Multi-Factor Authentication (MFA) telah lama menjadi standar emas dalam perlindungan akun dari serangan phishing. Namun, laporan terbaru dari tim Cisco Talos mengungkap bahwa pelaku kejahatan siber kini berhasil menembus lapisan keamanan ini melalui teknik Adversary-in-the-Middle (AiTM) berbasis reverse proxy.

Serangan ini menjadi bagian dari tren phishing canggih yang tidak hanya mencuri kredensial, tetapi juga mengambil cookie otentikasi yang valid, bahkan setelah pengguna menyelesaikan proses MFA.

Berbeda dengan metode phishing konvensional yang hanya membuat halaman login palsu, serangan AiTM menempatkan server penyerang sebagai perantara antara korban dan situs asli. Prosesnya sebagai berikut:

1. Korban menerima email phishing dan mengklik tautan berbahaya.
2. Tautan tersebut mengarahkan korban ke server reverse proxy milik penyerang.
3. Server tersebut meneruskan permintaan ke situs asli, menciptakan pengalaman login yang tampak sah.
4. Saat korban memasukkan username dan password, kredensial tersebut langsung disalin oleh penyerang.
5. Situs asli memicu permintaan MFA kepada korban.
6. Setelah korban menyetujui MFA, cookie otentikasi yang dikirim situs asli ikut terintersep oleh penyerang.

Dengan kredensial dan token MFA yang sah, penyerang pun mendapatkan akses penuh ke akun, tanpa perlu melakukan autentikasi ulang.

Baca Juga: Ekosistem Ransomware Kian Terfragmentasi, Tapi Taktik Serangan Makin Canggih

Cisco Talos mencatat bahwa Phishing-as-a-Service (PhaaS) telah merajalela, menurunkan ambang teknis untuk menjalankan serangan canggih. Toolkit seperti:

• Tycoon 2FA
• Rockstar 2FA
• Evilproxy

Toolkit ini menyediakan solusi “plug and play” bagi pelaku kejahatan siber, memungkinkan mereka melakukan bypass MFA hanya dengan sedikit atau tanpa pengetahuan teknis mendalam.

Setelah berhasil membobol MFA, penyerang seringkali menambahkan perangkat MFA mereka sendiri ke akun korban. Ini berarti bahkan jika kata sandi diubah, pelaku tetap bisa mempertahankan akses jangka panjang ke sistem.

Target serangan ini sangat luas dari individu hingga perusahaan besar terutama yang masih menggunakan sistem MFA berbasis kode atau push notification.

Pakar keamanan menyarankan penggunaan WebAuthn sebagai alternatif yang lebih aman. Teknologi ini:

• Menggunakan kriptografi kunci publik
• Mengikat kredensial ke asal situs web tertentu
• Kebal terhadap serangan berbasis proxy

WebAuthn mampu menghentikan AiTM karena otentikasi hanya bisa dilakukan jika permintaan berasal langsung dari domain resmi.

Meskipun MFA tetap penting, laporan ini menjadi pengingat bahwa tidak ada sistem yang sepenuhnya kebal terhadap eksploitasi. Seiring evolusi taktik serangan, organisasi perlu terus mengembangkan strategi keamanan termasuk mengganti solusi MFA yang rentan dan meningkatkan edukasi karyawan soal risiko phishing.