Multi-Factor Authentication (MFA) selama ini menjadi lapisan perlindungan utama dalam menjaga keamanan akun dari pencurian data. Tapi kini, strategi baru dari pelaku kejahatan siber mulai menembus sistem ini. Laporan terbaru menunjukkan bahwa teknik phishing canggih berbasis adversary-in-the-middle (AiTM) semakin sering digunakan oleh aktor ancaman untuk membobol sistem yang sudah dilindungi MFA.
Dilansir dari The Hacker News, Microsoft menyebut bahwa penggunaan teknik AiTM dan varian serangan phishing lainnya meningkat seiring makin luasnya adopsi MFA di berbagai perusahaan. Teknik ini memanfaatkan aplikasi pihak ketiga, skrip manipulatif, serta halaman login palsu yang tampak sah di mata pengguna.
Salah satu contohnya adalah serangan yang menggunakan tautan otorisasi valid yang dikirim melalui email bertema undangan rapat. Target diminta menyetujui permintaan akses dari aplikasi jahat, yang kemudian mengontrol akses ke akun mereka. “Sementara pengguna dan sistem keamanan kini lebih mahir mengenali lampiran atau tautan berbahaya, aktor ancaman tetap mengandalkan manipulasi perilaku manusia dengan iming-iming yang meyakinkan,” ujar Igor Sakhnov, Corporate VP dan Deputy CISO Identity di Microsoft.
Tak hanya itu, teknik lain yang makin marak digunakan meliputi:
- Device Code Phishing: Pengguna ditipu untuk memberikan kode otorisasi dari perangkat mereka.
- OAuth Consent Phishing: Mengirim tautan izin OAuth yang seolah berasal dari aplikasi terpercaya.
- Device Join Phishing: Mengelabui target agar menyetujui perangkat milik pelaku masuk ke jaringan korporat.
Model serangan ini sering disalurkan lewat platform Phishing-as-a-Service (PhaaS) yang kini tumbuh pesat. Platform seperti Tycoon2FA bahkan menyediakan dashboard, fitur otomatisasi, hingga dukungan teknis via Telegram, membuat phishing semakin mudah dijalankan bahkan oleh pelaku tanpa kemampuan teknis tinggi.
Situasi ini menunjukkan bahwa perusahaan tidak bisa hanya mengandalkan MFA sebagai satu-satunya benteng pertahanan. “Pelatihan dan kesadaran pengguna akan teknik social engineering harus menjadi fokus utama. Karena pada akhirnya, semua pertahanan teknologi bisa runtuh oleh satu klik dari manusia yang lengah,” pungkas Sakhnov.
Baca juga: Waspada! Penipu Gunakan Suara AI untuk Menyamar Jadi Pejabat Pemerintah
Dengan berkembangnya teknik phishing ini, organisasi perlu mengevaluasi kembali strategi keamanan mereka dan mengedepankan pendekatan yang menyeluruh: gabungan teknologi, edukasi, serta pemantauan berkelanjutan.
Leave a Comment