Credit image: Freepix
CoPhish Modus Phising Baru Lewat Copilot – Ancaman phising (penipuan digital) kini semakin canggih, tidak lagi hanya mengandalkan tautan yang mencurigakan. Para peneliti keamanan siber baru-baru ini mengungkap teknik phising baru yang dijuluki CoPhish.
Modus ini sangat berbahaya karena menargetkan pengguna melalui domain resmi dan terpercaya milik Microsoft, yaitu Microsoft Copilot Studio.
Inti dari serangan ini adalah mengubah chatbot Copilot menjadi alat untuk meminta izin akses data sensitif Anda, tanpa disadari.
Apa Itu CoPhish dan Mengapa Sangat Berbahaya?
CoPhish adalah teknik phising yang memanfaatkan fleksibilitas fitur chatbot di Microsoft Copilot Studio untuk mengirimkan permintaan persetujuan (consent) OAuth palsu.
|
Baca juga: AI Ubah Phising Jadi Senjata |
Mengapa CoPhish Licik?
- Domain Resmi Microsoft: Chatbot buatan penyerang di-hosting pada domain resmi Microsoft: copilotstudio.microsoft.com. Ketika korban melihat URL yang sah ini, mereka cenderung lebih mudah percaya dan menganggapnya sebagai layanan resmi Microsoft.
- Menyasar Izin Aplikasi (OAuth): Serangan ini tidak mencuri password Anda secara langsung di halaman login palsu. Sebaliknya, ia memancing Anda untuk menyetujui (memberikan consent) izin kepada aplikasi pihak ketiga palsu. Izin ini dapat memberi penyerang akses ke email, chat, kalender, atau data penting lainnya tanpa perlu kata sandi Anda.
Microsoft telah mengonfirmasi temuan ini dan berjanji akan mengatasi akar penyebabnya melalui pembaruan produk di masa mendatang, meskipun mereka menegaskan bahwa teknik ini masih mengandalkan social engineering (manipulasi psikologi korban).
Bagaimana Penyerang Menggunakan Copilot Studio?
Copilot Studio Agents adalah chatbot yang dapat dibuat dan disesuaikan pengguna. Penyerang memanfaatkan fitur “demo website” untuk memublikasikan chatbot jahat mereka.
1. Memanfaatkan Tombol “Login”
Penyerang membuat chatbot dengan “Topik Login” yang dimodifikasi. Topik ini seharusnya berfungsi untuk mengautentikasi pengguna, tetapi di tangan penjahat:
- Penyalahgunaan OAuth: Tombol Login dikonfigurasi untuk terhubung ke aplikasi berbahaya yang dibuat penyerang. Ketika Anda mengklik Login, Anda akan diarahkan ke alur persetujuan (consent) standar Microsoft.
- Mengincar Admin: Serangan ini sangat efektif terhadap pengguna dengan hak administratif (Administrator Privileges). Seorang admin yang tidak curiga dan menyetujui izin aplikasi palsu tersebut dapat memberikan akses yang sangat luas ke seluruh lingkungan cloud perusahaan, seperti seluruh data email atau chat.
2. Mencuri Token Sesi Secara Diam-diam
Jika korban (terutama admin) tertipu dan menyetujui izin aplikasi palsu, penyerang melakukan langkah rahasia untuk mencuri sesi login korban:
- Pengalihan Rahasia: Chatbot yang jahat akan dikonfigurasi untuk mengirimkan session token (kunci sesi Anda) ke server yang dikontrol penyerang.
- IP Microsoft Menjadi Pelindung: Token ini dikirim dari layanan Copilot, yang berarti koneksi tersebut menggunakan alamat IP Microsoft yang sah. Hal ini membuat aktivitas mencurigakan ini tidak terlihat di lalu lintas web korban dan sulit dideteksi oleh sistem keamanan perusahaan.
Setelah token sesi berhasil dicuri, penyerang dapat mengambil alih sesi login Anda, bahkan tanpa Anda menyadarinya. Anda mungkin masih bisa mengobrol dengan chatbot tersebut, tetapi data Anda sudah berada di tangan penjahat.
|
Baca juga: Ancaman Terkuat 2025 AI Generating Phising |
Cara Melindungi Diri dari Ancaman CoPhish
Meskipun Microsoft sedang berupaya memperbaiki celah ini, pencegahan terbaik adalah terletak pada kewaspadaan dan kebijakan keamanan yang ketat.
Untuk Pengguna Individu:
- Selalu Cek Izin Aplikasi: Ketika sebuah situs meminta Anda untuk “Menyetujui” (Accept) izin aplikasi (misalnya: “Aplikasi ini ingin membaca email Anda”), periksa baik-baik nama dan pembuat aplikasi tersebut. Jika aplikasi itu tidak dikenal atau tidak diverifikasi, TOLAK.
- Waspadai Ikon Aneh: Jika Anda melihat halaman login Microsoft dengan ikon atau desain yang sedikit berbeda (misalnya, ikon “Microsoft Power Platform” yang tidak biasa), segera curiga dan jangan lanjutkan proses login.
- Aktifkan MFA: Selalu aktifkan Multi-Factor Authentication (MFA) di semua akun Microsoft Anda.
Untuk Organisasi dan Administrator:
- Batasi Hak Istimewa Admin: Tinjau dan kurangi hak istimewa administrator hanya pada pengguna yang benar-benar membutuhkannya. Semakin banyak admin, semakin besar risiko kerugian jika salah satunya menjadi korban.
- Perketat Kebijakan Persetujuan Aplikasi (Consent Policy): Nonaktifkan izin bawaan yang memungkinkan pengguna akhir (non-admin) membuat aplikasi sendiri dan memberikan izin. Terapkan kebijakan persetujuan yang kuat (hanya aplikasi terverifikasi yang boleh diizinkan).
- Pantau Aktivitas Cloud: Organisasi harus secara ketat memantau setiap peristiwa terkait persetujuan aplikasi melalui Entra ID (sebelumnya Azure AD) dan setiap peristiwa pembuatan agent di Copilot Studio.
Ancaman CoPhish adalah pengingat bahwa penjahat siber akan selalu mencari cara untuk menyalahgunakan alat dan platform yang kita percayai. Kewaspadaan adalah garis pertahanan pertama Anda.
Sumber berita:
