Image credit: magnific
Serangan Device Code Phishing – Platform layanan penipuan (Phishing-as-a-Service/PaaS) populer, Tycoon2FA, dilaporkan telah bangkit kembali dengan kemampuan yang jauh lebih berbahaya.
Meskipun operasi penegakan hukum internasional sempat melumpuhkan platform ini pada Maret lalu, infrastruktur berbahaya tersebut berhasil dibangun ulang dengan cepat.
Dalam pembaruan terbarunya, Tycoon2FA kini mendukung teknik serangan phising kode perangkat (device-code phishing) dan menyalahgunakan URL pelacak klik dari platform keamanan Trustifi untuk membajak akun Microsoft 365 secara real-time.
Berdasarkan laporan dari peneliti keamanan, platform ini bahkan menambahkan lapisan pengaburan (obfuscation) baru untuk memperkuat ketahanannya dari upaya pemblokiran di masa depan.
|
Baca juga: ESET AI Advisor Revolusi Keamanan Siber Berbasis GenAI |
Serangan Device Code Phishing
Device-code phishing memanfaatkan alur otorisasi perangkat (OAuth 2.0 device authorization grant flows) yang sebenarnya merupakan fitur sah dari Microsoft untuk menautkan perangkat pintar (seperti Smart TV atau konsol) ke akun pengguna.
Namun, fitur ini dipersenjatai oleh peretas untuk memintas perlindungan keamanan tradisional. Berikut adalah alur serangan yang diterapkan oleh Tycoon2FA:
1. Email Umpan.
Korban menerima email penipuan bertema tagihan (invoice) yang berisi tautan pelacak klik dari layanan Trustifi. Karena menggunakan domain Trustifi yang sah dan tepercaya, tautan ini lolos dari pemeriksaan filter email.
2. Rantai Pengalihan Berlapis.
Ketika diklik, tautan akan mengarahkan korban melalui Cloudflare Workers dan beberapa lapisan skrip JavaScript yang dikaburkan, hingga mendarat di halaman CAPTCHA Microsoft palsu.
3. Pengiriman Kode Perangkat.
Di balik layar, halaman phishing tersebut meminta kode otorisasi perangkat resmi dari server Microsoft, lalu menampilkan kode tersebut kepada korban. Korban kemudian diinstruksikan untuk menyalin dan menempelkan kode tersebut ke situs resmi Microsoft di [microsoft.com/devicelogin](https://microsoft.com/devicelogin).
4. Bypass MFA Total.
Karena proses penempelan kode dan autentikasi dua faktor (MFA) dilakukan oleh korban di situs web resmi Microsoft, sistem menganggap aktivitas tersebut sah.
Setelah korban selesai melakukan MFA, Microsoft akan menerbitkan token akses OAuth langsung ke perangkat yang dikendalikan oleh penyerang.
Dengan taktik ini, penyerang berhasil mendaftarkan perangkat ilegal mereka ke dalam akun Microsoft 365 korban.
Memberikan mereka akses tanpa batas ke email, kalender, dan penyimpanan file awan tanpa memicu peringatan keamanan standar.
Para peneliti mencatat bahwa penggunaan taktik ini telah melonjak hingga 37 kali lipat sepanjang tahun ini.
Sistem Pertahanan Mandiri Tycoon2FA
Hal lain yang membuat Tycoon2FA sangat tangguh adalah kemampuannya dalam mendeteksi dan memblokir upaya analisis oleh tim keamanan.
Kit phishing ini dilengkapi dengan fitur perlindungan mutakhir yang mampu mengenali:
- Alat otomatisasi pengujian seperti Selenium, Puppeteer, dan Playwright.
- Alat analisis lalu lintas jaringan seperti Burp Suite.
- Akses yang berasal dari jaringan VPN, lingkungan sandbox, penjelajah (crawlers) berbasis AI, hingga penyedia layanan awan (cloud providers).
Jika sistem Tycoon2FA mendeteksi bahwa permintaan akses berasal dari lingkungan analisis atau komputer milik peneliti keamanan, situs akan secara otomatis mengalihkan (redirect) pengguna ke halaman Microsoft yang asli.
Daftar blokir kit ini dilaporkan telah berisi lebih dari 230 nama vendor keamanan siber dan terus diperbarui secara berkala.
Mitigasi bagi Administrator TI
Untuk melindungi infrastruktur perusahaan dari ancaman Tycoon2FA dan serangan device-code phishing di tahun 2026, berikut adalah langkah mitigasi teknis yang direkomendasikan:
- Nonaktifkan Alur Device Code: Jika organisasi Anda tidak memerlukan fitur tautan kode perangkat, segera nonaktifkan alur otorisasi OAuth device code di pengaturan penyewa Microsoft 365 Anda.
- Batasi Persetujuan OAuth: Terapkan kebijakan ketat yang mewajibkan persetujuan administrator (admin approval) untuk setiap aplikasi pihak ketiga yang meminta izin akses OAuth.
- Aktifkan Continuous Access Evaluation (CAE): Fitur CAE dari Microsoft dapat membantu membatalkan token akses secara otomatis jika mendeteksi adanya perubahan kondisi yang mencurigakan, seperti perubahan lokasi atau alamat IP pengguna secara drastis.
- Pantau Log Microsoft Entra: Lakukan pengawasan ketat pada log audit Entra untuk mendeteksi metode autentikasi menggunakan deviceCode, penggunaan Microsoft Authentication Broker, atau adanya aktivitas log masuk dengan user agent mencurigakan seperti Node.js.
Realitas Baru Phising
Kebangkitan Tycoon2FA setelah operasi penegakan hukum membuktikan bahwa industri kejahatan siber berbasis PhaaS telah memiliki tingkat resiliensi finansial dan infrastruktur yang sangat matang.
Peretas tidak lagi hanya meniru tampilan halaman login, melainkan memanipulasi alur logika sistem tepercaya untuk menipu pengguna dan memintas MFA.
Bagi tim pertahanan siber, mengandalkan pelatihan kesadaran keamanan tradisional bagi karyawan saja tidak lagi cukup, penutupan celah protokol seperti penonaktifan device login yang tidak digunakan adalah langkah mutlak untuk menjaga keamanan aset digital perusahaan.
Sumber berita:
