Peretas Targetkan Akun Microsoft Entra Lewat Serangan Vishing Device Code

Pelaku ancaman siber kini menargetkan organisasi di sektor teknologi, manufaktur, dan keuangan melalui kampanye gabungan device code phishing dan voice phishing (vishing) untuk membobol akun Microsoft Entra.

Alih-alih menggunakan aplikasi OAuth berbahaya seperti pada serangan sebelumnya, kampanye terbaru ini memanfaatkan client ID OAuth resmi milik Microsoft serta alur autentikasi OAuth 2.0 Device Authorization yang sah untuk menipu korban agar melakukan login.

Pendekatan ini memungkinkan penyerang memperoleh token autentikasi yang valid tanpa perlu mencuri kata sandi atau mencegat kode multi-factor authentication (MFA) melalui situs phishing tradisional.

Penyalahgunaan Alur Device Authorization

Alur Device Authorization awalnya dirancang untuk memudahkan login pada perangkat dengan keterbatasan input, seperti smart TV, printer, perangkat IoT, atau perangkat streaming.

Dalam skema normal, perangkat akan menampilkan kode singkat dan meminta pengguna membuka halaman login di perangkat lain, lalu memasukkan kode tersebut. Setelah pengguna berhasil login dan menyelesaikan MFA, perangkat akan terhubung ke akun tanpa pernah menangani kata sandi secara langsung.

Dalam serangan device code phishing, pelaku terlebih dahulu menghasilkan device_code dan user_code menggunakan client_id dari aplikasi OAuth yang sah—baik milik mereka sendiri maupun aplikasi resmi Microsoft.

Pelaku kemudian menghubungi target melalui panggilan telepon (vishing) dan meyakinkan korban untuk memasukkan user_code tersebut ke halaman login resmi Microsoft di microsoft.com/devicelogin.

Karena proses berlangsung di domain resmi Microsoft, korban tidak mencurigai adanya aktivitas berbahaya. Setelah login dan menyelesaikan MFA, korban secara tidak sadar memberikan izin aplikasi OAuth untuk mengakses akunnya.

Token Sah Tanpa Perlu MFA Ulang

Setelah aplikasi OAuth terhubung ke akun korban, penyerang dapat menggunakan device_code untuk mengambil refresh token, yang kemudian ditukar menjadi access token.

Access token ini memungkinkan pelaku mengakses layanan Microsoft Entra dan berbagai aplikasi SaaS yang terhubung melalui single sign-on (SSO), seperti Microsoft 365, Salesforce, Google Workspace, Slack, hingga SAP—tanpa perlu melewati MFA lagi karena autentikasi sudah dilakukan sebelumnya oleh korban.

Metode ini membuat serangan lebih sulit dideteksi karena seluruh proses menggunakan infrastruktur login resmi Microsoft.

Sejumlah sumber menyebut kelompok pemeras data ShinyHunters berada di balik kampanye ini, meski belum ada konfirmasi independen terkait klaim tersebut.

Kampanye Serupa Teridentifikasi

KnowBe4 Threat Labs juga melaporkan kampanye lain yang memanfaatkan email phishing tradisional untuk mengarahkan korban ke skema device code authentication.

Umpan yang digunakan mencakup notifikasi konfigurasi pembayaran palsu, peringatan berbagi dokumen, hingga pesan voicemail fiktif. Setelah korban diarahkan ke halaman login resmi, mekanisme device code yang sama dimanfaatkan untuk memperoleh token akses.

Metode device code phishing sendiri bukan hal baru. Pada Februari 2025, Microsoft Threat Intelligence Center telah memperingatkan bahwa peretas Rusia menggunakan teknik serupa untuk menargetkan akun Microsoft 365.

Langkah Mitigasi

Untuk mengurangi risiko, administrator disarankan:

• Menonaktifkan opsi device code flow jika tidak diperlukan
• Menerapkan kebijakan conditional access yang ketat
• Meninjau dan mencabut izin aplikasi OAuth yang mencurigakan
• Memeriksa log Azure AD untuk aktivitas autentikasi device code
• Memblokir domain dan alamat pengirim phishing yang teridentifikasi

Serangan ini menunjukkan bahwa meskipun mekanisme autentikasi modern seperti OAuth dan MFA dirancang untuk meningkatkan keamanan, penyalahgunaan alur resmi melalui rekayasa sosial tetap menjadi ancaman serius bagi organisasi.