Credit image: Freepix
Hacker Kini Curi Data Anda di Tengah Jalan – Para pakar keamanan siber baru-baru ini menemukan platform phising-as-a-service (PhaaS) baru yang dinamai VoidProxy.
Platform ini menargetkan akun-akun Microsoft 365 dan Google, termasuk akun yang dilindungi oleh penyedia single sign-on (SSO) dari pihak ketiga.
Kehadiran platform ini menunjukkan evolusi serangan phising yang semakin canggih. Tidak hanya mencuri kredensial dasar, VoidProxy menggunakan taktik:
- Adversary-in-the-Middle (AitM) untuk mencuri kredensial.
- Kode autentikasi multi-faktor (MFA).
- Dan session cookies secara real-time.
|
Baca juga: Cara Hacker Pastikan Tebusan Dibayar |
Menipu di Tengah Jalan
Serangan VoidProxy dimulai dengan email yang dikirim dari akun yang telah diretas di layanan email marketing seperti Constant Contact atau Active Campaign.
Email ini berisi tautan yang telah dipersingkat. Ketika diklik, tautan tersebut akan mengarahkan korban melalui beberapa pengalihan (redirect) sebelum sampai ke situs phising yang sebenarnya.
Situs phising ini di-hosting di domain-domain berbiaya rendah dan sering kali dilindungi oleh layanan seperti Cloudflare untuk menyembunyikan alamat IP asli mereka.
Saat korban mengunjungi situs tersebut, mereka akan disambut dengan tantangan Cloudflare CAPTCHA yang berfungsi untuk menyaring bot dan memberikan kesan legitimasi. Setelah tantangan dilewati, halaman login palsu yang meniru tampilan Microsoft atau Google akan muncul.
Jika kredensial dimasukkan ke dalam formulir phising, permintaan tersebut tidak langsung dikirim ke penyerang. Sebaliknya, permintaan akan di-proxy-kan melalui proxy server milik VoidProxy ke server asli Google atau Microsoft.
Proses ini, yang dikenal sebagai taktik adversary-in-the-middle (AitM), memungkinkan VoidProxy bertindak sebagai perantara antara korban dan layanan yang sah.
Bagaimana VoidProxy Mencuri Data Sensitif?
Mencuri Kredensial dan Kode MFA
Saat korban mengetik username dan password, proxy server VoidProxy akan menangkapnya. Jika layanan meminta kode MFA, proxy juga akan meneruskannya ke korban dan menangkap kode yang dimasukkan, semua secara real-time.
Mencuri Session Cookies
Setelah berhasil login ke layanan asli, layanan tersebut akan mengeluarkan session cookie untuk menjaga sesi login pengguna. VoidProxy mencegat cookie ini dan membuat salinannya.
Salinan inilah yang sangat berbahaya karena memungkinkan penyerang untuk melewati login dan kode MFA di masa depan. Mereka dapat menggunakan cookie ini untuk mengakses akun korban kapan pun mereka mau.
Dalam kasus akun yang menggunakan SSO (seperti Okta), VoidProxy akan mengarahkan korban ke halaman phising tahap kedua yang meniru alur login SSO.
Permintaan ini juga akan di- proxy-kan ke server Okta, dan seluruh proses pencurian data terjadi di tengah-tengah.
|
Baca juga: Hacker Masif Bajak Akun YouTube |
Solusi Pertahanan dan Rekomendasi Para Ahli
Meskipun serangan seperti VoidProxy sangat canggih, ada beberapa cara untuk melindungi diri dan organisasi dari ancaman serupa.
1. Perkuat Autentikasi
Penggunaan password saja tidak lagi cukup. Para ahli merekomendasikan penggunaan metode autentikasi yang tahan phising, seperti kunci keamanan fisik (misalnya FIDO2/WebAuthn) atau biometric authentication.
Contohnya, penelitian Okta menunjukkan bahwa pengguna yang menggunakan Okta FastPass (autentikasi tanpa password yang aman) terlindungi dari serangan VoidProxy dan menerima peringatan bahwa akun mereka sedang diserang.
Terapkan kontrol akses berbasis risiko. Sistem harus mampu mendeteksi pola login yang tidak biasa (misalnya login dari lokasi atau perangkat yang tidak dikenal) dan secara otomatis meminta verifikasi tambahan.
2. Kunci Perangkat dan Sesi
Akses ke aplikasi-aplikasi sensitif harus dibatasi hanya untuk perangkat yang dikelola oleh perusahaan. Ini memastikan bahwa hanya perangkat yang memenuhi standar keamanan (termasuk enkripsi, antivirus, dan firewall) yang dapat mengakses data penting.
Untuk aplikasi-aplikasi administratif, aktifkan IP session binding. Fitur ini memastikan bahwa sesi login hanya valid jika IP address tidak berubah. Jika penyerang mencoba menggunakan session cookie yang dicuri dari IP lain, sesi akan otomatis terputus.
3. Edukasi dan Pelatihan Berkelanjutan
Ajarilah pengguna untuk mengenali tanda-tanda phising yang canggih sekalipun. Meskipun serangan VoidProxy terlihat meyakinkan, tetap ada beberapa tanda yang bisa dikenali, seperti URL yang tidak biasa, atau permintaan mendesak yang tidak masuk akal.
Dorong karyawan untuk melaporkan email atau pesan yang mencurigakan kepada tim IT. Mekanisme pelaporan yang mudah dan aman sangat penting.
Kesimpulan
VoidProxy adalah contoh nyata dari evolusi ancaman siber yang semakin canggih. Ini menunjukkan bahwa serangan phising tidak lagi hanya tentang email dan halaman login palsu.
Penjahat siber kini menggunakan taktik yang lebih kompleks, seperti adversary-in-the-middle dan pencurian session cookie, untuk menghindari pertahanan modern.
Dengan memperkuat sistem autentikasi, menerapkan kontrol akses yang lebih ketat, dan secara berkelanjutan mengedukasi pengguna, organisasi dapat membangun pertahanan yang lebih kuat untuk menghadapi ancaman yang terus berkembang ini. Melawan serangan seperti VoidProxy membutuhkan pendekatan yang proaktif dan berlapis.
Sampai di sini dulu pembahasan artikel tentang hacker kini curi data anda di tengah jalan, semoga informasi yang dibagikan dapat bermanfaat.
Sumber berita:
