EvilTokens Platform Phising Absen Kata Sandi

EvilTokens Platform Phising Absen Kata Sandi – Banyak pengamat teknologi siber telah menulis bahwa masa-masa di mana email phising dipenuhi oleh tata bahasa yang berantakan dan desain visual yang kasar kini telah berakhir, sebagian besar berkat andil kecerdasan buatan (AI).

Sementara itu, kemunculan platform bernama EvilTokens menawarkan contoh nyata yang sedikit berbeda mengenai seberapa jauh keahlian taktik pengelabuan digital telah berkembang pesat di industri siber saat ini.

EvilTokens merupakan paket perkakas Phishing-as-a-Service (PhaaS) yang disewakan di pasar gelap untuk membobol akun Microsoft 365.

Berbeda dengan taktik konvensional, platform ini bekerja dengan cara menyalahgunakan aliran pemberian izin otentikasi perangkat OAuth 2.0 (OAuth 2.0 device authorization grant flow).

Karena serangan yang menggunakan kit ini mengandalkan metode phising kode perangkat (device code phishing), peretas sama sekali tidak memerlukan replika halaman log masuk palsu yang biasanya digunakan untuk memancing korban menyerahkan kata sandi mereka.

Sebaliknya, peretas justru menjebak korban untuk menyelesaikan proses otentikasi yang sepenuhnya legal termasuk melewati lapisan otentikasi dua faktor (2FA) pada halaman log masuk resmi milik Microsoft.

Paket perkakas kriminal ini telah diiklankan secara terbuka melalui berbagai saluran Telegram dan mulai terdeteksi dalam rangkaian serangan aktif setidaknya sejak Februari 2026.

Berdasarkan dokumen investigasi siber, kit ini telah diadopsi dengan sangat cepat oleh para pelaku kejahatan siber untuk melancarkan rentetan serangan pengambilalihan akun massal serta kompromi email bisnis (Business Email Compromise/BEC).

Salah satu kampanye agresifnya tercatat sukses membidik lebih dari 340 organisasi di beberapa negara pada Maret 2026.

Pihak Microsoft sendiri juga telah mendeskripsikan adanya kampanye berbasis bantuan AI yang menggunakan pembuatan kode perangkat secara dinamis (dynamic device-code generation) serta umpan yang dipersonalisasi khusus demi mendongkrak tingkat keberhasilan serangan EvilTokens.

Operasional dan Cara Kerja Sistem EvilTokens

Serangan yang memanfaatkan platform EvilTokens berjalan secara terstruktur melalui beberapa tahapan taktis berikut ini:

Fase Pengintaian Jarak Jauh (Reconnaissance).

Sebelum melancarkan umpan, pelaku kejahatan siber terlebih dahulu melakukan pengintaian untuk memverifikasi apakah akun target berada dalam status aktif atau tidak.

Aktivitas pengintaian ini biasanya berjalan 10 hingga 15 hari lebih awal sebelum serangan phising yang sesungguhnya diluncurkan ke korban.

Pengiriman Pesan Umpan (Lure).

Korban akan menerima pesan email atau obrolan yang dikemas rapi menyerupai:

• Dokumen tagihan finansial (invoice).
• Dokumen bersama.
• Undangan kalender kerja.
• Permintaan akses dokumen SharePoint.

Pesan ini dilengkapi dengan halaman jebakan yang meniru identitas merek tepercaya, disertai instruksi singkat seperti “Verifikasi untuk melihat dokumen” atau “Tanda tangan diperlukan”.

Navigasi Kode Perangkat 15 Menit

Saat korban mengeklik tautan di dalam email, halaman jebakan tersebut akan meminta kode perangkat resmi dari server Microsoft.

Kode ini hanya memiliki masa kedaluwarsa yang sangat singkat, yaitu selama 15 menit. Halaman palsu tersebut kemudian menampilkan kode unik tadi kepada korban.

Dan menginstruksikannya untuk mengetikkan kode tersebut ke portal log masuk resmi Microsoft di alamat [microsoft.com/devicelogin](https://microsoft.com/devicelogin).

Pencucian Sesi dan Jebakan Validasi.

Titik krusial dari penipuan ini adalah kode yang ditampilkan di layar korban sebenarnya merupakan kode yang terikat dengan sesi log masuk milik peretas.

Ketika korban memasukkan kode tersebut ke situs resmi Microsoft dan menyelesaikan verifikasi (termasuk menyetujui perintah 2FA), korban tanpa sadar telah memberikan hak otentikasi kepada perangkat milik peretas, bukan gawai mereka sendiri.

Ekstraksi Data Massal.

Karena melihat adanya proses masuk log yang sah dari sisi pengguna, sistem Microsoft secara otomatis akan menerbitkan token akses (access tokens) dan token penyegar (refresh tokens) ke sesi yang dibuka oleh peretas.

Begitu berhasil masuk ke dalam perimeter dalam, penjahat siber dapat dengan bebas mengakses:

• Email korporasi.
• Dokumen internal.
• Microsoft Teams.
• SharePoint.
• OneDrive.
• Dan aset Microsoft 365 lainnya untuk mengeksfiltrasi data rahasia atau mempersiapkan serangan BEC lanjutan.
• Akun-akun di departemen keuangan.
• HRD.
• Logistik, dan penjualan menjadi target yang paling diincar dalam skema ini.

Aliran Otentikasi OAuth Sangat Berbahaya

Pada desain awalnya, aliran kode perangkat OAuth (OAuth device code flow) diciptakan untuk mempermudah proses log masuk pada perangkat-perangkat yang tidak memiliki papan ketik atau sulit untuk mengetikkan kata sandi secara langsung, seperti perangkat printer pintar atau Smart TV. Mekanismenya ada

lah perangkat tersebut akan menampilkan kode pendek di layar, lalu pengguna memasukkan kode itu melalui situs Microsoft di gawai lain (seperti ponsel pintar) untuk menyelesaikan otentikasi. Setelah selesai, Microsoft akan mengirimkan token akses ke perangkat yang meminta izin di awal.

Pemisahan jalur otentikasi ini sangat berguna untuk efisiensi, namun menyisakan celah yang lebar untuk disalahgunakan.

Peretas dapat menghasilkan kode tersebut dari jarak jauh dan menipu korban agar bersedia memasukkannya, sementara sistem Microsoft hanya membaca aktivitas tersebut sebagai aliran otentikasi yang sepenuhnya valid dan normal.

Walaupun Microsoft telah menyuntikkan teks peringatan di layar saat proses log masuk agar pengguna tidak memasukkan kode dari sumber yang tidak tepercaya.

Tampilan halaman jebakan peretas yang sangat meyakinkan sering kali membuat korban mengabaikan dan membaca cepat peringatan tersebut.

Kondisi ini membuat EvilTokens sangat mematikan karena ia menghapus hampir seluruh indikator mencurigakan (red flags) yang selama ini diajarkan dalam pelatihan siber tradisional, seperti kesalahan ejaan nama domain (typosquatting) atau visual halaman login yang aneh.

Halaman login yang dihadapi korban adalah 100% asli, sehingga dari sudut pandang korban, seluruh proses otentikasi terasa berjalan normal tanpa ada kejanggalan.

Selain itu, taktik ini mengacaukan fungsi perlindungan dari sistem Otentikasi Dua Faktor (2FA). Meskipun lapisan keamanan kedua ini sangat penting, fungsinya akan lumpuh seketika apabila pengguna justru memberikan persetujuan akses untuk sesi yang salah.

Dalam serangan EvilTokens, peretas tidak meretas atau menjebol sistem 2FA menggunakan keahlian pemrograman siber yang rumit, mereka hanya mengandalkan rekayasa sosial untuk membujuk korban agar bersedia menyelesaikan proses validasi 2FA tersebut demi kepentingan peretas.

Mitigasi dan Perlindungan Jaringan Korporasi

Mengingat serangan modern seperti EvilTokens mampu menyalahgunakan aliran otentikasi yang sah, tips perlindungan siber tidak bisa lagi hanya mengandalkan instruksi standar seperti “periksa tautan alamat” atau “cari kesalahan ketik”.

