Beritanda.com – Kampanye phishing baru bernama EvilTokens menunjukkan celah serius di Microsoft 365: bahkan sistem keamanan berlapis seperti MFA kini bisa ditembus tanpa mencuri password.
Cara Baru Hacker Menipu, Bukan Membobol
Selama ini, banyak organisasi percaya bahwa Multi-Factor Authentication (MFA) adalah benteng terakhir keamanan digital. Tapi dalam tiga bulan terakhir, asumsi itu mulai runtuh.
Kampanye phishing bertajuk EvilTokens memanfaatkan teknik yang jauh lebih halus: bukan meretas sistem, melainkan memanfaatkan cara kerja resmi Microsoft sendiri.
Alih-alih mencuri password, penyerang hanya perlu membuat korban “login sendiri”—di halaman resmi Microsoft.
Hasilnya? Akses penuh, tanpa alarm.
Step-by-Step: Bagaimana Serangan Ini Bekerja
Teknik yang digunakan dikenal sebagai device code phishing, memanfaatkan fitur sah bernama OAuth device authorization flow.
Secara sederhana, alurnya seperti ini:
- Penyerang membuat kode login resmi dari sistem Microsoft
- Korban menerima email phishing berisi instruksi dan kode tersebut
- Korban masuk ke situs resmi Microsoft dan memasukkan kode
- Korban login seperti biasa, lengkap dengan MFA
- Sistem memberikan token akses—yang diam-diam diambil penyerang
Di titik ini, segalanya sudah terlambat.
Penyerang tidak membutuhkan password, tidak perlu melewati MFA. Mereka cukup “menumpang” sesi login yang sah.
Token yang dicuri bahkan bisa bertahan hingga 90 hari, memberi akses ke:
- Email Outlook
- File di OneDrive
- Percakapan Teams
- Hingga kontrol administratif
Ini membuat serangan sulit dideteksi karena terlihat seperti aktivitas normal pengguna.
Kenapa Ini Lebih Berbahaya dari Phishing Biasa
Phishing klasik biasanya mengandalkan halaman login palsu. Pengguna yang jeli masih bisa mengenali tanda-tandanya—URL aneh, tampilan mencurigakan.
Namun EvilTokens bermain di level berbeda.
Semua terjadi di:
- Situs resmi Microsoft (microsoft.com/devicelogin)
- Dengan proses login yang sah
- Tanpa indikasi teknis adanya pelanggaran
Dengan kata lain, korban tidak merasa sedang diserang.
Lebih mengkhawatirkan lagi, teknik ini mampu:
- Melewati proteksi MFA
- Menghindari deteksi sistem keamanan tradisional
- Memberikan akses jangka panjang tanpa perlu login ulang
Dalam investigasi terbaru, lebih dari 340 organisasi di lima negara telah menjadi korban—mulai dari Amerika Serikat hingga Jerman.
Asia Tenggara Berisiko, Termasuk Malaysia
Meski belum ada laporan serangan spesifik di Malaysia, negara ini masuk dalam radar kelompok siber global seperti APT28 (Fancy Bear).
Artinya, pola serangan seperti EvilTokens berpotensi menyasar kawasan Asia Tenggara dalam waktu dekat.
Apalagi, tren terbaru menunjukkan evolusi serangan phishing semakin canggih:
- Menggunakan AI untuk personalisasi email
- Memanfaatkan HTTPS agar terlihat sah
- Bahkan memakai QR code (quishing) untuk menghindari deteksi
Kombinasi ini membuat batas antara aktivitas “normal” dan “berbahaya” semakin tipis.
Apa yang Harus Diwaspadai Organisasi?
Serangan ini mengubah satu hal penting: keamanan tidak lagi soal password atau MFA saja.
Organisasi perlu mulai beradaptasi dengan pendekatan baru, seperti:
- Membatasi atau menonaktifkan device code flow jika tidak diperlukan
- Menggunakan MFA yang lebih tahan phishing seperti FIDO2 atau passkeys
- Memantau aktivitas token dan akses OAuth secara berkala
- Menerapkan kebijakan akses berbasis perangkat (conditional access)
Selain itu, edukasi pengguna menjadi kunci.
Karena pada akhirnya, serangan ini berhasil bukan karena sistem lemah—melainkan karena pengguna tanpa sadar mengikuti instruksi yang terlihat sah.
Di era ini, pertanyaan bukan lagi “apakah sistem aman”, tapi:
apakah pengguna bisa membedakan mana login yang benar dan mana jebakan?