Phishing AI Serang Microsoft 365 via Device Code Flow: Token Bisa Dicuri Tanpa Password

Shape Shape
Ilustrasi phishing AI yang menargetkan Microsoft 365 melalui device code flow

Kampanye phishing kini tidak lagi bergantung pada satu template email murahan

Perkembangan ancaman pada Maret 2026 menunjukkan pola yang makin mengkhawatirkan: phishing bisa dibuat dalam skala besar dengan umpan yang terlihat unik, relevan, dan meyakinkan. Laporan terbaru yang disorot CyberScoop, berdasarkan temuan Huntress, menyebut sebuah kampanye yang memanfaatkan infrastruktur Platform as a Service (PaaS) Railway untuk menargetkan akun Microsoft 365 milik ratusan organisasi.

Yang membuat kasus ini berbahaya bukan hanya dugaan penggunaan AI untuk menghasilkan umpan yang berbeda-beda, melainkan teknik login yang disalahgunakan: device code flow. Dengan pendekatan ini, pelaku tidak selalu perlu mencuri password secara langsung. Dalam skenario tertentu, mereka cukup memancing korban agar menyetujui proses login yang tampak sah, lalu mengambil token akses yang bisa dipakai untuk masuk ke akun cloud.

Bagi banyak organisasi, ini adalah pengingat keras bahwa perlindungan identitas tidak cukup berhenti di password kuat dan MFA biasa. Jika alur autentikasi sah dapat disalahgunakan, maka pertahanan harus naik kelas.

Apa itu device code flow dan kenapa bisa jadi celah serangan?

Device code flow adalah mekanisme OAuth yang memang dirancang untuk perangkat dengan input terbatas, seperti smart TV, printer, terminal, atau perangkat IoT lain. Dalam alur ini, perangkat menampilkan kode dan meminta pengguna menyelesaikan login lewat browser di perangkat lain.

Secara sah, mekanisme ini sangat berguna. Masalah muncul ketika penyerang membungkus proses yang legal ini dalam skenario phishing. Korban diarahkan ke halaman atau instruksi yang tampak meyakinkan, lalu tanpa sadar memasukkan kode atau menyetujui login yang sebenarnya memberi akses kepada pelaku.

Begitu berhasil, penyerang bisa memperoleh token autentikasi yang valid. Dalam laporan yang dirujuk CyberScoop, token tersebut dapat memberi akses ke akun Microsoft cloud hingga jangka waktu yang cukup panjang, tanpa harus terus-menerus meminta password atau OTP baru.

Mengapa serangan ini berbeda dari phishing biasa?

Pada phishing tradisional, fokus utamanya adalah mencuri username dan password. Dalam kampanye terbaru ini, fokus bergeser ke pengambilalihan sesi dan token. Itu membuat dampaknya lebih serius karena:

  • korban bisa merasa tidak pernah menyerahkan password secara langsung,
  • halaman login yang dipakai bisa terlihat lebih sah karena memanfaatkan alur autentikasi resmi,
  • filter email biasa lebih sulit mendeteksi jika setiap umpan dibuat unik,
  • token yang sudah sah bisa dipakai untuk melanjutkan akses ke layanan cloud.

Dengan kata lain, ini bukan sekadar email jebakan lama dengan bahasa buruk. Ini adalah contoh bagaimana layanan cloud yang sah, otomatisasi, dan kemungkinan bantuan AI dapat digabungkan untuk membuat serangan lebih rapi dan lebih efektif.

Bagaimana modus serangannya bekerja?

Rangkaian serangannya secara umum dapat dipahami seperti ini:

  1. Korban menerima umpan melalui email atau halaman berbagi file yang terlihat relevan dengan pekerjaan.
  2. Umpan dibuat beragam, sehingga sulit diblokir hanya dengan pola subjek, domain, atau template yang sama.
  3. Korban diarahkan ke alur login tertentu yang menyalahgunakan device code flow Microsoft.
  4. Korban menyelesaikan persetujuan login karena mengira itu bagian dari akses dokumen atau verifikasi normal.
  5. Pelaku memperoleh token OAuth yang valid dan menggunakannya untuk mengakses akun Microsoft 365 korban.

