Akun Okta SSO Jadi Target Serangan Vishing untuk Pencurian Data
Okta memperingatkan adanya serangan pencurian data berbasis vishing (voice phishing) yang secara aktif menargetkan akun Single Sign-On (SSO) milik pelanggannya. Serangan ini memanfaatkan phishing kit khusus berbasis panggilan suara, yang dirancang untuk mencuri kredensial login Okta secara real-time.
Dalam laporan keamanan terbarunya, Okta mengungkap bahwa phishing kit tersebut diperdagangkan dengan model “as-a-service” dan telah digunakan oleh berbagai kelompok peretas untuk menargetkan penyedia identitas besar seperti Google, Microsoft, dan Okta, serta platform kripto.
Phishing Berbasis Panggilan Suara (Vishing) yang Interaktif
Berbeda dari situs phishing konvensional, kit ini menggunakan pendekatan adversary-in-the-middle yang memungkinkan penyerang berinteraksi langsung dengan korban melalui panggilan telepon. Penyerang dapat mengubah tampilan halaman phishing secara langsung mengikuti alur autentikasi yang sedang berlangsung.
Saat korban memasukkan username dan password ke halaman palsu tersebut, data akan langsung diteruskan ke penyerang. Jika sistem memicu tantangan MFA (Multi-Factor Authentication) seperti push notification atau kode OTP, penyerang dapat menyesuaikan tampilan dialog di halaman phishing agar terlihat sah.
Dengan cara ini, korban kerap tanpa sadar memasukkan kode MFA mereka, yang kemudian digunakan penyerang untuk login ke akun Okta korban secara langsung.
MFA Modern Tetap Bisa Ditembus
Okta mengonfirmasi bahwa metode ini bahkan mampu melewati push-based MFA modern, termasuk fitur number matching. Penyerang cukup mengarahkan korban melalui telepon untuk memilih angka yang benar, sementara halaman phishing menampilkan prompt yang sama secara sinkron.
Setelah berhasil masuk ke dashboard Okta SSO, penyerang dapat melihat seluruh aplikasi perusahaan yang terhubung—mulai dari Microsoft 365, Google Workspace, Salesforce, Slack, hingga Zoom—dan kemudian melakukan pencurian data secara selektif.
Digunakan untuk Pemerasan dan Pencurian Data Perusahaan
Menurut temuan BleepingComputer, serangan ini telah digunakan untuk mencuri data dari perusahaan di sektor fintech, wealth management, dan layanan keuangan. Dalam beberapa kasus, penyerang langsung mengirim email pemerasan setelah eksfiltrasi data selesai.
Beberapa pesan pemerasan bahkan mengatasnamakan ShinyHunters, kelompok pemeras terkenal yang sebelumnya terlibat dalam berbagai kebocoran data besar, termasuk insiden pencurian data Salesforce.
Modus Menyamar sebagai Tim IT Internal
Serangan biasanya dimulai dengan panggilan telepon dari nomor yang dipalsukan menyerupai helpdesk internal perusahaan. Penyerang mengaku sebagai staf IT dan menawarkan bantuan, misalnya membantu mengaktifkan passkey untuk login Okta.
Korban kemudian diarahkan ke situs phishing yang menggunakan nama perusahaan, sering kali dengan kata seperti “internal” atau “my”, sehingga tampak meyakinkan.
Rekomendasi Keamanan dari Okta
Untuk mengurangi risiko, Okta merekomendasikan penggunaan phishing-resistant MFA, seperti:
- Okta FastPass
- FIDO2 security keys
- Passkeys berbasis hardware atau OS
Okta juga menekankan pentingnya edukasi karyawan agar lebih waspada terhadap panggilan telepon yang meminta kredensial, meskipun terlihat berasal dari internal perusahaan.
“Serangan phishing kini semakin canggih dan sulit dibedakan dari komunikasi resmi. Organisasi perlu menerapkan perlindungan teknis sekaligus meningkatkan kesadaran pengguna,” tulis Okta dalam pernyataannya.
