
Operasi phishing-as-a-service (PhaaS) baru bernama Forg365 mulai beredar di Telegram, menawarkan serangkaian kemampuan canggih untuk mencuri akun Microsoft 365 dengan harga $400 per bulan. Sistem ini mengkombinasikan device code phishing, teknik Adversary-in-the-Middle (AitM), dan kecerdasan buatan untuk membuat lure yang meyakinkan.
Apa yang Terjadi?
Forg365 bukan sekadar toolkit phishing biasa. Platform ini menawarkan:
- Phishing lures yang dikirim melalui infrastruktur email legit seperti Amazon SES dan Twilio SendGrid
- Alur redirect yang menyatu dengan lalu lintas email normal
- Device code phishing — teknik yang mengeksploitasi alur autentikasi Microsoft yang sah
- Aduan Adversary-in-the-Middle (AitM) yang bisa melewati Multi-Factor Authentication (MFA)
- Pembuatan email phishing dengan bantuan AI
- Manajemen mailbox pasca-kompromi
Serangan dimulai dari email phishing yang dikirim via Amazon SES atau SendGrid, melewati rantai redirect, dan berakhir di domain yang dikendalikan Forg365. Korban kemudian diarahkan ke halaman login Microsoft palsu yang menggunakan device code flow untuk mencuri sesi autentikasi.
Detil Teknis
Panel kontrol Forg365 sangat matang untuk sebuah operasi kriminal:
- Manajemen akun, tautan, dan undangan
- Konfigurasi OAuth app untuk device code flow
- Pembuatan SVG phishing dan rotasi SMTP
- Token vaulting — penyimpanan token curian
- Intelligence akun target dan alert kata kunci
- Dukungan browser extension untuk eksekusi
Harga berlangganan: $400/bulan atau $3.800/tahun. Dengan harga ini, bahkan operator cybercrime tingkat menengah pun bisa menjalankan serangan yang sebelumnya hanya mampu dilakukan oleh APT group.
Teknik device code phishing sendiri mengalami peningkatan deteksi hingga 37x lipat dalam beberapa bulan terakhir, dan setiap vendor AiTM utama kini menyertakan teknik ini dalam platform mereka.
Dampak terhadap Indonesia
Microsoft 365 menjadi target utama karena digunakan secara luas oleh organisasi di Indonesia — mulai dari BUMN, bank, perusahaan multinasional, hingga institusi pendidikan. Dengan harga yang relatif terjangkau, serangan berbasis Forg365 bisa menyebar luas dan mengancam ribuan organisasi Indonesia.
Rekomendasi Mitigasi
- Conditional Access Policies: Implementasikan kebijakan aksibersyarat yang membatasi login dari lokasi dan device tidak dikenal
- Phishing-resistant MFA: Beralih dari SMS/OTP ke FIDO2/WebAuthn atau certificate-based auth
- Monitoring OAuth apps: Audit aplikasi OAuth yang terdaftar di tenant secara berkala
- Device compliance: Pastikan hanya device yang terdaftar yang bisa mengakses resources
- User awareness:
“Panel ini mengekspos workflow operator yang matang: akun, tautan, konfigurasi OAuth, pengiriman kampanye, rotasi SMTP, pembuatan email AI, token vaulting, dan dukungan browser extension,” lapor ZeroBAC dalam analisisnya.
Sumber: The Hacker News