- Proofpoint melaporkan lonjakan phishing yang menyalahgunakan aliran kode perangkat Microsoft OAuth 2.0
- Korban memasukkan kode pada domain Microsoft asli, memberikan token akses kepada penyerang
- Proofpoint menyarankan pemblokiran aliran kode perangkat
Penjahat dunia maya, termasuk pelaku ancaman yang disponsori negara, semakin sering melakukan pelanggaran Microsoftalur autentikasi kode perangkat OAuth 2.0 untuk mengambil alih akun Microsoft 365.
Hal ini menurut laporan baru oleh peneliti keamanan siber Proofpoint. Di sebuah kertas baru diterbitkan pada tanggal 18 Desember, para peneliti mengkonfirmasi bahwa telah terjadi peningkatan tajam serangan rekayasa sosial sejak September 2025, yang mana para korban ditipu untuk memberikan akses ke akun mereka.
Serangan biasanya dimulai dengan email phishing yang berisi link atau kode QR. Korban kemudian diberitahu bahwa untuk melihat konten, mereka perlu mengautentikasi ulang akun mereka dengan memasukkan kode perangkat ke halaman login Microsoft.
Rusia, Cina, dan lainnya
Begitu mereka memasukkan kode, pelaku ancaman menerima token akses yang terkait dengan akun mereka, tidak hanya memberi mereka akses, namun juga memungkinkan pemantauan email, pergerakan lateral, dan banyak lagi.
Proses masuk terjadi pada domain Microsoft asli, Proofpoint menjelaskan lebih lanjut, yang berarti bahwa pertahanan phishing tradisional dan pemeriksaan kesadaran pengguna sebagian besar tidak berguna. Para penyerang sebenarnya tidak mencuri kata sandiatau kode MFA, jadi tidak ada alarm yang terpicu di sana.
Proofpoint mengatakan ada beberapa kelompok yang saat ini menyalahgunakan teknik ini, termasuk TA2723 (aktor ancaman yang bermotivasi finansial), UNK_AcademicFlare (aktor ancaman yang disponsori negara Rusia yang menargetkan akun email pemerintah dan militer untuk tujuan spionase dunia maya), dan beberapa kelompok dari Tiongkok.
Para penjahat juga dikatakan menggunakan kerangka phishing yang berbeda, seperti SquarePhish 2 dan Graphish, yang mengotomatiskan penyalahgunaan kode perangkat, mendukung kode QR, dan terintegrasi dengan pendaftaran aplikasi Azure. Hal ini menurunkan hambatan masuk dan memungkinkan pelaku ancaman yang berketerampilan rendah sekalipun untuk terlibat dalam serangan.
Proofpoint yakin penyalahgunaan OAuth dan autentikasi kode perangkat kemungkinan akan meningkat, terutama karena organisasi mengadopsi autentikasi tanpa kata sandi dan berbasis FIDO serta merekomendasikan pemblokiran aliran kode perangkat melalui Akses Bersyarat jika memungkinkan.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
