Image credit: Freepix
Sneaky2FA Jebol 2FA dengan Trik Visual – Serangan phising terus berevolusi, beralih dari pesan yang mudah dikenali menjadi jebakan siber yang hampir mustahil dibedakan dari laman asli.
Salah satu inovasi berbahaya terbaru datang dari phishing as a service (PhaaS platform yang menjual perangkat penipuan bernama Sneaky2FA.
Kit ini kini telah menambahkan kemampuan Browser in the Browser (BitB), sebuah taktik visual yang sangat menipu, digunakan untuk mencuri kredensial dan sesi aktif akun Microsoft 365 meskipun korban telah mengaktifkan Two-Factor Authentication (2FA).
Phising Generasi Terbaru Canggih dan Siap Pakai
Sneaky2FA, bersama dengan kit populer lain seperti Tycoon2FA dan Mamba2FA, adalah bagian dari ekosistem PhaaS yang memampukan siapa saja, tanpa keahlian teknis tinggi, untuk meluncurkan serangan siber berskala besar.
Target utama mereka adalah akun perusahaan, terutama Microsoft 365, karena memberikan akses ke email, cloud, dan jaringan internal.
Sebelumnya, Sneaky2FA sudah dikenal karena taktik Attacker in the Middle (AiTM):
Cara Kerja AiTM: Penyerang menempatkan halaman phishing sebagai perantara (proxy) antara korban dan layanan yang sah (misalnya Microsoft).
Ketika korban memasukkan kredensial dan melewati proses 2FA, kit tersebut secara real-time menangkap kredensial dan, yang lebih penting, token sesi yang valid, yang kemudian digunakan penyerang untuk masuk ke akun korban.
|
Baca juga: Phising Penipuan Kontekstual |
Browser in the Browse (BitB)
Untuk menyempurnakan taktik AiTM mereka, Sneaky2FA kini mengadopsi teknik BitB, sebuah konsep phising yang pertama kali dirancang oleh peneliti pada tahun 2022.
Bagaimana BitB Menipu Korban?
BitB menciptakan jendela pop-up browser palsu di dalam jendela browser yang sebenarnya sedang digunakan korban.
Tujuannya adalah meniru jendela otentikasi OAuth yang sering muncul ketika Anda mencoba login atau menghubungkan akun ke layanan pihak ketiga (misalnya, login ke aplikasi menggunakan akun Google atau Microsoft Anda).
- Imitasi Sempurna: Pop-up palsu ini adalah iframe (elemen HTML yang memuat konten lain) yang dirancang agar persis seperti jendela login Microsoft yang sah.
- Bilah URL Palsu: Yang membuatnya sangat meyakinkan adalah pop-up palsu ini menampilkan bilah URL dengan alamat domain resmi layanan yang ditargetkan (misalnya, login.microsoft.com). Korban melihat URL resmi dan secara otomatis menganggap pop-up itu aman.
- Adaptif terhadap Perangkat: Penipuan ini disempurnakan lagi: halaman sign-in palsu ini menyesuaikan secara dinamis dengan sistem operasi (OS) dan jenis browser korban. Misalnya, ia akan meniru gaya bilah URL Edge di Windows atau Safari di macOS.
Dalam serangan Sneaky2FA, korban mengklik tautan phishing (misalnya, untuk melihat dokumen di situs palsu). Setelah melewati pemeriksaan bot sederhana (seperti Cloudflare Turnstile, yang ironisnya menambah kesan legitimasi), mereka diminta untuk “Masuk dengan Microsoft”. Saat opsi ini diklik, jendela BitB palsu yang tampak sangat otentik pun muncul.
Otentikasi Tercuri Meskipun Ada 2FA
Di dalam pop-up BitB palsu tersebut, Sneaky2FA memuat halaman phishing reverse-proxy AiTM-nya. Korban memasukkan username dan password, dan saat mereka menyetujui push notification 2FA (karena mereka percaya sedang berinteraksi dengan Microsoft yang sah), kit Sneaky2FA menangkap token sesi yang telah divalidasi oleh 2FA.
Intinya: BitB hanyalah lapisan penipuan kosmetik yang sangat realistis yang diletakkan di atas kemampuan AiTM yang sudah ada. Ini membuat seluruh rantai serangan menjadi jauh lebih sulit dideteksi oleh mata manusia.
|
Baca juga: Dominasi Phising Serangan Multi Saluran |
Taktik Penghindaran Deteksi yang Canggih
Situs phising ini tidak hanya menipu pengguna, tetapi juga dirancang untuk menghindari deteksi dari alat pemindaian keamanan:
- Penyembunyian Kode (Obfuscation): Kode HTML dan JavaScript dari halaman Sneaky2FA di-obfuscate (disamarkan) secara ekstrem untuk menghindari deteksi statis dan pencocokan pola.
- Pengalihan Bot: Kit ini menggunakan conditional loading, yang berarti bot dan peneliti diarahkan ke halaman yang tidak berbahaya, sementara korban manusia diarahkan ke jebakan.
Penyembunyian dilakukan dengan memecah teks antarmuka pengguna dengan tag tidak terlihat, menyematkan elemen sebagai gambar yang dienkode daripada teks semua perubahan yang tidak terlihat oleh pengguna, tetapi membuat alat pemindaian sulit untuk mengidentifikasi halaman tersebut sebagai phising.
Cara Membedakan Pop-up Asli dan Palsu
Mengingat betapa canggihnya serangan BitB, Anda harus mengandalkan karakteristik mendasar dari browser asli:
- Pop-up palsu yang menggunakan iframe tidak dapat diseret ke luar jendela browser induknya, ia terikat di dalamnya. Jendela pop-up otentik (asli) dari browser adalah instans browser terpisah yang dapat Anda seret ke mana pun di layar Anda.
- Jendela pop-up yang sah akan muncul di taskbar (bilah tugas) sistem operasi Anda sebagai instans browser terpisah. Jendela BitB palsu tidak akan muncul di taskbar karena ia hanyalah bagian dari halaman web yang sedang Anda buka.
Gunakan MFA Anti Phising, solusi terbaik adalah beralih ke Multi-Factor Authentication (MFA) generasi berikutnya berbasis hardware.
Solusi ini secara kriptografis mengikat otentikasi ke domain yang sah, sehingga mustahil bagi proxy seperti Sneaky2FA untuk berfungsi.
Waspada terhadap pop-up mendadak saat Anda berada di halaman yang tidak biasa, dan selalu gunakan dua metode terakhir di atas untuk memverifikasi keaslian jendela login sebelum Anda memasukkan informasi apa pun.
Sumber berita:
