Platform Phishing-as-a-Service (PhaaS) terkenal, Tycoon2FA, dilaporkan telah bangkit kembali dengan infrastruktur baru dan taktik yang jauh lebih berbahaya. Meskipun operasi mereka sempat dilumpuhkan dalam aksi penegakan hukum global yang dipimpin oleh Europol dan Microsoft pada Maret 2026, para operator kit ini berhasil membangun ulang sistem mereka dalam hitungan minggu.
Berdasarkan laporan terbaru dari firma keamanan eSentire dan Abnormal Security, Tycoon2FA kini memperluas operasinya dengan mengadopsi teknik OAuth 2.0 Device Code Phishing untuk membajak akun Microsoft 365 tanpa perlu mencuri kata sandi pengguna.
Mekanisme Serangan: Memanfaatkan Fitur Otentikasi Resmi
Berbeda dengan serangan Adversary-in-the-Middle (AitM) tradisional yang biasa digunakan Tycoon2FA untuk mencuri cookie sesi, metode baru ini mengeksploitasi alur otentikasi perangkat (device authorization grant flows) yang sah milik Microsoft.
1. Jebakan Email & Kamuflase Trustifi
- Serangan dimulai dengan email phishing bertema tagihan (invoice) atau pesan suara (voicemail).
- Email tersebut memuat URL pelacak klik (click-tracking) dari Trustifi, sebuah platform keamanan email legal. Penyerang menyalahgunakan reputasi bersih ( reputation abuse) dari tautan Trustifi ini semata-mata untuk melewati gerbang filter email (email gateways) korporat tanpa memicu alarm keamanan.
2. Rantai Pengiriman Berlapis
- Setelah korban mengklik tautan, mereka akan dibawa melewati rantai pengalihan 4 lapis di dalam peramban, termasuk memanfaatkan Cloudflare Workers dan skrip JavaScript yang di-obfuskasi pekat.
- Korban kemudian akan mendarat di halaman CAPTCHA palsu yang menyerupai antarmuka Microsoft.
3. Proses “Device Login”
- Di balik layar, backend Tycoon2FA menghubungi server resmi Microsoft untuk meminta kode otentikasi perangkat baru (device_code).
- Halaman phishing kemudian menampilkan kode tersebut dan menginstruksikan korban untuk menyalinnya, lalu mengarahkan mereka ke halaman login resmi di
[microsoft.com/devicelogin](https://microsoft.com/devicelogin). - Korban memasukkan kode tersebut dan menyelesaikan proses Multi-Factor Authentication (MFA) pada perangkat mereka sendiri karena mengira ini adalah prosedur verifikasi resmi.
4. Pengambilalihan Akun Total
- Begitu korban memberikan persetujuan (consent), Microsoft akan menerbitkan OAuth access token dan refresh token langsung ke perangkat yang dikendalikan oleh penyerang.
- Penyerang menyamarkan perangkat mereka sebagai Microsoft Authentication Broker (aplikasi pihak pertama Microsoft). Di dalam log Entra perusahaan, aktivitas ini akan terlihat sepenuhnya legal, padahal penyerang kini memiliki akses tanpa batas ke Outlook, OneDrive, SharePoint, dan data sensitif lainnya.
Sistem Pertahanan Kit yang Agresif
Laporan dari eSentire menyebutkan bahwa Tycoon2FA dilengkapi dengan mekanisme anti-analisis yang sangat canggih untuk mengelabui para peneliti keamanan dan bot pemindai otomatis. Kit ini mampu mendeteksi lingkungan uji coba seperti Selenium, Puppeteer, Playwright, hingga Burp Suite.
Hingga saat ini, kit tersebut memiliki daftar blokir (blocklist) yang memuat lebih dari 230 nama vendor keamanan, VPN, sandbox, crawler bertenaga AI, serta penyedia layanan cloud. Jika mendeteksi adanya aktivitas analisis, sistem secara otomatis akan mengalihkan (redirect) lalu lintas ke halaman resmi Microsoft yang asli untuk menyembunyikan jejak.
Rekomendasi Mitigasi untuk Administrator IT
Metode device-code phishing tercatat mengalami lonjakan masif hingga 37 kali lipat sepanjang tahun ini. Guna melindungi lingkungan enterprise Anda, tim TRU (Threat Response Unit) menyarankan langkah-langkah pengetatan berikut:
- Nonaktifkan Alur Device Code: Buat kebijakan Microsoft Entra Conditional Access untuk memblokir total alur otentikasi OAuth Device Code bagi pengguna umum, dan batasi hanya untuk skenario onboarding perangkat keras atau pengembang yang terdefinisi secara ketat.
- Batasi Persetujuan Aplikasi (User Consent): Wajibkan persetujuan administrator (admin approval) untuk semua aplikasi pihak ketiga, dan batasi persetujuan mandiri pengguna hanya untuk verified publishers.
- Aktifkan Continuous Access Evaluation (CAE): Fitur ini memastikan bahwa pencabutan token dapat merambat secara real-time. Jika terjadi insiden, segera jalankan perintah pembatalan token massal (seperti
Revoke-AzureADUserAllRefreshToken). - Pantau Log Entra ID: Lakukan pengawasan ketat pada log audit otentikasi untuk mendeteksi metode
deviceCode, penggunaan konteks Microsoft Authentication Broker yang tidak biasa, serta aktivitas mencurigakan dari user-agent berbasis Node.js.