Sebuah serangan baru bernama SessionShark O365 2FA/MFA kini mengancam pengguna Microsoft Office 365. Serangan ini dirancang untuk membobol perlindungan autentikasi dua faktor (MFA) yang biasanya melindungi akun Anda. Penyerang menggunakan teknik canggih untuk mencuri session token yang sah, membuat perlindungan 2FA menjadi tidak berguna.
SessionShark dijual dengan dalih sebagai “alat edukasi,” tetapi kenyataannya bisa sangat berbahaya. Kit ini memungkinkan penjahat dunia maya untuk membuat halaman login palsu Microsoft yang terlihat sangat meyakinkan. Bahkan, halaman palsu ini bisa menyesuaikan diri berdasarkan kondisi pengguna, sehingga sulit dibedakan dari yang asli.
Sebelumnya, serangan bernama ClickFix juga marak, di mana korban ditipu untuk menjalankan skrip berbahaya di PC mereka. Skrip ini bisa mencuri data penting hingga mengambil alih kendali penuh atas komputer korban.
Kini, dengan adanya SessionShark, pengguna diminta untuk lebih berhati-hati. Jangan pernah login ke akun Microsoft, Google, atau akun penting lainnya melalui tautan yang dikirim lewat email, pesan, atau forum. Selalu gunakan cara resmi untuk mengakses akun Anda.
Microsoft, Google, dan perusahaan besar lainnya kini mendorong penggunaan passkey, yaitu metode login yang mengandalkan perangkat fisik (seperti ponsel atau laptop) untuk meningkatkan keamanan. Passkey jauh lebih aman daripada password biasa atau kode SMS.
Dengan semakin canggihnya teknik phishing yang bahkan bisa meniru logo, halaman login, hingga CAPTCHA, satu-satunya cara untuk tetap aman adalah dengan tidak mudah percaya pada email atau pesan yang meminta Anda login lewat tautan tertentu. Segera aktifkan passkey di akun penting Anda dan hindari login melalui link mencurigakan. Kesalahan kecil bisa membuat Anda kehilangan seluruh data di PC.