Pada beberapa bulan pertama tahun 2025, serangan phishing-as-a-service (PhaaS) melonjak drastis, dengan sistem Barracuda mendeteksi lebih dari satu juta serangan pada bulan Januari dan Februari saja. Serangan-serangan ini, yang dikoordinasikan melalui beberapa platform PhaaS terkemuka seperti Tycoon 2FA, EvilProxy, dan Sneaky 2FA, menunjukkan kompleksitas dan kelicinan teknik phishing yang semakin berkembang, yang menargetkan organisasi di seluruh dunia.
Kebangkitan Tycoon 2FA
Di antara platform PhaaS yang paling menonjol dan canggih pada awal 2025, Tycoon 2FA memimpin serangan, menyumbang 89% dari insiden phishing yang terdeteksi pada bulan Januari. Tycoon 2FA telah berkembang menjadi platform yang semakin sulit dideteksi. Pada pertengahan Februari, analis ancaman Barracuda mengamati lonjakan serangan yang menggunakan Tycoon 2FA, mengungkapkan mekanisme penghindaran yang semakin canggih.
Sebelumnya, Tycoon 2FA menggunakan skrip jahat untuk memblokir tombol pintas, sehingga menyulitkan para pembela untuk menganalisis halaman phishing. Namun, platform ini telah beralih ke taktik yang lebih kompleks, mengenkripsi skrip jahatnya dengan Caesar cipher—cipher substitusi bergeser—daripada menggunakan teks biasa. Enkripsi ini menyembunyikan operasi penting, seperti pencurian kredensial pengguna dan pengirimannya ke server yang dikendalikan oleh penyerang.
Platform ini juga memanfaatkan karakter tak terlihat seperti Hangul Filler dari aksara Korea untuk mengisi ruang tanpa menampilkan konten yang terlihat, sebuah metode umum untuk mengaburkan teknik phishing. Skrip Tycoon 2FA yang diperbarui mengidentifikasi jenis browser korban untuk penghindaran yang lebih tepat sasaran dan menyertakan tautan Telegram, yang digunakan untuk mengirim data yang dicuri secara diam-diam kepada penyerang. Platform ini juga menggunakan enkripsi lanjutan, seperti AES, untuk lebih menyamarkan kredensial yang diekstrak, membuat deteksi semakin sulit.
EvilProxy: Alat Berbahaya yang Mudah Digunakan
EvilProxy adalah platform berbahaya lainnya karena memerlukan sedikit keahlian teknis, membuat serangan phishing canggih dapat diakses oleh lebih banyak penjahat dunia maya. Platform ini memungkinkan penyerang untuk menargetkan layanan yang banyak digunakan, seperti Microsoft 365, Google, dan platform berbasis cloud lainnya. Melalui email phishing dan tautan berbahaya, EvilProxy menipu korban untuk memasukkan kredensial mereka pada halaman login yang tampak sah.
EvilProxy beroperasi melalui konfigurasi reverse proxy, di mana server berada di depan server web dan meneruskan permintaan klien (misalnya, browser web) ke server web tersebut. Ketika korban memasukkan informasi login mereka, EvilProxy meneruskan kredensial tersebut ke situs web yang sah, memberikan penyerang akses langsung ke akun korban tanpa menimbulkan kecurigaan. Kode sumber halaman phishing hampir identik dengan halaman login asli, sehingga sulit untuk dibedakan dari layanan yang sah.
Sneaky 2FA: Mengatasi Autentikasi Dua Faktor
PhaaS utama ketiga di awal 2025 adalah Sneaky 2FA, yang menargetkan akun Microsoft 365 dan dikenal karena kemampuannya untuk mengatasi autentikasi dua faktor (2FA). Layanan ini dijual oleh kelompok kejahatan dunia maya Sneaky Log, dan beroperasi melalui serangan adversary-in-the-middle (AiTM). Korban menerima email phishing dengan tautan yang mengarah ke halaman login palsu Microsoft. Para penyerang memanfaatkan fungsi “autograb” Microsoft 365 untuk mengisi alamat email korban secara otomatis pada halaman phishing, meningkatkan kemungkinan serangan berhasil.
URL phishing Sneaky 2FA sangat sulit dideteksi. URL tersebut berisi alamat email korban, baik dalam teks biasa maupun yang dienkode dalam Base64, dan diikuti oleh jalur seperti /index, /verify, atau /validate. URL ini biasanya terdiri dari 150 karakter alfanumerik, yang menjadikannya identifikasi unik untuk serangan phishing. Selain itu, platform ini dapat mendeteksi apakah pengunjung berasal dari pusat data, bot, atau VPN dan akan memfilter lalu lintas yang dianggap mencurigakan.
Mengenali Serangan PhaaS
Mengenali serangan PhaaS bisa sulit tetapi tidak mustahil. Untuk Tycoon 2FA, perhatikan halaman login yang menggunakan domain “.ru” dan URL phishing yang mengandung alamat email korban dalam teks biasa atau enkripsi Base64. Serangan EvilProxy lebih sulit dideteksi karena URL acak yang mereka hasilkan, tetapi jika URL halaman login Microsoft/Google berbeda dari yang biasa, itu bisa menjadi tanda bahaya. Selain itu, permintaan autentikasi multi-faktor (MFA) yang tidak biasa—seperti menerima permintaan MFA saat Anda tidak sedang login—harus diperlakukan dengan kecurigaan.
Untuk Sneaky 2FA, petunjuknya adalah URL yang mengandung string alfanumerik panjang yang diikuti dengan /verify, /index, atau /validate. Menyadari pola-pola ini dapat membantu mencegah menjadi korban serangan phishing yang canggih ini.
Memperkuat Pertahanan Terhadap Serangan PhaaS
Platform PhaaS semakin canggih dan evasif, membuatnya lebih sulit bagi langkah-langkah keamanan tradisional untuk mendeteksi dan mencegah serangan phishing. Untuk melawan ancaman ini, organisasi harus mengadopsi solusi keamanan email canggih, seperti Barracuda Email Security, yang dilengkapi dengan deteksi berbasis AI yang multilayered. Selain itu, karyawan harus dilatih untuk mengenali taktik phishing, termasuk halaman login yang mencurigakan, dan segera melaporkannya.
Organisasi juga harus melakukan analisis log yang mendalam dan memeriksa adanya anomali, seperti aktivitas MFA yang tidak biasa. Dengan memperkuat pertahanan teknologi dan kesadaran pengguna, organisasi dapat lebih baik melindungi diri mereka dari ancaman serangan phishing-as-a-service yang terus berkembang.
Apakah Anda sudah mempertimbangkan Barracuda sebagai pilihan solusi keamanan Anda?
Jika tertarik, Anda bisa menghubungi Barracuda Indonesia untuk mendapatkan informasi lebih lanjut. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia dan barracuda.ilogoindonesia.id untuk penjelasan lebih detail.