Kebiasaan tersebut memang tetap membantu, namun tidak lagi cukup kuat untuk membendung serangan manipulasi otentikasi tingkat lanjut.

Guna membentengi infrastruktur digital perusahaan dari ancaman EvilTokens, tim keamanan TI dan pengguna disarankan untuk menerapkan langkah mitigasi komprehensif berikut:

1. Tumbuhkan Skeptisisme Terhadap Permintaan Kode.

Anggap setiap permintaan kode otentikasi perangkat yang muncul secara mendadak sebagai aktivitas mencurigakan.

Tidak ada dokumen, invoice, atau email kerja normal yang membutuhkan input kode perangkat tanpa adanya alasan operasional yang jelas. Jika menerima permintaan asing tersebut, segera laporkan ke tim TI perusahaan.

2. Validasi Konteks di Atas Visual Halaman.

Sebelum memberikan persetujuan pada permintaan log masuk apa pun, periksa dengan teliti aplikasi apa yang meminta akses, akun mana yang terlibat.

Dan apakah Anda memang benar-benar sedang melakukan tindakan tersebut. Munculnya halaman resmi Microsoft bukan jaminan bahwa aktivitas permintaan akses tersebut aman untuk disetujui.

3. Batasi Aliran Kode Perangkat Secara Total.

Organisasi harus menonaktifkan atau membatasi fungsi device code flow secara mutlak pada area jaringan yang tidak membutuhkannya.

Sangat disarankan untuk menerapkan kebijakan Akses Bersyarat (Conditional Access policies) guna memblokir aliran kode perangkat ini dan hanya mengizinkannya secara terbatas pada pengguna, perangkat, lokasi geografis, atau sistem operasi spesifik yang tervalidasi.

4. Tingkatkan Patroli Pemantauan Log Akses.

Tim pertahanan siber harus aktif memantau adanya aktivitas:

• Otentikasi kode perangkat yang tidak biasa.
• Kemunculan perangkat asing yang tidak dikenal.
• Aktivitas log masuk berisiko tinggi (risky sign-ins).
• Penggunaan token yang mencurigakan.
• Hingga pembuatan aturan kotak masuk baru (inbox rules) secara mendadak yang biasa digunakan peretas untuk menyembunyikan email curian.

5. Pembaruan Kurikulum Pelatihan Kesadaran Siber.

Materi pelatihan keamanan siber bagi karyawan harus diperbarui agar mampu mengejar ketertinggalan dari trik terbaru peretas.

Karyawan harus diberikan pemahaman mendalam bahwa phising modern tidak lagi selalu meminta mereka mengetikkan kata sandi di halaman palsu.

Melainkan bisa berbentuk perintah memasukkan kode asli di halaman resmi namun untuk perangkat milik orang lain.

Apabila ada karyawan yang terlanjur memasukkan kode perangkat yang mencurigakan, tim keamanan TI harus segera mengambil tindakan darurat untuk:

• Memeriksa log aktivitas.
• Mencabut seluruh sesi aktif (revoke sessions).
• Membatalkan validitas token penyegar (refresh tokens).
• Menghapus aturan kotak masuk yang mencurigakan.
• Serta membekukan akun yang berkompromi untuk sementara waktu guna mencegah kebocoran data yang lebih luas.

Peretas Selalu Punya Banyak Cara

Kehadiran platform phishing-as-a-service EvilTokens menjadi pengingat yang kuat bagi industri digital bahwa peretas tidak selalu harus menjebol pintu depan atau mencuri kunci fisik untuk menguasai sistem jaringan.

Terkadang, mereka hanya perlu melakukan rekayasa sosial psikologis yang matang guna membujuk pemilik akun agar bersedia membukakan pintu tersebut bagi mereka secara sukarela.

Keamanan siber sejati tidak lagi hanya ditentukan oleh kecanggihan algoritma pertahanan, melainkan dari tingkat kewaspadaan pengguna dalam memvalidasi setiap jengkal proses otentikasi digital yang mereka lakukan.

Sumber berita:

Prosperita IT News