Otentikasi Multi-Faktor (MFA) sering kali dianggap sebagai benteng pertahanan utama dalam keamanan siber. Namun, para peretas terus berinovasi.
Baru-baru ini, para peneliti keamanan siber menemukan kampanye phishing jenis baru yang sangat licik mengelabui karyawan untuk memberikan akses ke akun Microsoft 365 mereka dan berhasil melewati perlindungan MFA secara total.
Serangan ini tidak mencuri kata sandi Anda secara langsung. Sebaliknya, peretas menggunakan celah pada sistem pendaftaran perangkat (device code) OAuth untuk menanamkan akses permanen ke akun perusahaan Anda.
Berikut adalah ulasan mendalam tentang cara kerja ancaman siber terbaru ini dan langkah-langkah mitigasi yang wajib diketahui oleh setiap tim TI dan perusahaan.
Cara Kerja Serangan Phishing OAuth (Device Code)
Menurut peneliti dari KnowBe4, kampanye ini banyak menargetkan kalangan bisnis dan profesional. Serangan ini sangat mulus karena mengeksploitasi fitur yang sah dari Microsoft.
Kronologi Serangan Phising OAuth
- Karyawan menerima email phishing yang disamarkan sebagai pesan penting, seperti dokumen bonus gaji, pemberitahuan pembayaran dana elektronik, atau pesan suara.
- Di dalam email tersebut, terdapat tautan dan sebuah kode Secure Authorization. Hebatnya, tautan ini benar-benar mengarahkan korban ke halaman login asli di microsoft.com.
- Karena URL-nya sah, korban merasa aman dan memasukkan kode otorisasi tersebut. Tanpa disadari, kode itu adalah device code milik perangkat peretas.
- Dengan memasukkan kode itu, korban secara efektif menyetujui token OAuth yang mendaftarkan perangkat peretas ke akun Microsoft 365 mereka. Konsepnya mirip seperti Anda mengotorisasi Smart TV baru untuk mengakses akun Netflix Anda.
Mengapa Serangan Phishing OAuth Sangat Berbahaya?
Serangan ini menjadi sorotan karena URL yang digunakan adalah URL asli Microsoft. Pengguna yang sudah diedukasi untuk mengecek keaslian domain pun bisa dengan mudah tertipu.
Roger Grimes, penasihat CISO di KnowBe4, menegaskan bahwa pengguna sebenarnya tidak melakukan kesalahan teknis saat melakukan login, karena portalnya memang sah.
Selain itu, tujuan utama peretas bukan sekadar mencuri password. Mereka mengincar token OAuth dan refresh token. Setelah perangkat peretas terdaftar, mereka mendapatkan akses terus-menerus (persistent access) ke aplikasi sensitif perusahaan seperti Outlook, Microsoft Teams, dan OneDrive, tanpa perlu memicu peringatan login baru atau tantangan MFA.
4 Langkah Mencegah Phishing Kode Perangkat di Perusahaan Anda
Para ahli keamanan siber dari SANS Institute, Beauceron Security, dan AppOmni menyarankan pendekatan berlapis untuk menangkal jenis serangan ini.
Berikut adalah praktik terbaik yang bisa Anda terapkan:
- Nonaktifkan Fitur Penambahan Perangkat (Jika Tidak Perlu): Langkah paling sederhana adalah mematikan kemampuan untuk menambahkan perangkat login ekstra ke Office 365. Administrator Microsoft Entra dapat menonaktifkan fitur "device code flow" dalam kebijakan akses bersyarat (conditional access policies).
- Terapkan Daftar Izin (Allowlist) Aplikasi: Batasi aplikasi pihak ketiga yang boleh dihubungkan oleh pengguna ke akun mereka. Microsoft menyediakan fitur bagi admin enterprise untuk membuat allowlist khusus aplikasi yang diotorisasi via OAuth.
- Audit Integrasi SaaS Secara Berkala: Jangan jadikan token OAuth sebagai blind spot. Inventarisasi dan audit aplikasi apa saja yang terhubung ke lingkungan Software as a Service (SaaS) Anda. Cabut izin aplikasi yang cakupannya terlalu luas atau sudah tidak lagi digunakan.
- Simulasi Phishing dan Edukasi Berkelanjutan: Edukasi karyawan bahwa ancaman tidak hanya berupa tautan palsu. Latih mereka untuk mewaspadai permintaan kode otorisasi yang tidak biasa dan ajarkan cara memeriksa perangkat apa saja yang saat ini memiliki akses ke akun Microsoft mereka.
Penambahan lapis keamanan seperti MFA memang krusial, namun itu tidak membuat sistem kebal 100%. Kampanye phishing kode perangkat OAuth ini membuktikan bahwa peretas akan selalu mencari jalan pintas melalui manipulasi psikologis (social engineering) dan eksploitasi fitur yang sah.
Kombinasi antara konfigurasi sistem yang ketat (Zero Trust) dan kesadaran keamanan karyawan adalah kunci untuk melindungi aset digital perusahaan Anda.
Sumber: KnowBe4 - "Uncovering the Sophisticated Phishing Campaign Bypassing M365 MFA";
Youtube: @itnews-indonesia, 23 Feb 2026 23:53. Kampanye Phishing Terbaru Mampu Lewati MFA Microsoft 365: Begini Cara Mencegahnya.
