🕵️Pencurian sesi setelah autentikasi (AiTM)
Alih-alih mencuri kata sandi, teknik ini mencegat sesi tepat setelah korban memvalidasi kode autentikasi dua faktornya — penyerang memposisikan diri sebagai perantara tak terlihat antara korban dan layanan asli. Hasilnya: autentikasi dua faktor memang terjadi, tapi sia-sia. Hanya pada Oktober 2025 saja, Microsoft memblokir lebih dari 13 juta email berbahaya yang terkait satu kit ini saja ("Tycoon 2FA"), digunakan menyerang akun Microsoft 365 di seluruh dunia.
Microsoft Defender for Office 365, Oktober 2025☎️Phishing lewat panggilan balik (TOAD)
Sebuah email tanpa tautan atau lampiran: hanya sebuah nomor untuk dihubungi balik terkait tagihan yang mencurigakan atau langganan yang perlu dikonfirmasi. Tanpa URL untuk dipindai maupun berkas untuk dianalisis, filter otomatis klasik tidak mendeteksi apa pun — penipuan ini sepenuhnya berlangsung lewat telepon, di mana seorang "penasihat" palsu membimbing korban untuk memasang akses jarak jauh atau memberikan kredensialnya. Lembaga riset Trustwave mencatat kenaikan 140% kampanye semacam ini antara Juli dan September 2024, dengan Microsoft, Norton, PayPal, dan DocuSign sebagai merek yang paling sering ditiru.
Trustwave, 2024-2025Kesamaannya: menembus otomatisasi, bukan kewaspadaan
Kedua teknik ini tidak mengeksploitasi celah teknis dalam arti klasik — mereka mengeksploitasi keterbatasan struktural dari alat deteksi otomatis, dengan menghilangkan elemen yang bisa dianalisis alat tersebut (tautan, lampiran). Yang tersisa adalah interaksi manusia yang dirancang agar tampak sah: halaman login yang identik dengan aslinya, atau suara yang menenangkan di ujung telepon. Inilah persis jenis pola yang harus dikenali perlindungan multi-saluran, bukan sekadar dipindai.
Pertanyaan yang sering diajukan
Apakah autentikasi dua faktor masih melindungi dari phishing?
Masih berguna melawan pencurian kata sandi sederhana, tapi tidak lagi terhadap serangan "adversary-in-the-middle": penyerang mencegat sesi tepat setelah kode autentikasi dua faktor divalidasi, jadi autentikasi dua faktor tetap terjadi — tapi sia-sia.
Apa itu phishing lewat panggilan balik (TOAD)?
Sebuah email tanpa tautan atau lampiran, hanya berisi nomor telepon untuk dihubungi balik dengan alasan yang meyakinkan (tagihan, langganan). Setelah tersambung lewat telepon, seorang "penasihat" palsu membimbing korban untuk memasang perangkat lunak atau memberikan kredensialnya.
Mengapa teknik-teknik ini lolos dari filter otomatis?
Karena seringkali tidak mengandung tautan mencurigakan atau lampiran berbahaya untuk dipindai — penipuan terjadi lewat interaksi manusia, di telepon atau di halaman yang meniru sempurna aslinya.