Security

Modus Vishing Baru Targetkan Pengguna Microsoft 365 dengan Pendaftaran Entra Passkey Palsu

Sebuah kampanye vishing (voice phishing) baru dilaporkan menargetkan pengguna Microsoft 365 di berbagai sektor industri dengan memanfaatkan proses pendaftaran Microsoft Entra Passkey. Dalam serangan ini, pelaku menelepon korban dan berpura-pura sebagai tim IT atau keamanan untuk meminta mereka mendaftarkan passkey baru, padahal passkey tersebut justru akan dikendalikan oleh penyerang.

Kampanye ini pertama kali diamati sejak April 2026 dan dianalisis oleh perusahaan keamanan identitas Okta, yang mengaitkan aktivitas tersebut dengan kelompok ancaman O-UNC-066, bagian dari operasi pemerasan siber yang dikenal sebagai Pink.

Memanfaatkan Fitur Baru Microsoft Entra

Pada Mei 2026, Microsoft memperkenalkan kemampuan baru yang memungkinkan administrator menjalankan passkey registration campaign, yaitu kampanye resmi untuk mendorong pengguna beralih ke autentikasi menggunakan passkey yang lebih aman.

Pelaku memanfaatkan fitur tersebut sebagai kedok untuk meyakinkan korban bahwa mereka diwajibkan melakukan peningkatan keamanan akun.

Korban kemudian diarahkan ke situs phishing yang menggunakan nama domain dengan kata “passkey”, sehingga tampak lebih meyakinkan.

Situs Phishing Meniru Halaman Resmi Microsoft

Saat dihubungi melalui telepon, korban diberi tahu bahwa mereka harus segera mendaftarkan passkey baru demi alasan keamanan.

Pelaku kemudian mengarahkan korban ke halaman phishing yang dirancang menyerupai portal resmi Microsoft Entra Passkey. Situs tersebut bahkan menampilkan identitas visual dan logo perusahaan korban agar terlihat lebih kredibel.

Berbeda dengan serangan Adversary-in-the-Middle (AiTM) yang umum digunakan untuk mencuri sesi login, kampanye ini menggunakan panel PHP yang dikendalikan langsung oleh operator.

Melalui mekanisme tersebut, pelaku dapat memandu korban secara real-time selama proses login berlangsung.

Menyesuaikan Serangan Berdasarkan Metode MFA

Menurut Okta, panel phishing tersebut memiliki mekanisme polling setiap satu detik sehingga operator dapat mengikuti setiap langkah yang dilakukan korban.

Sistem ini memungkinkan pelaku menyesuaikan proses phishing berdasarkan metode Multi-Factor Authentication (MFA) yang digunakan, seperti:

  • TOTP (Time-based One-Time Password)
  • Push Notification dengan Number Matching
  • SMS One-Time Password (OTP)

Seluruh kredensial dan kode MFA yang dimasukkan korban langsung diteruskan kepada operator, yang kemudian menggunakannya untuk masuk ke akun Microsoft milik korban.

Korban Mengira Membuat Passkey Sendiri

Saat korban yakin sedang membuat passkey baru untuk akun mereka, yang sebenarnya terjadi adalah pelaku mendaftarkan passkey miliknya sendiri ke akun Microsoft korban.

Setelah proses login selesai, situs phishing menampilkan halaman pendaftaran passkey palsu dengan tampilan menyerupai Microsoft.

Korban bahkan diminta menyimpan BIP-39 recovery phrase dan mengonfirmasi salah satu kata dari frasa tersebut.

Padahal, menurut Okta, BIP-39 seed phrase sama sekali tidak digunakan dalam proses resmi pendaftaran Microsoft Entra Passkey.

Langkah tersebut diduga hanya digunakan untuk mengalihkan perhatian korban yang belum memahami bagaimana proses registrasi passkey sebenarnya berlangsung.

Kelompok Pink Fokus pada Pencurian Data Perusahaan

Menurut Palo Alto Networks Unit 42, Pink merupakan kelompok pemerasan siber baru yang memiliki keterkaitan dengan jaringan ancaman terdesentralisasi The Com (The Community).

Kelompok ini dikenal menggabungkan teknik vishing dan penyamaran sebagai staf IT untuk memperoleh kredensial serta kode MFA dari korban.

Setelah berhasil memperoleh akses ke akun Microsoft 365, pelaku biasanya bergerak cepat untuk mencuri data dari layanan:

  • SharePoint
  • OneDrive

Data yang berhasil dicuri kemudian digunakan sebagai alat pemerasan.

Sejak 31 Mei 2026, kelompok Pink juga diketahui telah mengoperasikan situs pemerasan yang menampilkan sampel data hasil curian guna menekan korban agar membayar uang tebusan.

Peneliti Palo Alto Networks sebelumnya juga menemukan bahwa beberapa domain phishing yang digunakan kelompok ini mengandung kata “passkey”, sejalan dengan teknik serangan yang kini diamati oleh Okta.

Organisasi Diminta Memperketat Verifikasi Helpdesk

Sebagai langkah mitigasi, Okta menyarankan organisasi untuk memperkuat proses verifikasi identitas staf helpdesk atau tim IT sebelum memberikan instruksi kepada pengguna melalui telepon.

Selain itu, organisasi juga disarankan membatasi permintaan autentikasi dari lokasi geografis yang tidak menjadi area operasional perusahaan guna mengurangi risiko penyalahgunaan akun.

Kasus ini menunjukkan bahwa teknologi autentikasi yang lebih aman seperti passkey pun tetap dapat dimanfaatkan sebagai umpan dalam rekayasa sosial. Oleh karena itu, edukasi pengguna dan prosedur verifikasi internal tetap menjadi lapisan pertahanan penting untuk menghadapi ancaman vishing yang semakin canggih.

Sumber: Okta Security Blog

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button