Serangan Phishing Entra Passkey Palsu Serang Pengguna Microsoft 365
Kelompok peretas O-UNC-066 baru-baru ini melancarkan serangan canggih dengan menggunakan metode vishing dan kit phishing yang mengelabui pengguna Microsoft 365 untuk mendaftarkan Entra passkey palsu. Tujuannya adalah untuk mendapatkan akses tidak sah ke akun Microsoft 365 korban dan melakukan serangan pemerasan data.
Modus Operandi Serangan Entra Passkey Palsu
"Pelaku mendaftarkan domain yang mengandung kata passkey sebagai bagian dari skema phishing suara ('vishing')," jelas peneliti Okta, Houssem Eddine Bordjiba. "Pelaku kemudian menelepon korban untuk meyakinkan mereka agar mendaftarkan passkey baru."
Setelah itu, korban diarahkan ke situs phishing yang sangat mirip dengan proses pendaftaran passkey asli Microsoft, sehingga memberikan kesan bahwa mereka sedang menambahkan passkey resmi. Namun, sebenarnya pelaku yang mendaftarkan passkey itu ke akun Microsoft korban, sehingga mereka memperoleh akses penuh.
Kit Phishing dengan Panel Operator dan Adaptasi Real-Time
Berbeda dengan serangan phishing biasa yang hanya mencuri kredensial dan token MFA, kit phishing ini menggunakan panel PHP yang dikendalikan operator. Operator dapat menyesuaikan pengalaman pengguna secara real-time sesuai metode MFA korban, seperti TOTP, SMS OTP, atau push notification dengan pencocokan nomor.
- Halaman awal kit phishing menampilkan ikon pemuatan sambil melakukan pemeriksaan anti-analisis.
- Korban diminta memasukkan nama pengguna dan kata sandi.
- Kredensial yang dicuri dikirim ke panel operator yang kemudian menggunakannya di halaman masuk Microsoft asli.
- Korban menghadapi tantangan MFA sesuai dengan metode yang digunakan (SMS OTP, TOTP, push notification).
- Token MFA yang dimasukkan korban langsung dikirim ke operator untuk mengautentikasi akses.
- Setelah itu, korban diarahkan ke halaman pendaftaran passkey palsu.
Proses pendaftaran passkey palsu ini juga melibatkan halaman Microsoft-branded yang meminta korban menyimpan "kunci pemulihan" yang terdiri dari 12 kata, mirip dengan frase pemulihan dompet kripto. Tahapan ini diperkirakan hanya menjadi distraksi agar korban tetap fokus sementara pelaku menyelesaikan pendaftaran passkey berbahaya.
Implikasi dan Dampak Serangan
Serangan ini memanfaatkan fitur baru Microsoft yang memungkinkan admin mendorong pengguna untuk mendaftarkan passkey demi mengadopsi metode autentikasi yang lebih aman. Namun, para pelaku menyerang proses ini dengan mengelabui korban agar justru mendaftarkan passkey milik mereka sendiri, mengubah fitur keamanan menjadi celah eksploitasi.
Okta mengingatkan bahwa banyak pengguna masih belum familiar dengan autentikasi passkey. Dalam pendaftaran passkey asli, pengguna akan melihat dialog sistem untuk menyelesaikan proses, sementara pada kit phishing ini, halaman palsu hanya meniru interaksi tersebut tanpa benar-benar mendaftarkan passkey asli.
Profil Pelaku dan Kaitan dengan Kelompok Cybercrime Lain
Kelompok O-UNC-066 juga diketahui mengoperasikan situs kebocoran data sejak April 2026 dengan nama Pink. Palo Alto Networks Unit 42 mengkaitkan kelompok ini dengan kolektif kejahatan siber terdesentralisasi bernama The Com, yang beranggotakan kelompok terkenal seperti Scattered Spider, ShinyHunters, dan LAPSUS$.
Analisis Redaksi
Menurut pandangan redaksi, serangan ini adalah contoh nyata bagaimana inovasi keamanan digital, seperti pendaftaran passkey, dapat disalahgunakan oleh pelaku kejahatan siber ketika pengguna belum sepenuhnya memahami teknologi baru tersebut. Pengguna dan organisasi harus meningkatkan edukasi tentang autentikasi passkey dan waspada terhadap komunikasi yang tidak terduga, terutama via telepon.
Lebih jauh, teknik yang digunakan oleh O-UNC-066 menunjukkan tingginya profesionalisme dan adaptasi metode serangan sesuai dengan kondisi korban secara real-time. Ini menandakan tren serangan siber yang semakin canggih dan personalisasi, yang membutuhkan respons keamanan berlapis dan penggunaan teknologi deteksi ancaman yang lebih mutakhir.
Ke depan, perusahaan harus memperkuat kebijakan keamanan internal dan melakukan pelatihan rutin agar pengguna tidak mudah terjebak dalam skema vishing dan phishing, apalagi yang memanfaatkan fitur baru yang belum familiar. Kunci keberhasilan adalah kombinasi teknologi, edukasi, dan kesadaran pengguna.
Untuk informasi lebih lengkap dan update keamanan terbaru, Anda dapat membaca artikel asli di The Hacker News serta mengikuti berita dari sumber terpercaya seperti Kompas.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0