Image credit: Magnific
Serangan Berlapis yang Sulit Dideteksi – Email phising terus menjadi salah satu metode serangan siber yang paling efektif. Namun, teknik yang digunakan pelaku kini telah berkembang jauh melampaui sekadar mengirim tautan menuju halaman login palsu.
Dalam beberapa bulan terakhir, peneliti keamanan Microsoft mengungkap sejumlah kampanye email phising berskala besar yang menunjukkan perubahan signifikan pada cara pelaku melancarkan serangan.
Email yang dikirim kini tampil lebih profesional, memanfaatkan layanan email yang sah, menggunakan dokumen PDF maupun HTML sebagai umpan, hingga menerapkan mekanisme CAPTCHA untuk menghindari deteksi oleh sistem keamanan otomatis.
Perkembangan ini menunjukkan bahwa email phising telah berevolusi menjadi operasi yang jauh lebih terstruktur, cerdas, dan sulit dikenali dibandingkan beberapa tahun lalu.
Operasi Global Target Puluhan Ribu Organisasi
Pada kuartal pertama 2026, Microsoft Threat Intelligence mendeteksi sekitar 8,3 miliar ancaman phising berbasis email.
Sebagian besar serangan menggunakan tautan berbahaya, sementara sisanya memanfaatkan lampiran HTML, ZIP, SVG, maupun PDF untuk mengelabui korban.
Salah satu kampanye terbesar terjadi pada Maret 2026 ketika lebih dari 1,5 juta email phising dikirim kepada lebih dari 179.000 organisasi di 43 negara.
Email tersebut menyamar sebagai pemberitahuan pembayaran, faktur, dokumen elektronik, hingga notifikasi bisnis yang tampak sah.
Lampiran HTML di dalam email kemudian mengarahkan korban ke beberapa halaman perantara sebelum akhirnya tiba di situs pencurian kredensial.
Tidak lama berselang, Microsoft kembali mengungkap kampanye lain yang menargetkan lebih dari 35.000 pengguna di lebih dari 13.000 organisasi pada 26 negara.
Kali ini pelaku menggunakan tema “code of conduct” atau dugaan pelanggaran kebijakan perusahaan. Korban menerima email yang terlihat seperti komunikasi resmi dari divisi kepatuhan perusahaan, lengkap dengan lampiran PDF berisi penjelasan kasus dan tombol “Review Case Materials”.
|
Baca juga: Strategi Melawan Invasi Malware Android |
Memanfaatkan Layanan Email Resmi
Salah satu perubahan paling mencolok adalah semakin seringnya pelaku memanfaatkan layanan email resmi untuk mengirim pesan phising.
Alih-alih menggunakan domain yang mudah dikenali sebagai berbahaya, pelaku memanfaatkan layanan pengiriman email yang sah sehingga pesan tampak berasal dari infrastruktur terpercaya.
Pendekatan ini meningkatkan peluang email lolos dari penyaringan awal dan membuat korban lebih percaya terhadap isi pesan.
Bagi pengguna, keberadaan alamat pengirim yang terlihat resmi tidak lagi dapat dijadikan satu-satunya indikator bahwa sebuah email aman.
CAPTCHA Digunakan untuk Menghindari Sistem Keamanan
Teknik lain yang semakin banyak digunakan adalah penyisipan halaman CAPTCHA sebelum korban diarahkan ke halaman login palsu.
Sekilas, CAPTCHA memberi kesan bahwa pengguna sedang mengakses layanan resmi. Namun tujuan utamanya justru untuk menghindari analisis otomatis oleh berbagai solusi keamanan email.
Banyak sistem pemindai tautan tidak dapat melewati tahap CAPTCHA sehingga halaman phising baru muncul ketika diakses langsung oleh korban.
Strategi ini membuat proses deteksi menjadi lebih sulit dibandingkan phising tradisional.
Sasaran Bukan Lagi Kata Sandi
Perkembangan lain yang patut diwaspadai adalah perubahan target serangan. Jika sebelumnya pelaku hanya berusaha memperoleh nama pengguna dan kata sandi, kini mereka mulai memburu token autentikasi.
Melalui teknik Adversary-in-the-Middle (AiTM), pelaku dapat mencegat proses autentikasi secara langsung dan memperoleh token sesi yang masih berlaku.
Dengan token tersebut, pelaku dapat mengakses akun korban tanpa perlu mengetahui kata sandi maupun meminta korban melakukan login ulang.
Dalam sejumlah kasus, metode ini bahkan mampu melewati autentikasi multi-faktor (MFA) yang tidak dirancang untuk menghadapi serangan phising.
Hal ini menunjukkan bahwa perlindungan akun tidak cukup hanya mengandalkan kata sandi yang kuat.
|
Baca juga: Adware & Spyware Kuasai Ekosistem Android |
Mengapa Email phising Masih Efektif?
Keberhasilan email phising tidak hanya bergantung pada teknologi, tetapi juga pada rekayasa sosial (social engineering).
Pelaku sengaja menciptakan situasi yang mendorong korban bertindak cepat, seperti:
- Pemberitahuan pembayaran yang tertunda.
- Faktur yang harus segera diperiksa.
- Dugaan pelanggaran kebijakan perusahaan.
- Permintaan persetujuan dokumen.
- Atau notifikasi aktivitas akun yang dianggap mencurigakan.
Dalam kondisi tertekan atau terburu-buru, korban cenderung mengabaikan proses verifikasi dan langsung membuka lampiran atau mengikuti instruksi yang terdapat dalam email.
Langkah Mitigasi
Menghadapi ancaman email phising modern memerlukan pendekatan keamanan yang berlapis. Organisasi sebaiknya menerapkan autentikasi email seperti:
- SPF.
- DKIM.
- DMARC.
- Menggunakan Secure Email Gateway yang mampu menganalisis lampiran maupun URL secara dinamis.
- Serta memanfaatkan solusi Endpoint Detection and Response (EDR) untuk mendeteksi aktivitas mencurigakan setelah email dibuka.
Selain itu, pelatihan kesadaran keamanan bagi karyawan tetap menjadi komponen penting. Pengguna perlu memahami bahwa email dengan tampilan profesional, lampiran PDF yang meyakinkan, atau halaman CAPTCHA bukan jaminan bahwa pesan tersebut berasal dari sumber yang sah.
Melebihi Konvensional
Perkembangan email phising sepanjang tahun 2026 menunjukkan bahwa ancaman ini terus berevolusi. Pelaku memanfaatkan layanan email resmi, halaman CAPTCHA, dokumen yang tampak profesional, hingga teknik pencurian token autentikasi untuk meningkatkan peluang keberhasilan serangan.
Organisasi yang hanya mengandalkan penyaringan email konvensional akan semakin kesulitan menghadapi teknik-teknik baru tersebut.
Oleh karena itu, kombinasi antara teknologi keamanan modern, pemantauan berkelanjutan, dan peningkatan kesadaran pengguna menjadi fondasi utama dalam menghadapi ancaman email phising yang semakin canggih.
Sumber berita:
