Egidio
Laporan · 2026

Ketika antivirus saja tak lagi cukup

Phishing hari ini tak lagi selalu terlihat seperti email dengan ejaan buruk dan tautan mencurigakan. Dua teknik terdokumentasi secara khusus menembus pertahanan otomatis — yang satu menembus autentikasi dua faktor, yang lain menembus filter anti-spam.

🕵️Pencurian sesi setelah autentikasi (AiTM)

Alih-alih mencuri kata sandi, teknik ini mencegat sesi tepat setelah korban memvalidasi kode autentikasi dua faktornya — penyerang memposisikan diri sebagai perantara tak terlihat antara korban dan layanan asli. Hasilnya: autentikasi dua faktor memang terjadi, tapi sia-sia. Hanya pada Oktober 2025 saja, Microsoft memblokir lebih dari 13 juta email berbahaya yang terkait satu kit ini saja ("Tycoon 2FA"), digunakan menyerang akun Microsoft 365 di seluruh dunia.

Microsoft Defender for Office 365, Oktober 2025

☎️Phishing lewat panggilan balik (TOAD)

Sebuah email tanpa tautan atau lampiran: hanya sebuah nomor untuk dihubungi balik terkait tagihan yang mencurigakan atau langganan yang perlu dikonfirmasi. Tanpa URL untuk dipindai maupun berkas untuk dianalisis, filter otomatis klasik tidak mendeteksi apa pun — penipuan ini sepenuhnya berlangsung lewat telepon, di mana seorang "penasihat" palsu membimbing korban untuk memasang akses jarak jauh atau memberikan kredensialnya. Lembaga riset Trustwave mencatat kenaikan 140% kampanye semacam ini antara Juli dan September 2024, dengan Microsoft, Norton, PayPal, dan DocuSign sebagai merek yang paling sering ditiru.

Trustwave, 2024-2025

Kesamaannya: menembus otomatisasi, bukan kewaspadaan

Kedua teknik ini tidak mengeksploitasi celah teknis dalam arti klasik — mereka mengeksploitasi keterbatasan struktural dari alat deteksi otomatis, dengan menghilangkan elemen yang bisa dianalisis alat tersebut (tautan, lampiran). Yang tersisa adalah interaksi manusia yang dirancang agar tampak sah: halaman login yang identik dengan aslinya, atau suara yang menenangkan di ujung telepon. Inilah persis jenis pola yang harus dikenali perlindungan multi-saluran, bukan sekadar dipindai.

🔒 Sebuah nomor untuk dihubungi balik dalam email mencurigakan, atau halaman login yang meminta lagi kode yang sudah dimasukkan sebelumnya: dua sinyal yang bisa terlewat oleh filter klasik, tapi bisa dikenali mesin yang menghubungkan saluran-saluran satu sama lain. Lihat bagaimana cara kerja Medusa.

Pertanyaan yang sering diajukan

Apakah autentikasi dua faktor masih melindungi dari phishing?

Masih berguna melawan pencurian kata sandi sederhana, tapi tidak lagi terhadap serangan "adversary-in-the-middle": penyerang mencegat sesi tepat setelah kode autentikasi dua faktor divalidasi, jadi autentikasi dua faktor tetap terjadi — tapi sia-sia.

Apa itu phishing lewat panggilan balik (TOAD)?

Sebuah email tanpa tautan atau lampiran, hanya berisi nomor telepon untuk dihubungi balik dengan alasan yang meyakinkan (tagihan, langganan). Setelah tersambung lewat telepon, seorang "penasihat" palsu membimbing korban untuk memasang perangkat lunak atau memberikan kredensialnya.

Mengapa teknik-teknik ini lolos dari filter otomatis?

Karena seringkali tidak mengandung tautan mencurigakan atau lampiran berbahaya untuk dipindai — penipuan terjadi lewat interaksi manusia, di telepon atau di halaman yang meniru sempurna aslinya.

Baca lebih lanjut