Forg365, Platform Phishing Berbasis AI yang Menargetkan Akun Microsoft 365

Peneliti keamanan siber mengungkap keberadaan platform Phishing-as-a-Service (PhaaS) baru bernama Forg365 yang dirancang khusus untuk mencuri akun Microsoft 365. Platform ini menggabungkan teknik Adversary-in-the-Middle (AiTM), Device Code Phishing, serta pembuatan email phishing berbantuan Artificial Intelligence (AI) untuk meningkatkan efektivitas serangan.
Selain mencuri kredensial, Forg365 juga menyediakan ekstensi browser yang memungkinkan pelaku mempertahankan akses ke akun korban tanpa perlu melakukan autentikasi ulang.
Menyamar sebagai Dokumen Bisnis
Penelitian yang dilakukan oleh perusahaan keamanan email ZeroBEC bermula dari analisis sejumlah email phishing yang menyamar sebagai dokumen bisnis.
Email tersebut memanfaatkan layanan resmi seperti:
- Amazon Simple Email Service (SES).
- SendGrid.
Penggunaan layanan yang sah membuat email phishing lebih sulit dibedakan dari lalu lintas email normal, sekaligus menunjukkan bahwa Forg365 merupakan platform phishing yang cukup matang.
Dashboard Lengkap untuk Pelaku
Peneliti berhasil memperoleh akses ke panel administrasi Forg365.
Melalui dashboard tersebut, operator dapat:
- Membuat kampanye phishing baru.
- Mengelola tautan phishing.
- Mengatur aplikasi OAuth.
- Mengelola profil SMTP.
- Menyimpan token hasil pencurian.
- Membuat email phishing menggunakan AI.
Keberadaan fitur AI langsung di dalam dashboard memungkinkan pelaku menyusun, memperbaiki, dan menyesuaikan isi email phishing tanpa harus menggunakan layanan tambahan.
Menurut ZeroBEC, integrasi ini membantu menurunkan biaya sekaligus mempercepat pembuatan kampanye phishing yang lebih meyakinkan.
Dilengkapi Ekstensi Browser
Forg365 juga menyediakan ekstensi browser bernama ForgCookie yang kompatibel dengan:
- Google Chrome.
- Microsoft Edge.
- Brave.
Ekstensi ini dirancang untuk memperoleh serta memperbarui Single Sign-On (SSO) Cookie Microsoft secara otomatis.
Cara kerjanya meliputi:
- Mengambil informasi akun dari server Forg365.
- Menghapus cookie sesi lama.
- Menjalankan proses OAuth secara diam-diam.
- Mengambil cookie autentikasi baru.
Dengan metode tersebut, pelaku dapat mempertahankan akses ke layanan Microsoft milik korban meskipun sesi sebelumnya telah berakhir.
Menggunakan Dua Metode Serangan
ZeroBEC menemukan Forg365 mendukung dua teknik utama.
Device Code Phishing
Korban diarahkan ke halaman yang menyerupai proses verifikasi Microsoft.
Alih-alih mencuri kata sandi secara langsung, korban diminta memasukkan Device Code untuk memberikan otorisasi kepada perangkat yang sebenarnya dikendalikan oleh pelaku melalui mekanisme OAuth 2.0 Device Code Flow.
Metode ini memanfaatkan fitur autentikasi yang memang disediakan Microsoft untuk perangkat dengan keterbatasan input, seperti:
- Smart TV.
- Perangkat IoT.
- Perangkat tanpa browser.
Adversary-in-the-Middle (AiTM)
Forg365 juga mendukung teknik AiTM, yaitu dengan bertindak sebagai perantara antara korban dan layanan Microsoft.
Melalui metode ini, pelaku dapat menangkap:
- Cookie sesi.
- Token autentikasi.
Tanpa harus mengetahui kata sandi korban secara langsung.
Memiliki Fitur Anti-Analisis
Untuk menghindari deteksi oleh peneliti keamanan, Forg365 dilengkapi berbagai mekanisme perlindungan, seperti:
- Deteksi bot.
- Pemeriksaan sandbox.
- Debugger trap.
- Redirect terenkripsi menggunakan AES.
- Kode yang berubah secara dinamis (polymorphic code).
Platform ini juga dapat mendeteksi koneksi VPN dan mengalihkan pengunjung ke halaman yang tidak berbahaya agar infrastruktur phishing tidak mudah dianalisis.
Memanfaatkan Infrastruktur Cloud
ZeroBEC menemukan Forg365 menggunakan beberapa layanan populer untuk menjalankan operasinya, antara lain:
- Amazon SES untuk pengiriman email phishing.
- Cloudflare Pages sebagai hosting halaman phishing.
- Gophish untuk mengelola kampanye phishing.
Penggunaan layanan cloud yang sah membuat aktivitas pelaku semakin sulit dibedakan dari trafik normal.
Rekomendasi Mitigasi
ZeroBEC menyarankan organisasi yang menggunakan Microsoft 365 untuk mengambil sejumlah langkah pencegahan, antara lain:
- Menonaktifkan atau membatasi Device Code Authentication apabila tidak diperlukan.
- Memantau log Microsoft Entra untuk aktivitas Device Code Authentication yang mencurigakan.
- Mengawasi perubahan mailbox rule.
- Memeriksa login dari perangkat baru.
- Memantau aktivitas Microsoft Authentication Broker.
- Meninjau pemberian izin OAuth yang tidak dikenal.
Apabila dicurigai terjadi kompromi akun, administrator disarankan segera mencabut seluruh token autentikasi dan mengakhiri seluruh sesi aktif agar akses pelaku dapat diputus secepat mungkin.
Munculnya Forg365 menunjukkan bahwa platform phishing modern kini semakin canggih dengan memanfaatkan AI untuk menghasilkan email yang lebih meyakinkan serta menyediakan fitur pasca-kompromi yang memudahkan pelaku mempertahankan akses ke akun korban. Kondisi ini membuat penerapan autentikasi yang kuat dan pemantauan aktivitas akun menjadi semakin penting bagi organisasi pengguna Microsoft 365.
Sumber: ZeroBEC








