas dalam memanfaatkan perilaku komunikasi profesional. Mereka tahu bahwa banyak eksekutif lebih mempercayai pesan yang datang melalui LinkedIn dibandingkan email, terutama jika pesan tersebut menggunakan bahasa yang sopan dan kontekstual.

Serangan Berulang dan Target Spesifik

Kampanye phishing ini bukan yang pertama kalinya terjadi di LinkedIn. Dalam enam minggu terakhir, Push Security mencatat dua insiden besar serupa. Sebelumnya, pada bulan September, serangan sejenis menargetkan para eksekutif di sektor teknologi. Fakta ini menunjukkan bahwa peretas kini lebih fokus pada individu berprofil tinggi yang memiliki akses ke data atau akun perusahaan penting.

Cara Menghindari Serangan Phishing di LinkedIn

Untuk melindungi diri dari modus seperti ini, para profesional disarankan untuk meningkatkan kewaspadaan saat menerima pesan LinkedIn, terutama yang menawarkan posisi atau kerja sama bisnis yang tampak “terlalu bagus untuk menjadi kenyataan.” Beberapa langkah pencegahan yang dapat dilakukan antara lain:

1. Jangan klik tautan mencurigakan yang dikirim melalui pesan langsung.
2. Verifikasi identitas pengirim sebelum merespons tawaran kerja sama.
3. Perhatikan domain situs — banyak situs phishing menggunakan ekstensi aneh seperti .icu, .xyz, atau .top.
4. Gunakan autentikasi dua faktor (2FA) di akun Microsoft maupun LinkedIn untuk menambah lapisan keamanan.
5. Laporkan pesan mencurigakan langsung ke LinkedIn agar dapat segera ditangani.

Kampanye phishing yang memanfaatkan LinkedIn ini menjadi peringatan serius bagi dunia profesional. Platform yang selama ini dianggap aman dan eksklusif pun kini tak luput dari serangan siber yang semakin canggih. Dengan memanfaatkan reputasi LinkedIn, para pelaku berhasil menipu korban menggunakan pesan yang tampak sah dan profesional.

Kesadaran dan kehati-hatian menjadi benteng utama melawan serangan semacam ini. Di era digital yang serba cepat, tidak cukup hanya mengandalkan teknologi keamanan, tetapi juga perlu kesadaran digital yang kuat agar tidak mudah terjebak dalam bujuk rayu para peretas.