Lebih dari 1.200 Alat Phishing yang Mampu Lewati 2FA Terdeteksi
Cyberthreat.id - Lebih dari 1.200 perangkat lunak phishing yang mampu mencegat autentikasi dua faktor atau 2FA terdeteksi di alam liar.
Dilansir The Record, sebuah tim akademisi mengatakan mereka menemukan lebih dari 1.200 toolkit phishing yang digunakan di alam liar yang mampu mencegat dan memungkinkan penjahat dunia maya melewati kode keamanan otentikasi dua faktor (2FA).
Juga dikenal sebagai toolkit phishing MitM (Man-in-the-Middle), alat ini telah menjadi sangat populer di dunia kejahatan dunia maya dalam beberapa tahun terakhir setelah perusahaan teknologi besar mulai menjadikan 2FA sebagai fitur keamanan default bagi penggunanya.
Hasil langsungnya adalah bahwa pelaku ancaman yang berhasil mengelabui pengguna agar memasukkan kredensial di situs phishing menemukan bahwa kredensial yang dicuri menjadi tidak berguna karena mereka tidak dapat melewati prosedur 2FA.
Untuk melawan tren baru dalam perlindungan keamanan akun ini, setidaknya sejak tahun 2017, pelaku ancaman mulai mengadopsi alat baru yang memungkinkan mereka untuk melewati 2FA dengan mencuri cookie otentikasi pengguna, yaitu file yang dibuat di dalam browser web setelah pengguna masuk ke akun setelah proses 2FA selesai.
Dalam kebanyakan kasus, kelompok kejahatan dunia maya mengandalkan kategori malware yang dikenal sebagai "pencuri info" untuk mencuri file cookie otentikasi ini dari komputer yang berhasil mereka infeksi.
Namun, ada cara lain untuk mencuri file-file ini yang tidak bergantung pada menginfeksi komputer dengan malware—yaitu, dengan mencuri cookie otentikasi saat mereka transit di internet dari penyedia layanan ke komputer pengguna.
Selama beberapa tahun terakhir, penjahat dunia maya perlahan-lahan mengadaptasi perangkat phishing lama mereka untuk mengikuti prosedur 2FA, terutama dengan menggunakan dua teknik.
Yang pertama dikenal sebagai "phishing waktu-nyata" dan bergantung pada operator yang duduk di depan panel web saat pengguna menavigasi dan berinteraksi dengan situs phishing.
Idenya adalah begitu pengguna memasukkan kredensial mereka di situs phishing, operator menggunakan kredensial ini untuk mengotentikasi diri mereka sendiri di situs sebenarnya.
Ketika penyerang dihadapkan dengan tantangan 2FA, pelaku ancaman hanya menekan tombol yang meminta pengguna untuk kode 2FA yang sebenarnya (diterima melalui email, SMS, atau aplikasi autentikator) dan kemudian mengumpulkan dan memasukkan token 2FA di situs sebenarnya, menciptakan koneksi yang sah antara sistem (penyerang) mereka dan akun korban.
Biasanya, alat phishing waktu nyata digunakan untuk membobol portal perbankan web, di mana sesi login pengguna tidak tetap aktif lebih dari beberapa menit, dan setiap permintaan autentikasi ulang memerlukan kode 2FA lainnya.
Penyerang yang menggunakan phishing waktu-nyata, tidak perlu repot mengumpulkan cookie otentikasi—karena cookie ini berumur pendek—dan biasanya langsung mencuri dana pengguna dari akun, membakar akses mereka.
Namun, layanan biasa seperti penyedia email, akun media sosial, layanan game, dan lainnya memiliki aturan yang lebih longgar seputar sesi login pengguna, dan mereka membuat cookie otentikasi yang terkadang berlaku selama bertahun-tahun.
Setelah diperoleh, file-file ini dapat memberi penyerang cara yang lebih stabil dan tidak terdeteksi untuk mengakses akun, bahkan tanpa sepengetahuan pemiliknya.
Di sinilah toolkit phishing MitM telah terbukti berguna bagi beberapa pelaku ancaman yang tidak ingin mencoba-coba mendistribusikan malware infostealer.
Sebaliknya, mereka menggunakan kit phishing yang disesuaikan untuk bekerja sebagai proxy terbalik, yang menyampaikan lalu lintas antara korban (1), situs phishing (2), dan layanan yang sah (3).
Pengguna yang mengautentikasi di situs phishing MitM sebenarnya masuk ke situs yang sah, tetapi karena semua lalu lintas melewati sistem proxy terbalik, penyerang juga memiliki salinan cookie autentikasi, yang kemudian dapat disalahgunakan atau dijual kembali di pasar bawah tanah yang didedikasikan untuk perdagangan cookie otentikasi.
Di satu sisi, toolkit phishing MitM adalah toolkit phishing real-time tetapi tanpa memerlukan operator manusia karena semuanya otomatis melalui proxy terbalik.
Ironisnya, saat ini, banyak dari toolkit phishing MitM ini didasarkan pada alat yang dikembangkan oleh peneliti keamanan, seperti Evilginx, Muraena, dan Modlishka.
Toolkit phishing MitM semakin populer
Dalam sebuah penelitian yang diterbitkan bulan lalu, akademisi dari Stony Brook University dan firma keamanan Palo Alto Networks mengatakan mereka menganalisis 13 versi dari tiga perangkat phishing MitM ini dan membuat sidik jari untuk lalu lintas web yang melewati salah satu alat ini.
Mereka menggunakan temuan mereka untuk mengembangkan alat yang disebut PHOCA yang dapat mendeteksi jika situs phishing menggunakan proxy terbalik—tanda yang jelas bahwa penyerang mencoba melewati 2FA dan mengumpulkan cookie otentikasi daripada kredensial saja.
Para peneliti mengatakan mereka memberi PHOCA dengan URL yang dilaporkan oleh komunitas keamanan siber sebagai situs phishing antara Maret 2020 dan Maret 2021 dan menemukan bahwa 1.220 dari situs ini menggunakan toolkit phishing MitM.
Jumlah tersebut merupakan lompatan yang signifikan dari sekitar 200 situs phishing yang menjalankan proxy terbalik aktif pada akhir 2018.[]