Akun Microsoft 365 Jadi Target Gelombang Serangan Phishing OAuth
Gelombang baru serangan phishing dilaporkan menargetkan akun Microsoft 365 dengan memanfaatkan mekanisme otorisasi OAuth melalui device code. Dalam skema ini, pelaku ancaman tidak mencuri kredensial maupun melewati autentikasi multi-faktor (MFA), melainkan menipu korban agar secara tidak sadar memberikan akses ke aplikasi yang dikendalikan penyerang.
Serangan dilakukan dengan mengarahkan korban ke halaman login perangkat resmi milik Microsoft. Di sana, korban diminta memasukkan device code yang telah disiapkan penyerang. Proses tersebut secara efektif memberikan izin akses ke akun Microsoft 365 korban, karena aplikasi berbahaya telah diotorisasi melalui alur OAuth yang sah.
Meski teknik ini bukan hal baru, perusahaan keamanan email Proofpoint mencatat peningkatan signifikan dalam volume serangan sejak September. Kampanye ini melibatkan berbagai aktor ancaman, mulai dari kelompok kriminal bermotif finansial hingga aktor yang berafiliasi dengan negara. Proofpoint menilai maraknya penggunaan alur device code OAuth dalam skala besar sebagai sesuatu yang tidak lazim.
Pola Serangan dan Alat yang Digunakan
Rangkaian serangan yang diamati memiliki variasi kecil, namun seluruhnya berujung pada upaya memancing korban agar memasukkan device code di portal login resmi Microsoft. Dalam beberapa kasus, kode tersebut disamarkan sebagai kata sandi sekali pakai, sementara pada skenario lain diklaim sebagai proses otorisasi ulang token keamanan.
Peneliti mengidentifikasi penggunaan dua kit phishing utama dalam kampanye ini, yakni SquarePhish versi 1 dan 2, serta Graphish. SquarePhish merupakan alat red teaming yang tersedia secara publik dan dirancang untuk menargetkan alur otorisasi OAuth device grant, termasuk melalui kode QR yang meniru mekanisme MFA Microsoft. Sementara itu, Graphish adalah kit phishing berbahaya yang beredar di forum bawah tanah dan mendukung penyalahgunaan OAuth, pendaftaran aplikasi Azure, serta teknik adversary-in-the-middle.
Kampanye yang Teridentifikasi
Proofpoint menyoroti beberapa kampanye utama yang memanfaatkan teknik ini. Salah satunya adalah kampanye bertema bonus gaji, di mana korban dipancing melalui dokumen berbagi dengan branding perusahaan yang disesuaikan secara lokal. Korban kemudian diminta menyelesaikan proses autentikasi aman dengan memasukkan kode tertentu, yang pada akhirnya mengotorisasi aplikasi milik penyerang.
Kampanye lain dikaitkan dengan aktor TA2723, yang sebelumnya dikenal aktif melakukan phishing kredensial dengan menyamar sebagai layanan populer seperti OneDrive, LinkedIn, dan DocuSign. Sejak Oktober, kelompok ini mulai mengadopsi teknik phishing OAuth device code, dengan indikasi penggunaan SquarePhish pada fase awal dan kemungkinan beralih ke Graphish pada gelombang berikutnya.
Selain itu, Proofpoint juga mengamati aktivitas aktor yang diduga berafiliasi dengan Rusia, dilacak sebagai UNK_AcademicFlare. Sejak September 2025, aktor ini memanfaatkan akun email pemerintah dan militer yang telah dikompromikan untuk membangun kepercayaan sebelum mengirim tautan palsu yang menyerupai OneDrive. Target utama kampanye ini mencakup sektor pemerintahan, akademik, lembaga pemikir, dan transportasi di Amerika Serikat serta Eropa.
Rekomendasi Mitigasi
Untuk mengurangi risiko serangan serupa, Proofpoint menyarankan organisasi agar memanfaatkan fitur Microsoft Entra Conditional Access jika memungkinkan. Selain itu, penerapan kebijakan pembatasan asal login juga dinilai penting untuk mempersempit ruang gerak penyerang yang menyalahgunakan alur otorisasi OAuth.
