Pada beberapa bulan pertama tahun 2025, terjadi lonjakan besar dalam serangan phishing-as-a-service (PhaaS), dengan sistem Barracuda mendeteksi lebih dari satu juta upaya phishing hanya dalam Januari dan Februari. Serangan-serangan ini didorong oleh berbagai platform PhaaS seperti Tycoon 2FA, EvilProxy, dan Sneaky 2FA, yang mengungkapkan semakin kompleks dan evasifnya kampanye phishing saat ini.
Meningkatnya Platform PhaaS
Di antara platform PhaaS, Tycoon 2FA menjadi yang paling menonjol, bertanggung jawab atas 89% dari insiden phishing di Januari 2025. EvilProxy berada di posisi kedua, dengan kontribusi 8%, sementara Sneaky 2FA, yang baru muncul, menyumbang 3% dari serangan. Platform-platform ini menunjukkan bagaimana lanskap PhaaS semakin berkembang, dengan masing-masing memperkenalkan teknik baru untuk menghindari deteksi oleh alat keamanan tradisional.
Evolusi Tycoon 2FA
Pada pertengahan Februari 2025, para analis ancaman Barracuda mengamati lonjakan serangan menggunakan Tycoon 2FA. Penyelidikan lebih lanjut menunjukkan bahwa platform ini telah meningkatkan kemampuan evasifnya, menjadikannya lebih sulit untuk dideteksi. Berbeda dengan versi sebelumnya, Tycoon 2FA kini menggunakan skrip yang dienkripsi alih-alih dalam teks biasa, dengan memanfaatkan Caesar cipher (cipher substitusi bergeser) untuk menyembunyikan kode jahatnya.
Enkripsi ini menyembunyikan tujuan asli dari skrip tersebut, seperti mencuri kredensial dan mengirimkannya ke server yang dikendalikan oleh penyerang. Skrip ini juga menggunakan teknik seperti Hangul Filler (Unicode 3164), karakter tak terlihat yang digunakan untuk obfuscation, dan permintaan Ajax yang memperbarui bagian dari halaman web secara terpisah untuk menyembunyikan aktivitas jahat. Selain itu, penggunaan enkripsi AES menyembunyikan data yang dicuri sebelum diekstrak, semakin mempersulit upaya deteksi.
EvilProxy – Alat yang Berbahaya dan Mudah Diakses
EvilProxy muncul sebagai alat PhaaS yang sangat berbahaya karena membutuhkan sedikit keahlian teknis, membuat serangan phishing yang canggih dapat diakses oleh lebih banyak penjahat siber. Platform ini memungkinkan penyerang untuk menargetkan layanan populer seperti Microsoft 365 dan Google dengan menyamar sebagai halaman login yang sah melalui email phishing dan tautan berbahaya.
Teknik utama yang digunakan EvilProxy adalah konfigurasi reverse proxy. Dalam serangan ini, ketika korban memasukkan kredensial mereka di halaman login palsu, kredensial tersebut diteruskan ke situs web yang sah, memberi penyerang akses langsung ke akun korban tanpa menimbulkan kecurigaan. Kode sumber halaman phishing EvilProxy sangat mirip dengan kode sumber halaman login yang sah, membuatnya sangat sulit dibedakan dari situs web asli.
Sneaky 2FA – Serangan AiTM yang Licik
Sneaky 2FA, PhaaS ketiga yang paling umum pada awal 2025, mengkhususkan diri dalam serangan adversary-in-the-middle (AiTM), terutama menargetkan akun Microsoft 365. Platform ini terkenal karena kemampuannya untuk melewati otentikasi dua faktor (2FA), langkah keamanan yang banyak digunakan oleh organisasi.
Serangan dimulai ketika korban mengklik tautan dalam email phishing, yang mengarah ke halaman login Microsoft palsu. Apa yang membedakan Sneaky 2FA adalah penggunaan fitur “autograb” Microsoft 365 untuk mengisi otomatis halaman login dengan alamat email korban, membuat serangan ini semakin meyakinkan. Platform ini beroperasi melalui bot Telegram, yang semakin mempersulit deteksi.
URL phishing yang digunakan oleh Sneaky 2FA dirancang untuk mengidentifikasi korban yang sah. URL ini sering kali mencakup alamat email target, baik dalam teks biasa atau dienkripsi dalam Base64. Selain itu, toolkit serangan ini dapat menyaring pengunjung yang bukan target, seperti mereka yang menggunakan VPN atau proxy, sebelum mengalihkan mereka ke halaman Wikipedia terkait Microsoft.
Cara Mendeteksi Serangan PhaaS
Mengingat kompleksitas serangan PhaaS, mengenali tanda-tandanya bisa sangat sulit. Berikut adalah beberapa petunjuk untuk membantu Anda mendeteksi serangan ini:
- Tycoon 2FA: Jika URL mencakup domain “.ru” dan alamat email korban tertanam dalam tautan phishing (baik dalam teks biasa atau Base64), itu bisa jadi serangan Tycoon 2FA.
- EvilProxy: Serangan EvilProxy lebih sulit dideteksi karena menggunakan URL acak, tetapi dapat dikenali jika URL halaman login Microsoft/Google berbeda dari halaman login biasanya. Petunjuk lain adalah munculnya permintaan MFA yang tidak biasa, terutama saat Anda tidak sedang login.
- Sneaky 2FA: Jika URL phishing berisi string alfanumerik panjang yang diikuti dengan jalur seperti “/verify”, “/index”, atau “/validate”, itu kemungkinan adalah serangan Sneaky 2FA.
Memperkuat Keamanan Email
Email phishing sering kali menjadi pintu gerbang untuk berbagai jenis serangan, mulai dari pencurian kredensial hingga penipuan finansial, ransomware, dan lainnya. Karena platform yang mendukung phishing-as-a-service semakin kompleks dan sulit dideteksi, alat keamanan tradisional kesulitan untuk mengatasinya.
Untuk melawan ini, organisasi perlu berinvestasi dalam solusi keamanan email tingkat lanjut seperti Barracuda Email Security, yang dilengkapi dengan deteksi berbasis AI/ML untuk melindungi terhadap serangan berbasis PhaaS. Selain itu, pelatihan kesadaran keamanan untuk karyawan juga sangat penting. Karyawan harus diberi pemahaman tentang cara mengenali halaman login yang mencurigakan, melaporkan email phishing, dan memahami ancaman terbaru.
Organisasi juga harus melakukan analisis log yang mendalam dan memantau anomali MFA untuk lebih mendeteksi dan mengurangi serangan PhaaS. Dengan tetap waspada dan proaktif, bisnis dapat lebih baik melindungi diri dari ancaman yang semakin canggih ini.
Apakah Anda sudah mempertimbangkan Barracuda sebagai pilihan solusi keamanan Anda?
Jika tertarik, Anda bisa menghubungi Barracuda Indonesia untuk mendapatkan informasi lebih lanjut. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia untuk penjelasan lebih detail.