Image credit: magnific
Jebakan Login Palsu di Google Search – Sebuah operasi phising yang sangat berbahaya ditemukan menyalahgunakan hasil pencarian bersponsor di Google untuk menargetkan kredensial ManageWP.
ManageWP diketahui sebagai platform milik GoDaddy yang digunakan untuk mengelola ribuan situs web WordPress secara terpusat.
Serangan ini menggunakan pendekatan Adversary-in-the-Middle (AitM), di mana halaman login palsu bertindak sebagai proksi waktu nyata (real-time proxy) antara korban dan layanan asli ManageWP.
Taktik ini memungkinkan penyerang untuk memintas perlindungan keamanan standar dan mendapatkan kendali penuh atas akun target.
|
Baca juga: Lindungi Data dengan Enkripsi Seperti Perusahaan Besar |
Eksploitasi Kepercayaan pada Google Search
ManageWP merupakan platform administrasi jarak jauh yang sangat populer di kalangan pengembang web, agensi, dan perusahaan besar.
Kemampuannya mengelola banyak situs dari satu panel tunggal. Sehingga menurut WordPress.org, plugin ManageWP aktif di lebih dari 1 juta situs web di seluruh dunia.
Berdasarkan laporan dari tim peneliti, para aktor ancaman menggunakan iklan berbayar Google agar situs palsu mereka muncul di posisi paling atas saat pengguna mencari kata kunci ‘managewp’.
Pengguna yang terbiasa mengklik hasil pencarian teratas akan diarahkan ke halaman login yang secara visual identik dengan situs aslinya.
Mekanisme serangan AitM ini bekerja sebagai berikut:
- Pencurian Kredensial: Saat korban memasukkan nama pengguna dan kata sandi, data tersebut dikirim langsung ke saluran Telegram yang dikendalikan penyerang.
- Intersepsi 2FA: Karena ini adalah serangan waktu nyata, penyerang segera menggunakan kredensial tersebut untuk login ke situs asli. Korban kemudian akan melihat permintaan kode autentikasi dua faktor (2FA) palsu. Begitu kode dimasukkan, penyerang langsung menggunakannya untuk masuk ke akun ManageWP yang sebenarnya.
- Kendali Penuh: Setelah masuk, penyerang memiliki akses ke seluruh armada situs web WordPress yang terdaftar di bawah akun tersebut.
Infrastruktur C2 dan Kerangka Kerja Privat
Peneliti berhasil menyusup ke infrastruktur Command-and-Control (C2) milik penyerang. Mereka menemukan sistem perintah yang memungkinkan operator melakukan alur phising secara interaktif.
Hal ini menunjukkan bahwa kampanye ini tidak menggunakan paket phising pasaran yang umum dijual, melainkan sebuah kerangka kerja (framework) privat yang dikembangkan khusus.
Hal menarik ditemukan di dalam kode sumber platform tersebut, di mana terdapat perjanjian dalam bahasa Rusia. Perjanjian tersebut berisi pernyataan yakni:
- Pelepasan tanggung jawab hukum dari pembuat kode.
- Klaim bahwa alat ini hanya untuk tujuan penelitian.
- Serta larangan penggunaan perangkat lunak terhadap sistem yang berbasis di Rusia.
Hingga laporan ini dirilis, peneliti telah mengonfirmasi sedikitnya 200 korban unik dan mulai melakukan proses peringatan dini.
Mitigasi Keamanan
Mengingat satu akun ManageWP sering kali mengelola ratusan situs klien, dampak dari pembobolan ini bisa sangat masif. Berikut adalah langkah-langkah mitigasi yang harus segera diambil:
- Biasakan untuk tidak mengklik hasil pencarian berlabel “Sponsored” atau “Iklan” saat ingin mengakses halaman sensitif. Selalu ketikkan URL langsung (managewp.com) di bilah alamat peramban atau gunakan bookmark.
- Beralihlah dari kode OTP berbasis SMS atau aplikasi ke kunci keamanan fisik (hardware security keys) atau passkeys. Teknologi ini memiliki perlindungan bawaan terhadap serangan AitM karena kunci keamanan tidak akan berfungsi pada domain yang salah.
- Pastikan Anda menerima notifikasi instan melalui email atau aplikasi setiap kali ada upaya login dari perangkat atau lokasi baru.
- Lakukan pemeriksaan rutin pada sesi yang aktif di panel ManageWP Anda. Segera putuskan sambungan sesi yang mencurigakan dan lakukan rotasi kata sandi.
- Jika memungkinkan, batasi akses ke dasbor manajemen WordPress Anda hanya dari alamat IP kantor atau VPN perusahaan yang sudah terdaftar.
- Pastikan seluruh staf pengembang web memahami bahaya iklan Google yang disusupi dan taktik phising waktu nyata yang dapat memintas 2FA konvensional.
Bahaya Kendali Terpusat
Kasus ManageWP menjadi pengingat bahwa platform manajemen terpusat adalah “hadiah utama” bagi peretas. Dengan membobol satu pintu, mereka mendapatkan kunci ke ribuan situs web lainnya.
Di tahun 2026, mempercayai mesin pencari saja tidak cukup; setiap akses administratif ke infrastruktur web harus diperlakukan dengan tingkat kecurigaan yang tinggi.
Verifikasi domain dan penggunaan metode autentikasi yang tahan terhadap phising (seperti kunci perangkat keras) adalah satu-satunya cara efektif untuk menghentikan serangan AitM yang semakin canggih seperti ini.
Sumber berita:
