Pass-the-Cookie: Cara Hacker Lewati MFA Tanpa Password


Ilustrasi Cyber Security

Ilustrasi Cyber Security

Di era komputasi awan (cloud computing), penggunaan autentikasi multifaktor atau Multi-Factor Authentication (MFA) telah menjadi standar keamanan bagi perusahaan maupun pengguna individu. Banyak orang menganggap bahwa setelah MFA diaktifkan, akun digital akan terlindungi sepenuhnya dari upaya peretasan.

Sayangnya, anggapan tersebut tidak sepenuhnya benar. Dalam beberapa tahun terakhir, penjahat siber semakin sering menggunakan teknik yang disebut pass-the-cookie, sebuah metode serangan yang mampu melewati MFA tanpa harus mengetahui kata sandi korban.

Teknik ini menjadi ancaman serius karena memanfaatkan kelemahan pada mekanisme sesi login, bukan pada proses autentikasi itu sendiri. Akibatnya, akun yang telah diamankan dengan MFA tetap berisiko diambil alih apabila cookie sesi berhasil dicuri.

Lalu, apa sebenarnya pass-the-cookie, bagaimana cara kerjanya, mengapa teknik ini sangat berbahaya, dan bagaimana cara mencegahnya?

 

Apa Itu Pass-the-Cookie?

Pass-the-cookie adalah teknik session hijacking yang dilakukan dengan mencuri cookie sesi dari browser pengguna. Cookie tersebut kemudian digunakan kembali oleh penyerang untuk menyamar sebagai pengguna yang telah berhasil login.

Dalam serangan ini, kata sandi tidak lagi menjadi target utama. Bahkan, penyerang juga tidak perlu melewati proses MFA karena aplikasi menganggap cookie yang digunakan masih sah dan berasal dari pengguna yang telah berhasil melakukan autentikasi.

Sederhananya, cookie sesi berfungsi layaknya kartu identitas sementara yang diberikan aplikasi kepada pengguna setelah berhasil login. Selama kartu identitas tersebut masih berlaku, pengguna tidak perlu terus-menerus memasukkan nama pengguna, kata sandi, maupun kode MFA.

Masalahnya, apabila kartu identitas digital ini jatuh ke tangan penjahat siber, mereka dapat menggunakannya untuk memperoleh akses yang sama seperti pemilik akun asli.

 

Mengapa Cookie Sesi Sangat Penting?

Ketika pengguna masuk ke layanan cloud seperti Microsoft 365, Google Workspace, Salesforce, atau aplikasi SaaS lainnya, browser akan menyimpan cookie sesi. Cookie ini berisi informasi yang menyatakan bahwa pengguna telah berhasil melewati proses autentikasi.

Berkat cookie tersebut, pengguna dapat berpindah halaman, membuka email, mengakses dokumen, atau menggunakan berbagai layanan tanpa harus login ulang setiap beberapa menit. Mekanisme ini dirancang untuk meningkatkan kenyamanan pengguna. Namun di sisi lain, cookie sesi juga menjadi aset yang sangat berharga bagi penyerang.

Jika cookie berhasil dicuri, aplikasi tidak dapat membedakan apakah permintaan akses berasal dari pemilik akun atau dari penjahat siber yang menggunakan cookie tersebut. Akibatnya, sistem langsung memberikan akses tanpa meminta kata sandi maupun kode MFA.

 

Bagaimana Cara Kerja Serangan Pass-the-Cookie?

Secara umum, serangan pass-the-cookie berlangsung melalui tiga tahapan utama.

  1. Pencurian Cookie
    Tahap pertama adalah memperoleh cookie sesi milik korban. Ada beberapa cara yang paling sering digunakan penyerang.

    • Menggunakan malware infostealer
      Infostealer merupakan malware yang memang dirancang untuk mencuri data yang tersimpan di komputer korban, termasuk nama pengguna, kata sandi, token autentikasi, dan cookie browser. Beberapa malware terkenal yang memiliki kemampuan ini antara lain Raccoon Stealer, RedLine, Lumma, dan Vidar.

      Korban cukup membuka lampiran email berbahaya, mengunduh aplikasi palsu, atau mengunjungi situs web yang telah disusupi malware. Setelah itu, seluruh cookie sesi yang tersimpan di browser dapat dicuri tanpa disadari.

    • Menggunakan phishing Adversary-in-the-Middle (AiTM)
      Teknik AiTM bekerja dengan menempatkan server penyerang di antara korban dan halaman login resmi. Korban tetap melihat halaman login yang tampak asli dan bahkan berhasil melewati proses MFA seperti biasa.

      Namun selama proses tersebut berlangsung, server milik penyerang diam-diam menangkap cookie sesi yang dikirimkan setelah autentikasi berhasil.Saat ini, alat seperti Evilginx membuat teknik AiTM menjadi lebih mudah digunakan bahkan oleh pelaku yang tidak memiliki kemampuan teknis tingkat tinggi.