Peneliti Huntress yang dikutip CyberScoop menyebut serangan ini telah mengenai ratusan organisasi dan kemungkinan jumlah korban sebenarnya jauh lebih besar. Mereka juga mencatat lonjakan besar laju kompromi pada awal Maret 2026.

Mengapa AI membuat phishing seperti ini makin sulit dibendung?

Dalam kampanye lama, defender sering bisa memblokir phishing dari pola yang berulang: domain yang sama, template yang sama, atau bahasa yang sama. Pada kampanye yang diduga memanfaatkan AI, penyerang bisa menghasilkan umpan yang lebih beragam dalam waktu singkat. Itu berarti:

  • subjek email bisa disesuaikan dengan konteks industri atau peran target,
  • isi pesan dapat terdengar lebih natural dan tidak kaku,
  • halaman umpan bisa berganti cepat,
  • infrastruktur serangan dapat dibuat dan dibuang lebih elastis.

Inilah alasan banyak tim keamanan mulai melihat AI bukan hanya sebagai alat produktivitas, tetapi juga pengali skala untuk penjahat siber. Serangan yang sebelumnya butuh operator cukup rapi kini bisa diproduksi massal dengan biaya lebih rendah.

MFA aktif, tapi akun masih bisa diambil alih?

Ya, dan ini yang sering mengejutkan. Dalam banyak organisasi, ada asumsi bahwa selama MFA sudah aktif, maka risiko phishing turun drastis. Kenyataannya lebih rumit. Jika pelaku berhasil mendapatkan token sesi atau memancing korban menyetujui alur autentikasi yang sah, maka lapisan perlindungan berbasis OTP bisa kehilangan efektivitasnya.

Karena itu, kasus ini punya benang merah dengan tren phishing modern lain seperti adversary-in-the-middle dan pencurian sesi. Jika Anda ingin memahami mengapa MFA berbasis kode saja tidak lagi cukup terhadap phishing modern, baca juga artikel kami tentang Tycoon2FA dan cara phishing menembus MFA.

Siapa yang paling berisiko?

Target kampanye ini tidak terbatas pada perusahaan besar. Menurut laporan yang dikutip, korban tersebar di berbagai sektor, termasuk konstruksi, firma hukum, nirlaba, manufaktur, layanan keuangan, kesehatan, pemerintahan, dan keselamatan publik. Artinya, setiap organisasi yang bergantung pada Microsoft 365 perlu menganggap teknik ini relevan.

Risiko makin besar jika organisasi memiliki kondisi berikut:

  • pengguna sering menerima undangan dokumen atau file-share dari pihak luar,
  • device code flow tidak diaudit dan masih dibiarkan terbuka lebar,
  • kontrol conditional access belum matang,
  • monitoring aktivitas pasca-login masih minim,
  • tim hanya fokus pada penyaringan email, bukan penyalahgunaan identitas.

Tanda-tanda akun Microsoft 365 mulai dikompromikan

Serangan token tidak selalu langsung terlihat. Beberapa gejala yang patut dicurigai antara lain:

  • notifikasi login dari lokasi atau perangkat yang tidak familiar,
  • muncul persetujuan aplikasi atau sesi yang tidak dikenali,
  • pengguna merasa tidak memasukkan password ke situs palsu tetapi tetap ada aktivitas aneh,
  • email, file, atau data cloud diakses di jam yang tidak lazim,
  • ada lonjakan aktivitas dari akun yang tampak normal tetapi polanya berubah.

Dalam skenario berbasis token, organisasi harus berhenti menganggap reset password sebagai satu-satunya jawaban. Sering kali sesi dan token juga perlu dicabut.

Langkah mitigasi yang perlu diprioritaskan

1. Audit apakah device code flow benar-benar dibutuhkan

Microsoft sendiri merekomendasikan organisasi mendekati kebijakan blok sepihak untuk device code flow jika memang tidak punya kebutuhan yang terdokumentasi jelas. Jika fitur ini jarang dipakai, membiarkannya aktif untuk semua pengguna adalah risiko yang tidak perlu.

2. Gunakan Conditional Access untuk membatasi atau memblokir authentication flows tertentu

Jika organisasi memakai Microsoft Entra, pertimbangkan kebijakan report-only lebih dulu untuk melihat siapa yang masih menggunakan device code flow, lalu lanjutkan ke pembatasan atau pemblokiran sesuai kebutuhan bisnis. Pendekatan ini membantu mengurangi celah tanpa memutus proses yang benar-benar diperlukan.

3. Perkuat deteksi pasca-login, bukan hanya filter email

Serangan seperti ini sering lolos bukan karena filter email buruk, tetapi karena login yang terjadi terlihat “resmi”. Fokuskan pemantauan pada:

  • anomali lokasi login,
  • persetujuan aplikasi dan token yang tidak biasa,
  • akses file atau mailbox yang mendadak berubah pola,
  • aktivitas akun segera setelah proses autentikasi mencurigakan.

4. Edukasi pengguna tentang kode verifikasi dan persetujuan login

Banyak pelatihan keamanan masih fokus pada tautan palsu dan lampiran berbahaya. Itu penting, tetapi belum cukup. Pengguna juga perlu dilatih untuk curiga terhadap:

  • permintaan memasukkan kode login di luar alur kerja normal,
  • instruksi mendadak untuk membuka microsoft.com/devicelogin atau halaman serupa tanpa konteks yang jelas,
  • permintaan persetujuan akses dari aplikasi atau perangkat yang tidak mereka mulai sendiri.

5. Siapkan prosedur respons khusus untuk kompromi token

Jika ada indikasi akun disalahgunakan lewat token, responsnya jangan berhenti di ganti password. Tim perlu:

  1. mencabut sesi aktif,
  2. merevokasi token dan persetujuan aplikasi yang tidak sah,
  3. meninjau log login dan aktivitas mailbox/file,
  4. memeriksa apakah akun dipakai untuk serangan lanjutan ke pengguna lain,
  5. menginformasikan unit terdampak jika ada risiko kebocoran data atau penyamaran internal.

Apa pelajaran terbesarnya bagi perusahaan Indonesia?

Pelajaran utamanya sederhana tetapi penting: serangan identitas modern memanfaatkan fitur resmi, bukan hanya malware. Karena itu, strategi pertahanan juga harus menyesuaikan. Organisasi tidak bisa lagi hanya mengandalkan antivirus, secure email gateway, dan MFA OTP sebagai tiga pilar utama.

Yang dibutuhkan sekarang adalah kombinasi antara kontrol autentikasi yang lebih ketat, visibilitas pasca-login, dan edukasi yang lebih spesifik terhadap alur kerja cloud. Jika tidak, serangan seperti ini akan terus berhasil justru karena korban merasa mereka sedang menjalankan proses yang normal.

Kesimpulan

Kampanye phishing terbaru yang memanfaatkan infrastruktur Railway dan menyalahgunakan device code flow Microsoft 365 menunjukkan arah baru ancaman siber pada 2026: lebih cepat, lebih fleksibel, dan lebih sulit dibedakan dari aktivitas sah. Dugaan penggunaan AI untuk membuat umpan yang beragam hanya memperbesar masalah, karena skala serangan naik tanpa harus mengorbankan kualitas tipuannya.

Bagi admin TI dan pemilik bisnis, pesan praktisnya jelas: audit penggunaan device code flow, perketat kebijakan Conditional Access, dan anggap kompromi token sebagai skenario nyata, bukan teori. Semakin cepat organisasi mengadaptasi pertahanannya, semakin kecil peluang phishing generasi baru ini berubah menjadi insiden besar.

Catatan redaksi: artikel ini disusun sebagai sintesis orisinal berdasarkan perkembangan ancaman phishing pada Maret 2026, termasuk laporan CyberScoop tentang temuan Huntress serta dokumentasi Microsoft mengenai device code flow dan kontrol Conditional Access.

Post Tags :