news

AiTM Phishing Menargetkan 35.000 Pengguna: Apa yang Harus Dipelajari Admin Email

Microsoft mengamati kampanye AiTM phishing besar pada April 2026. Fokus mitigasi bergeser dari password ke token, MFA, dan session control.

Microsoft melaporkan kampanye phishing bertema code of conduct yang menargetkan lebih dari 35.000 pengguna di lebih dari 13.000 organisasi pada 14-16 April 2026. Serangan ini memakai adversary-in-the-middle phishing untuk mencuri token sesi, sehingga MFA biasa tidak selalu cukup.

Polanya makin enterprise-like

Lure yang diamati Microsoft memakai gaya komunikasi internal, attachment PDF, CAPTCHA, staging page, dan sign-in yang terlihat wajar. Ini membuat user merasa sedang mengikuti proses compliance, bukan membuka link acak.

Implikasi untuk organisasi

  • User awareness tetap penting, tetapi harus didukung kontrol teknis.
  • Safe Links, Safe Attachments, ZAP, dan browser protection membantu mengurangi exposure.
  • Phishing-resistant MFA lebih kuat karena challenge terikat ke domain yang sah.
  • Security team perlu hunting token/session anomaly, bukan hanya credential reset.

Respons yang masuk akal

  1. Audit akun yang menerima lure dan akun yang melakukan sign-in tidak biasa.
  2. Revoke session dan refresh token untuk akun terdampak.
  3. Periksa inbox rule, forwarding, OAuth app consent, dan akses mailbox.
  4. Prioritaskan privileged accounts dan finance workflows.

Catatan JABETTO

Serangan seperti ini menunjukkan mengapa email security tidak bisa berdiri sendiri. Identity, browser, endpoint, dan mailbox telemetry harus tersedia dalam satu proses incident response yang bisa dijalankan cepat.

Sumber

Microsoft Security Blog: Multi-stage code of conduct phishing campaign