Serangan Adversary-in-the-Middle (AiTM) phishing kini semakin sering terjadi, bahkan menargetkan akun yang sudah menggunakan Multi-Factor Authentication (MFA). Artikel ini akan membahas bagaimana serangan ini bekerja, mengapa MFA saja belum cukup, dan langkah-langkah praktis yang bisa dilakukan untuk melindungi diri serta organisasi Anda.

Bagaimana Serangan AiTM Bekerja

Pada serangan phishing klasik, penjahat siber mengirimkan tautan palsu yang tampak seperti situs resmi. Ketika korban memasukkan username dan password, data tersebut langsung dicuri dan bisa digunakan kapan saja oleh pelaku.

Namun, dengan semakin banyaknya pengguna yang menggunakan MFA, pelaku harus mengubah taktik. Pada serangan AiTM, mereka membuat situs tiruan yang sangat mirip dengan aslinya. Ketika korban memasukkan kredensial dan kode MFA, pelaku secara langsung meneruskannya ke situs asli secara real-time. Hasilnya, token autentikasi yang sah dikeluarkan untuk pelaku, bukan untuk korban.

Mengapa MFA Saja Tidak Cukup?

Walaupun MFA bisa menghentikan sebagian besar serangan berbasis password, AiTM mampu menipu korban hingga melewati MFA. Setelah mendapatkan token, pelaku dapat mengakses akun korban hingga token tersebut kedaluwarsa.

Contoh nyata, ada organisasi yang menjadi korban AiTM: pelaku berhasil mendaftarkan iPhone mereka sendiri sebagai perangkat MFA tanpa notifikasi ke pengguna asli. Akun tersebut baru ketahuan setelah pelaku mencoba mengirim email penipuan keuangan.

Solusi Utama: Passkey & Autentikasi Tahan Phishing

Cara paling efektif untuk melawan AiTM adalah menggunakan metode autentikasi yang tahan terhadap phishing, seperti passkey, sertifikat digital, atau Windows Hello for Business. Passkey menggunakan kriptografi yang hanya bisa digunakan di situs asli dan perangkat yang terdaftar, sehingga tidak bisa dipalsukan di situs tiruan.

Langkah Perlindungan Tambahan

Selain menerapkan passkey, berikut beberapa langkah pertahanan berlapis yang bisa dilakukan:

1. Gunakan Aplikasi Authenticator dan Passwordless

Microsoft Authenticator memberikan informasi tambahan seperti nama aplikasi, lokasi geografis, serta fitur “number matching” agar pengguna bisa memastikan permintaan MFA benar-benar berasal dari mereka.

2. Atur Kebijakan Akses Secara Ketat

• Hanya izinkan perangkat yang terdaftar untuk mengakses sumber daya yang cukup penting.

• Batasi akses berdasarkan jaringan dengan Conditional Access, sehingga hanya perangkat dalam jaringan tertentu yang bisa mengakses.

• Batasi URL yang dapat diakses pengguna menggunakan Microsoft Defender SmartScreen dan Defender for Endpoint untuk memblokir situs berbahaya.

3. Deteksi dan Respon Anomali

Gunakan Entra ID Protection dan Microsoft Defender untuk memonitor aktivitas mencurigakan, seperti permintaan token dari lokasi atau perangkat yang tidak biasa. Kebijakan berbasis risiko bisa diterapkan untuk meminta reautentikasi jika terdeteksi aktivitas aneh.

4. Investigasi Insiden Secara Proaktif

Jika terjadi insiden, gunakan Microsoft Defender XDR dan SIEM seperti Microsoft Sentinel untuk investigasi dan mitigasi otomatis. Sistem ini dapat menonaktifkan akun yang terindikasi kompromi dan mencabut sesi yang mencurigakan.

Pentingnya Notifikasi Penambahan Perangkat MFA

Salah satu celah yang sering dimanfaatkan pelaku adalah menambahkan perangkat MFA baru tanpa sepengetahuan pengguna. Sangat disarankan agar sistem mengirim notifikasi setiap kali ada perangkat MFA baru yang didaftarkan, sehingga pengguna bisa segera melapor jika itu bukan tindakan mereka.

Kesimpulan

Serangan AiTM phishing berkembang pesat dan semakin canggih. Passkey adalah solusi terbaik, namun pertahanan berlapis dan deteksi dini tetap sangat penting. Jangan lupa, edukasi pengguna dan notifikasi aktif atas perubahan penting di akun merupakan kunci untuk meminimalisir risiko.

Tetap waspada dan terus tingkatkan keamanan identitas digital ya.