Kelompok Cybercrime Manfaatkan Vishing dan Penyalahgunaan SSO dalam Serangan Ekstorsi SaaS Cepat

Para peneliti keamanan siber kini memperingatkan adanya dua kelompok cybercrime yang melakukan serangan cepat dan berdampak besar hampir sepenuhnya di lingkungan SaaS, dengan jejak yang sangat minimal.

Kelompok Cordial Spider dan Snarky Spider: Ancaman Baru di Dunia SaaS

Kelompok yang dikenal sebagai Cordial Spider (juga disebut BlackFile, CL-CRI-1116, O-UNC-045, dan UNC6671) serta Snarky Spider (alias O-UNC-025 dan UNC6661) telah aktif sejak minimal Oktober 2025. Kedua kelompok ini mencuri data dan melakukan kampanye pemerasan dengan modus operandi yang sangat mirip. Snarky Spider diketahui merupakan kelompok penutur bahasa Inggris asli dengan kaitan dalam ekosistem e-kriminalitas bernama The Com.

"Dalam kebanyakan kasus, pelaku melakukan vishing untuk mengarahkan pengguna target ke halaman AiTM (adversary-in-the-middle) bertema SSO yang berbahaya, di mana data autentikasi dicuri dan mereka langsung mengakses aplikasi SaaS yang terintegrasi dengan SSO," ujar tim Counter Adversary Operations dari CrowdStrike dalam laporan mereka.

Metode ini memungkinkan mereka beroperasi hampir hanya di dalam lingkungan SaaS yang dipercaya, sehingga jejak serangan sangat kecil dan waktu untuk berdampak pun dipercepat. Kombinasi kecepatan, ketepatan, dan aktivitas terbatas pada SaaS menciptakan tantangan besar bagi para defender keamanan dalam mendeteksi dan memantau serangan ini.

Modus Operandi Vishing dan Penyalahgunaan SSO

Laporan Mandiant yang diterbitkan pada Januari 2026 menegaskan bahwa kedua kelompok ini menggunakan taktik yang mirip dengan kelompok ShinyHunters, terutama dalam menggunakan kedok staf TI melalui panggilan telepon untuk menipu korban agar memberikan kredensial dan kode MFA mereka melalui halaman phishing.

Palo Alto Networks Unit 42 dan Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) baru-baru ini menilai dengan keyakinan sedang bahwa kelompok di balik CL-CRI-1116 juga terhubung dengan The Com. Mereka mengandalkan teknik living-off-the-land (LotL) dan menggunakan proxy residensial untuk menyembunyikan lokasi geografis serta menghindari filter reputasi IP sederhana.

"CL-CRI-1116 aktif menyerang sektor ritel dan perhotelan sejak Februari 2026 dengan menerapkan serangan vishing yang menyamar sebagai staf help desk IT, dikombinasikan dengan situs phishing untuk mencuri kredensial," jelas peneliti Lee Clark, Matt Brady, dan Cuong Dinh.

Strategi Penetrasi dan Eksfiltrasi Data

Dalam serangan yang diketahui, pelaku biasanya mendaftarkan perangkat baru untuk melewati MFA dan mempertahankan akses ke akun yang sudah dikompromikan, setelah menghapus perangkat lama. Mereka kemudian menekan notifikasi email otomatis terkait perangkat baru dengan membuat aturan inbox yang menghapus pesan-pesan tersebut secara otomatis.

Selanjutnya, para penyerang melakukan rekayasa sosial tambahan untuk mengakses akun dengan hak istimewa tinggi dengan menggali direktori internal karyawan. Setelah mendapatkan akses yang lebih tinggi, mereka membobol lingkungan SaaS target untuk mencari file bernilai tinggi dan laporan bisnis penting di platform seperti Google Workspace, HubSpot, Microsoft SharePoint, dan Salesforce, kemudian mengekstrak data yang diinginkan ke infrastruktur yang mereka kendalikan.

"Dalam sebagian besar kasus, kredensial yang dicuri memberikan akses ke penyedia identitas (IdP) organisasi, yang menjadi pintu masuk tunggal ke banyak aplikasi SaaS," jelas CrowdStrike. "Dengan menyalahgunakan hubungan kepercayaan antara IdP dan layanan yang terhubung, pelaku dapat bergerak lateral di seluruh ekosistem SaaS korban hanya dengan satu sesi autentikasi."

Langkah-Langkah Pencegahan dan Implikasi Keamanan

• Waspadai serangan vishing yang mengaku sebagai staf TI dan jangan sembarangan memberikan kode MFA atau kredensial.
• Perketat pengawasan perangkat baru yang terdaftar dalam sistem dan aktifkan notifikasi yang tidak bisa disembunyikan oleh aturan inbox.
• Batasi akses akun dengan hak istimewa tinggi dan lakukan audit rutin terhadap direktori karyawan.
• Gunakan solusi keamanan SaaS terbaru yang mampu mendeteksi aktivitas tidak biasa dalam lingkungan SaaS.
• Pelatihan kesadaran keamanan bagi karyawan tentang risiko phishing dan teknik rekayasa sosial.

Analisis Redaksi

Menurut pandangan redaksi, perkembangan serangan yang mengandalkan vishing dan penyalahgunaan SSO ini menandai pergeseran signifikan dalam lanskap ancaman siber di era cloud computing, khususnya SaaS. Metode adversary-in-the-middle yang memanfaatkan kepercayaan pada penyedia identitas dan integrasi SSO memperlihatkan bahwa pelaku kejahatan semakin cerdas dalam mengeksploitasi infrastruktur modern yang mengedepankan kemudahan dan integrasi.

Hal ini juga menimbulkan tantangan besar bagi tim keamanan karena serangan berlangsung dengan sangat cepat dan jejak digital yang ditinggalkan sangat minim. Artinya, solusi keamanan tradisional yang fokus pada endpoint atau aplikasi individual tidak cukup efektif. Diperlukan pendekatan keamanan yang terintegrasi dan berbasis perilaku, serta edukasi berkelanjutan kepada pengguna sebagai garis pertahanan pertama.

Ke depan, kita harus mengantisipasi peningkatan serangan sejenis yang mungkin menyasar sektor-sektor lain di luar ritel dan perhotelan, serta kemungkinan pemanfaatan teknik serangan lain yang lebih canggih. Oleh karena itu, semua organisasi yang mengandalkan SaaS wajib meningkatkan kesiagaan dan investasi pada sistem keamanan identitas dan akses.

Untuk informasi lebih lengkap dan update terkini, kunjungi sumber asli di sini dan pantau berita keamanan siber dari berbagai sumber terpercaya.