Kampanye Phishing Microsoft Menyerang 35.000 Pengguna di 26 Negara

Microsoft baru-baru ini mengungkap kampanye phishing berskala besar yang menargetkan lebih dari 35.000 pengguna dari lebih 13.000 organisasi di 26 negara. Aksi ini berlangsung antara 14 hingga 16 April 2026 dan terbanyak terjadi di Amerika Serikat dengan 92% target serangan berada di sana.

Detail Kampanye Phishing dan Metode Serangan

Kampanye ini menggunakan teknik pencurian kredensial dengan memanfaatkan email yang berisi tema code of conduct atau tata kelakuan perusahaan. Pelaku menggunakan layanan email yang sah untuk mengirim pesan agar terlihat resmi, lalu mengarahkan korban ke domain yang dikendalikan penyerang untuk mencuri token autentikasi.

Email yang dikirim berisi template HTML bergaya perusahaan yang sangat rapi dan terstruktur, lengkap dengan pernyataan otentikasi yang membuat email ini tampak seperti komunikasi internal resmi. Microsoft Defender Security Research Team menjelaskan,

"Email ini berisi tuduhan dan peringatan tindakan terbatas waktu yang menimbulkan rasa urgensi dan tekanan bagi penerima untuk segera bertindak."

Beberapa nama pengirim yang digunakan misalnya "Internal Regulatory COC", "Workforce Communications", dan "Team Conduct Report". Subjek email berisi kalimat seperti "Internal case log issued under conduct policy" atau "Reminder: employer opened a non-compliance case log".

Di bagian atas email terdapat pemberitahuan bahwa pesan ini "dikeluarkan melalui saluran internal yang sah" dan tautan serta lampiran sudah "ditinjau dan disetujui untuk akses aman" untuk memperkuat kesan keaslian.

Rangkaian Serangan dan Teknik Canggih yang Digunakan

Setelah membuka email, korban menerima lampiran PDF berisi informasi tambahan tentang tinjauan tata kelakuan yang mengarahkan mereka mengklik tautan berbahaya. Tautan ini memulai proses pencurian kredensial dengan beberapa tahapan, termasuk captcha berulang dan halaman perantara yang meningkatkan kesan legalitas dan menghindari deteksi otomatis.

Serangan berakhir dengan halaman masuk palsu yang menggunakan teknik adversary-in-the-middle (AiTM) untuk mencuri kredensial Microsoft secara real-time, bahkan melewati perlindungan autentikasi multi-faktor (MFA). Halaman phishing ini berbeda tergantung perangkat korban, apakah mobile atau desktop.

Tren Phishing di Tahun 2026

Microsoft juga mengungkapkan tren phishing dalam kuartal pertama 2026, di mana phishing menggunakan kode QR berkembang pesat, dengan volume serangan meningkat 146% dari 7,6 juta pada Januari menjadi 18,7 juta pada Maret. Selain itu, phishing yang menggunakan CAPTCHA juga mengalami evolusi cepat dalam berbagai jenis payload.

Perusahaan teknologi ini mendeteksi sekitar 8,3 miliar ancaman phishing berbasis email pada periode tersebut, dengan hampir 80% serangan berupa tautan berbahaya. Tujuan utama serangan ini adalah pencurian kredensial, sementara penyebaran malware menurun drastis menjadi 5-6%.

Microsoft juga mencatat perubahan strategi oleh operator platform phishing-as-a-service (PhaaS) Tycoon 2FA yang berupaya mengganti penyedia hosting dan pola pendaftaran domain setelah operasi disruptif pada Maret 2026.

Menurut laporan Microsoft, penggunaan Amazon Simple Email Service (SES) sebagai vektor pengiriman phishing semakin marak. Pelaku memanfaatkan akses AWS yang bocor untuk mengirim ribuan email phishing yang lolos dari filter autentikasi email seperti SPF, DKIM, dan DMARC. Ini membuat serangan lebih sulit dideteksi karena berasal dari infrastruktur yang dipercaya pengguna dan sistem keamanan.

Contoh Kampanye Besar di Kuartal Pertama 2026

1. Antara 23-25 Februari, lebih dari 1,2 juta pesan dikirim ke pengguna di 53.000 organisasi di 23 negara dengan tema 401(k), pembayaran, dan faktur. Pesan mengandung lampiran SVG yang mengarahkan korban ke cek CAPTCHA dan halaman masuk palsu.
2. Pada 17 Maret, kampanye besar mengirim 1,5 juta pesan berbahaya ke 179.000 organisasi di 43 negara. Lampiran HTML mengarahkan korban melalui beberapa tahap penyaringan dan CAPTCHA sebelum halaman masuk palsu muncul.

Microsoft mengonfirmasi sebagian besar endpoint phishing terkait platform Tycoon 2FA, dan ada juga aktivitas yang terkait dengan Kratos dan EvilTokens.

Analisis Redaksi

Menurut pandangan redaksi, kampanye phishing ini menunjukkan peningkatan kecanggihan pelaku kejahatan siber yang mampu mengeksploitasi layanan email resmi dan teknik rekayasa sosial untuk menyerang target secara masif dan terarah. Penggunaan domain dan infrastruktur yang tampak legal membuat deteksi menjadi sangat sulit, bahkan bagi sistem keamanan canggih sekalipun.

Kejadian ini menegaskan pentingnya kesadaran keamanan siber di kalangan organisasi, terutama sektor kesehatan, keuangan, dan teknologi yang menjadi target utama. Organisasi harus memperkuat pelatihan pengguna dan menerapkan solusi keamanan berlapis yang tidak hanya mengandalkan autentikasi multi-faktor, karena teknik AiTM dapat melewati lapisan tersebut.

Ke depan, tren phishing yang menggabungkan CAPTCHA dan kode QR diprediksi akan semakin marak, sehingga pengembangan sistem deteksi yang adaptif dan edukasi pengguna menjadi kunci utama mitigasi risiko. Pembaca diimbau untuk selalu waspada terhadap email yang mencurigakan, terutama yang memicu rasa urgensi dan meminta akses kredensial.

Untuk informasi keamanan siber terbaru dan update terkait ancaman phishing, ikuti terus sumber terpercaya dan update dari Microsoft serta lembaga keamanan siber global lainnya.