Phishing Kit Sneaky 2FA: Ancaman Baru bagi Akun Microsoft 365

Peneliti keamanan siber baru-baru ini mengungkap keberadaan phishing kit baru yang mengincar akun Microsoft 365. Phishing kit yang dikenal dengan nama Sneaky 2FA ini menggunakan teknik canggih untuk mencuri kredensial dan kode otentikasi dua faktor (2FA) dengan cara yang sangat licik. Berdasarkan analisis terbaru, kit ini sudah beroperasi sejak setidaknya Oktober 2024 dan mulai menarik perhatian di kalangan pelaku kejahatan siber.

Phishing kit ini pertama kali ditemukan oleh perusahaan keamanan siber asal Prancis, Sekoia, yang mendeteksinya pada bulan Desember 2024. Hingga kini, sekitar 100 domain yang meng-hosting halaman phishing Sneaky 2FA telah teridentifikasi, menunjukkan bahwa kit ini mulai digunakan secara luas oleh para pelaku kejahatan dunia maya. Berdasarkan laporan Sekoia, kit ini dijual sebagai phishing-as-a-service (PhaaS) oleh kelompok siber bernama Sneaky Log, yang menggunakan bot Telegram untuk mengoperasikan layanan mereka.

Modus Operandi Phishing Kit Sneaky 2FA
Cara kerja phishing kit Sneaky 2FA cukup cerdik. Kampanye phishing yang menggunakan kit ini umumnya mengirimkan email palsu yang terlihat seperti bukti pembayaran. Email tersebut berisi tautan ke PDF yang seolah-olah berisi informasi lebih lanjut terkait transaksi. Namun, setelah file tersebut dibuka dan kode QR di dalamnya dipindai, korban akan diarahkan ke halaman phishing yang sangat mirip dengan halaman login Microsoft 365. Halaman ini dirancang untuk mencuri kredensial login dan kode otentikasi dua faktor (2FA) yang digunakan untuk meningkatkan keamanan akun.

Sebagian besar halaman phishing ini dihosting pada situs web yang telah diretas, banyak di antaranya menggunakan platform WordPress dan beberapa domain lainnya yang telah dikuasai oleh penyerang. Untuk membuat halaman phishing tersebut terlihat lebih sah, halaman login palsu ini secara otomatis mengisi alamat email korban pada kolom yang tersedia, sehingga terlihat lebih meyakinkan.

Tak hanya itu, Sneaky 2FA dilengkapi dengan fitur anti-bot dan anti-analisis untuk menghindari deteksi. Kit ini menggunakan teknik-teknik canggih, seperti:

1. Penyaringan Lalu Lintas: Hanya korban yang memenuhi kriteria tertentu yang bisa mengakses halaman phishing.
2. Penggunaan Cloudflare Turnstile: Sebagai langkah proteksi tambahan agar hanya korban yang memenuhi syarat yang diarahkan ke halaman berbahaya.
3. Pemeriksaan menggunakan Alat Pengembang Browser: Untuk mendeteksi upaya analisis yang dilakukan oleh pihak yang mencoba meneliti kit ini lebih lanjut.

Sneaky 2FA juga mengarahkan pengguna yang menggunakan VPN, proxy, atau server data center ke halaman Wikipedia yang berhubungan dengan Microsoft menggunakan layanan redirect href[.]li. Hal ini menyebabkan para peneliti dari TRAC Labs menamai fenomena ini dengan sebutan WikiKit.

Teknik Manipulasi Visual yang Cerdik
Sneaky 2FA juga menggunakan teknik manipulasi visual untuk menipu korban. Halaman phishing ini memiliki gambar latar belakang yang buram, yang diambil dari screenshot interface Microsoft yang sah. Tujuan dari teknik ini adalah untuk membuat pengguna percaya bahwa mereka perlu login untuk membuka konten yang tersembunyi di balik gambar buram tersebut. Dengan cara ini, korban akan lebih cenderung untuk memasukkan kredensial dan kode 2FA mereka.

Licensing dan Model Bisnis
Peneliti Sekoia juga menemukan bahwa Sneaky 2FA beroperasi dengan model lisensi berlangganan. Kit ini hanya dapat digunakan oleh pelanggan yang memiliki kunci lisensi yang valid. Hal ini menunjukkan bahwa hanya pelanggan yang membayar $200 per bulan yang dapat menggunakan layanan ini untuk melancarkan serangan phishing. Kit ini juga diiklankan sebagai layanan phishing-as-a-service (PhaaS), yang memberi akses kepada para pelaku kejahatan siber untuk melakukan serangan phishing secara mandiri.

Kaitan dengan Sindikat Phishing Lainnya
Sneaky 2FA tampaknya juga memiliki kaitan dengan sindikat phishing lama yang dikenal dengan nama W3LL Store. W3LL Store sebelumnya diungkap oleh perusahaan keamanan Group-IB pada September 2023, yang mengoperasikan phishing kit bernama W3LL Panel. Kit ini digunakan untuk melakukan serangan Business Email Compromise (BEC) dan berbagai serangan lainnya.
Ada dugaan bahwa Sneaky 2FA menggunakan sebagian kode sumber dari W3LL Panel, karena ada kemiripan dalam cara kit ini melakukan serangan menggunakan teknik adversary-in-the-middle (AitM). Bahkan, seperti W3LL Panel, Sneaky 2FA juga mengharuskan pengecekan berkala dengan server pusat untuk memverifikasi lisensi dan memastikan bahwa hanya pelanggan yang terverifikasi yang dapat menggunakannya.

Namun, meskipun ada kesamaan, Grégoire Clermont, peneliti dari Sekoia, menjelaskan bahwa Sneaky 2FA bukanlah penerus W3LL Panel. “Sneaky 2FA adalah kit baru yang memanfaatkan sedikit kode dari W3LL OV6. Kode tersebut cukup mudah didapatkan oleh pelanggan, yang menerima arsip kode yang telah dikaburkan,” jelas Clermont.

Risiko dan Pencegahan yang Harus Dilakukan
Dengan meningkatnya penggunaan Sneaky 2FA, ancaman terhadap keamanan akun Microsoft 365 semakin besar. Para pelaku kejahatan siber yang menggunakan phishing kit ini berusaha mendapatkan kredensial login dan kode otentikasi dua faktor (2FA) untuk mengakses akun korban. Oleh karena itu, sangat penting bagi pengguna untuk waspada dan melakukan tindakan pencegahan berikut:

1. Hati-hati dengan Email Palsu: Jangan langsung membuka email yang mencurigakan, terutama yang berisi lampiran atau tautan yang tidak dikenal.
2. Gunakan Autentikasi Multifaktor (MFA): Selain 2FA, lebih baik menggunakan kunci keamanan fisik atau perangkat keras yang lebih sulit untuk dibobol.
3. Periksa URL: Pastikan bahwa URL yang digunakan untuk login adalah URL resmi dari Microsoft. Jangan pernah memasukkan kredensial di situs yang tidak dikenal.
4. Gunakan Software Keamanan: Memasang perangkat lunak keamanan yang dapat mendeteksi aktivitas phishing dan malware bisa sangat membantu.

Dengan langkah-langkah pencegahan yang tepat, pengguna dapat mengurangi risiko menjadi korban serangan phishing yang menggunakan Sneaky 2FA atau phishing kit lainnya. Keamanan akun digital semakin penting, dan kewaspadaan serta perlindungan tambahan adalah kunci untuk melindungi data pribadi kita dari ancaman dunia maya yang semakin canggih.