    • Memanfaatkan celah Cross-Site Scripting (XSS)
      Walaupun sudah semakin jarang terjadi pada layanan SaaS modern, aplikasi web yang memiliki celah XSS masih dapat dimanfaatkan untuk menjalankan skrip berbahaya yang mencuri cookie dari browser pengguna.

  2. Menggunakan Kembali Cookie
    Setelah mendapatkan cookie sesi, penyerang cukup mengimpornya ke browser mereka menggunakan Developer Tools atau ekstensi tertentu. Tidak ada proses yang rumit.

    Begitu cookie tersebut aktif, browser penyerang akan dianggap sebagai browser milik korban. Karena cookie masih valid, aplikasi langsung memberikan akses tanpa meminta autentikasi ulang.

  3. Mengambil Alih Akun
    Tahap terakhir merupakan bagian yang paling berbahaya. Setelah berhasil masuk, penyerang dapat melakukan berbagai aktivitas seolah-olah mereka adalah pemilik akun. Beberapa tindakan yang sering dilakukan antara lain:

    • membaca email perusahaan;
    • membuat aturan otomatis untuk meneruskan email ke alamat penyerang;
    • mencari percakapan terkait keuangan;
    • mencuri dokumen dari SharePoint atau OneDrive;
    • mengubah hak akses pengguna;
    • membuat akun administrator baru;
    • menggunakan akun korban untuk masuk ke aplikasi lain yang saling terhubung.

    Dalam kasus Business Email Compromise (BEC), penyerang bahkan dapat mengirim permintaan transfer dana palsu hanya dalam hitungan jam setelah memperoleh akses.

 

Mengapa Pass-the-Cookie Sangat Berbahaya?

Berbeda dengan serangan tradisional yang mencoba menebak atau mencuri kata sandi, pass-the-cookie menyerang setelah proses login selesai. Artinya, seluruh mekanisme keamanan yang berada di depan proses autentikasi telah berhasil dilewati oleh pengguna asli.

Penyerang hanya memanfaatkan bukti bahwa autentikasi tersebut pernah berhasil dilakukan. Inilah yang membuat teknik ini sangat efektif. Selama cookie masih berlaku, sistem akan menganggap penyerang sebagai pengguna yang sah.

Bahkan dalam banyak kasus, aktivitas mereka tampak seperti aktivitas normal sehingga sulit dibedakan dengan pengguna sebenarnya. Ada beberapa faktor yang membuat pass-the-cookie semakin sering digunakan.

  1. MFA Kini Sudah Menjadi Standar
    Karena hampir semua perusahaan telah menerapkan MFA, penjahat siber mulai mengubah strategi. Daripada berusaha membobol MFA, mereka memilih mencuri hasil autentikasi berupa cookie sesi. Pendekatan ini jauh lebih efektif dibandingkan mencoba menebak kata sandi atau mencuri kode OTP.

  2. Infostealer Semakin Mudah Didapat
    Kini tersedia layanan Malware-as-a-Service (MaaS) yang memungkinkan siapa pun menyewa malware pencuri cookie dengan biaya relatif murah. Artinya, ancaman ini tidak lagi hanya berasal dari kelompok peretas tingkat tinggi, tetapi juga dapat dilakukan oleh pelaku kriminal siber biasa.

  3. Aplikasi Cloud Menyimpan Banyak Data Penting
    Satu sesi login Microsoft 365 dapat memberikan akses ke Outlook, Teams, SharePoint, OneDrive, Microsoft Entra ID, hingga berbagai aplikasi SaaS yang terhubung. Dengan satu cookie saja, penyerang dapat memperoleh akses ke hampir seluruh ekosistem digital perusahaan.

  4. Token Sesi Berlaku Lama
    Banyak aplikasi menggunakan refresh token yang memungkinkan sesi tetap aktif selama beberapa hari bahkan berminggu-minggu. Jika tidak ada pemantauan terhadap aktivitas login, penyerang dapat menggunakan cookie tersebut dalam waktu yang cukup lama tanpa terdeteksi.

 

Aplikasi yang Menjadi Target

Pada dasarnya, semua aplikasi berbasis cloud yang menggunakan autentikasi melalui cookie dapat menjadi sasaran. Namun, beberapa layanan memiliki nilai yang jauh lebih tinggi bagi penyerang.

Microsoft 365 menjadi target utama karena memberikan akses ke email, Teams, SharePoint, OneDrive, dan layanan identitas Microsoft Entra ID. Google Workspace juga sangat menarik karena membuka akses ke Gmail, Google Drive, Google Docs, dan berbagai aplikasi pihak ketiga.

Selain itu, platform seperti Salesforce menyimpan data pelanggan dan informasi bisnis yang sangat bernilai, sedangkan sistem HR maupun payroll dapat dimanfaatkan untuk mengubah data rekening gaji secara ilegal.

Portal VPN dan layanan akses jarak jauh juga sering menjadi sasaran karena dapat menjadi pintu masuk menuju jaringan internal perusahaan.

 

Bagaimana Cara Mendeteksi Pass-the-Cookie?

Walaupun pencurian cookie berlangsung secara diam-diam, penggunaan kembali cookie biasanya meninggalkan sejumlah jejak digital. Tim keamanan perlu memperhatikan beberapa indikator berikut.

  • Pertama, munculnya login dari perangkat atau browser yang belum pernah digunakan oleh pengguna.
  • Kedua, login berasal dari alamat IP, negara, atau wilayah yang tidak biasa.
  • Ketiga, terdapat pembuatan aturan otomatis untuk meneruskan email ke alamat eksternal segera setelah login berhasil.
  • Keempat, muncul peringatan login berisiko dari Microsoft Entra ID atau penyedia identitas lainnya.
  • Kelima, autentikasi berhasil dilakukan, tetapi perangkat yang digunakan tidak sesuai dengan daftar perangkat resmi perusahaan.

Masing-masing indikator tersebut mungkin terlihat biasa jika berdiri sendiri. Namun apabila dikorelasikan dengan data endpoint, email, dan log identitas, pola serangan dapat terlihat dengan lebih jelas.

Inilah alasan mengapa banyak organisasi mengandalkan Security Operations Center (SOC) dan sistem Security Information and Event Management (SIEM) untuk mendeteksi aktivitas mencurigakan secara real-time.

 

Cara Mencegah Serangan Pass-the-Cookie

Tidak ada satu solusi yang mampu menghentikan serangan ini sepenuhnya. Pendekatan yang paling efektif adalah menerapkan keamanan berlapis atau defense-in-depth.

Langkah pertama adalah mempersempit permukaan serangan. Organisasi sebaiknya mengaktifkan Continuous Access Evaluation (CAE) agar token sesi dapat dicabut secara real-time ketika ditemukan aktivitas mencurigakan.

Selain itu, akses ke aplikasi penting sebaiknya hanya diperbolehkan dari perangkat yang dikelola perusahaan dan memenuhi standar keamanan tertentu. Penggunaan metode autentikasi yang tahan terhadap phishing, seperti passkey atau hardware security key, juga sangat disarankan karena dapat mengurangi keberhasilan serangan AiTM.

Langkah berikutnya adalah meningkatkan kemampuan deteksi. Log login harus dipantau secara terus-menerus, baik untuk login yang gagal maupun login yang berhasil tetapi menunjukkan perilaku tidak biasa.

Organisasi juga perlu membuat aturan peringatan untuk mendeteksi login dari perangkat baru, login dari lokasi yang tidak mungkin ditempuh dalam waktu singkat (impossible travel), perubahan aturan inbox, serta aktivitas identitas yang mencurigakan.

Selain itu, tim keamanan harus memiliki prosedur respons insiden yang jelas. Jika terdapat dugaan akun telah dikompromikan, pencabutan seluruh sesi aktif sebaiknya menjadi tindakan pertama sebelum melakukan langkah investigasi lainnya.

Terakhir, organisasi perlu mengurangi dampak apabila cookie berhasil dicuri. Caranya adalah dengan memperpendek masa berlaku token sesi sesuai tingkat risiko, menerapkan prinsip least privilege agar pengguna hanya memiliki akses yang benar-benar diperlukan, serta memberikan pelatihan keamanan siber secara berkala kepada seluruh karyawan.

Edukasi mengenai email phishing, halaman login palsu, dan teknik Adversary-in-the-Middle sangat penting karena sebagian besar serangan pass-the-cookie masih bergantung pada keberhasilan menipu pengguna agar menyerahkan informasi autentikasi mereka.

 

Kesimpulan

Pass-the-cookie menunjukkan bahwa keamanan akun tidak hanya bergantung pada kekuatan kata sandi atau keberadaan MFA. Setelah proses autentikasi selesai, cookie sesi menjadi aset yang sama pentingnya karena berfungsi sebagai bukti bahwa pengguna telah berhasil login.

Jika cookie tersebut berhasil dicuri, penyerang dapat memperoleh akses ke berbagai layanan cloud tanpa perlu mengetahui kata sandi maupun melewati MFA.

Oleh karena itu, organisasi perlu menerapkan strategi keamanan yang lebih menyeluruh, mulai dari melindungi endpoint, memantau aktivitas identitas, memperpendek masa berlaku sesi, hingga meningkatkan kesadaran keamanan seluruh pengguna. Dengan kombinasi teknologi, pemantauan yang berkelanjutan, dan edukasi pengguna, risiko serangan pass-the-cookie dapat diminimalkan secara signifikan.

Bagikan artikel ini

Komentar ()

Video Terkait