AI-Enabled Device Code Phishing: Sinyal Baru untuk Admin Microsoft 365

Microsoft Defender Security Research melaporkan kampanye device code phishing yang menggunakan automation dan AI untuk membuat alur serangan lebih dinamis. Bagi admin Microsoft 365, poin pentingnya bukan hanya email phishing yang terlihat rapi, tetapi penyalahgunaan OAuth device code flow yang dapat menghasilkan token akses tanpa korban menyerahkan password ke situs palsu.

Mengapa ini penting

Device code flow adalah mekanisme OAuth yang sah untuk perangkat dengan input terbatas. Namun dalam skenario phishing, penyerang dapat meminta korban memasukkan kode pada halaman Microsoft yang asli, lalu sesi yang diotorisasi justru menjadi milik penyerang. Microsoft mencatat penggunaan dynamic device code generation, lure yang dipersonalisasi, dan infrastruktur cloud/serverless untuk menghindari deteksi sederhana.

Dampak untuk operasi email

• Email gateway saja tidak cukup jika link akhirnya menuju proses login resmi.
• Admin perlu melihat sinyal identity: device code authentication, sign-in risk, token use, dan inbox rule yang muncul setelah kompromi.
• Role finance, executive, admin, dan procurement perlu diprioritaskan karena sering menjadi target follow-up.

Checklist awal

1. Batasi atau blokir device code flow jika tidak diperlukan.
2. Gunakan phishing-resistant MFA untuk akun penting.
3. Monitor inbox rule baru, OAuth consent, risky sign-in, dan impossible travel.
4. Latih user untuk curiga pada instruksi login yang meminta memasukkan kode perangkat.

Catatan JABETTO

Untuk organisasi enterprise, kontrol identitas dan email harus dibaca sebagai satu sistem. Jika token sudah dicuri, pekerjaan incident response tidak berhenti di reset password; perlu revoke session, audit inbox rule, periksa forwarding, dan lihat akses Graph atau mailbox setelah waktu kompromi.

Sumber

Microsoft Security Blog: Inside an AI-enabled device code phishing campaign