Tips Melakukan Analisa Email Phishing

Phishing merupakan salah satu teknik social engineering yang memanfaatkan pengiriman pesan email kepada korban. Phishing termasuk ke dalam fase delivery pada cyber kill chain yang biasa digunakan untuk mendapatkan kredensial akun korban maupun mengirimkan malware.

Email terdiri dari 2 bagian, yaitu header dan body. Header berisi informasi seperti pengirim, penerima, subjek, dll. Sementara body berisi pesan yang ditujukan pengirim untuk penerima. Untuk menganalisa suatu email apakah phishing atau bukan, kita dapat melakukannya dengan cara menganalisa header dan juga body-nya.

Kita dapat melihat header email dengan cara melihat source code/raw email. Setiap client email memiliki caranya masing-masing. Berikut ini adalah field-field penting pada header email:

From: email pengirim
To: email penerima
Subject: subjek dari email
Date: waktu email dikirim
Return-path/reply-to: email yang akan menerima balasan ketika kita membalas email tersebut
Received: daftar server email yang dilalui email tersebut sebelum sampai ke inbox penerima
X-spam status: skor spam email
Message-ID: identifier unik untuk setiap email

Ketika melakukan email header analysis, ada 2 hal yang harus kita perhatikan, yaitu:

1. Apakah email dikirim dari server SMTP yang benar?
2. Apakah field “from” dan “return-path”/”reply-to” sama?

Sebagai contoh, pada email berikut, kita menerima email dari info@lestdefend.io

Untuk menjawab pertanyaan pertama, kita perhatikan field “Received”:

Pada gambar di atas, email tersebut dikirim dari server email bernama emkei.cz dengan IP address 101.99.94.116

Kita dapat menggunakan website mxtoolbox.com untuk memastikan apakah nama server email tersebut adalah benar-benar milik organisasi pengirim (letsdefend.io) atau bukan.

Jika kita lihat di website mxtoolbox.com, terlihat bahwa server emkei.cz tidak ada dalam daftar, begitupun dengan IP address-nya. Berarti email tersebut tidak benar-benar dikirim oleh letsdefend.io, melainkan attacker menggunakan teknik spoofing untuk mengelabui korban menggunakan email yang terlihat tidak berbahaya.

Kita juga dapat menganalisa IP address server SMTP-nya menggunakan threat intelligence tools seperti VirusTotal, AbuseIPDB, Cisco Talos Inteligence, dll:

Untuk menjawab pertanyaan kedua, kita dapat melihat field “from” dan “return-path”/”reply-to”:

Terlihat bahwa field “from” dan “reply-to” di atas berbeda. Hal ini dilakukan attacker untuk menyamarkan email mereka agar tidak terlalu mencolok.

Email phishing biasanya akan memiliki konten dengan ciri-ciri berikut:

Kata-katanya bersifat urgent. Misalnya menyuruh korban untuk segera mengklik link ubah password yang akan attacker arahkan ke website phishing mereka. Jika korban tidak segera mengkliknya, maka akunnya akan terkunci.

Menggunakan kata sapaan yang umum. Misalnya seperti “Dear customer” atau “Halo pelanggan”. Karena attacker akan mengirim email phishing tersebut ke banyak target sehingga tidak memungkinkan untuk menyebut nama korban satu-persatu.

Salah grammar / tata bahasa. Attacker yang berasal dari luar negara yang tidak menguasai bahasa korbannya akan menuliskan pesan sebisa mereka atau menggunakan translate yang terkadang tata bahasanya menjadi aneh.

Selain konten teks, kita juga harus menganalisa link yang ada pada email. Kita dapat memanfaatkan website seperti virustotal.com untuk memastikan apakah link tersebut berbahaya dan urlscan.io untuk mendapatkan informasi seputar website pada link tersebut seperti registrar, IP address, dan screenshot halamannya.

Selain link, attacker juga dapat mengirimkan attachment berbahaya seperti file PDF yang berisi script berbahaya maupun file berformat .exe. Untuk itu, kita dapat mendownloadnya (jangan di double click!) Lalu mengunggahnya ke virustotal.com untuk melakukan scanning. Selain itu, kita juga dapat menjalankan attachment tersebut pada lingkungan sandbox menggunakan website seperti any.run maupun men-setup sendiri virtual machine.

Cara di atas merupakan cara mengekstrak informasi email secara manual. Cara lainnya yaitu kita bisa menggunakan website phishtool.com untuk mengekstrak field pada header, attachment, pesan, dan URL pada email:

Itulah tips analisa email phishing yang dapat teman-teman lakukan. Menganalisa email phishing sangat penting untuk dilakukan, karena rata-rata teknik delivery serangan yang dilakukan attacker berasal dari social engineering, salah satunya yaitu email phishing. Semoga bermanfaat!