Microsoft memperingatkan peningkatan serangan phishing yang meniru layanan cloud populer

  • Diperbarui pada28/01/2026
  • 8

En bref

Daftar isi
  • Microsoft mengeluarkan peringatan soal kenaikan serangan phishing yang meniru layanan cloud populer dan komunikasi internal perusahaan.
  • Pelaku memanfaatkan skema perutean email yang rumit, salah konfigurasi proteksi anti-penipuan, serta taktik sosial untuk membuat pesan tampak “resmi”.
  • Target favorit adalah akun bernilai tinggi: eksekutif, tim keuangan, pengadaan, dan admin cloud—karena satu akun saja bisa membuka jalan ke pencurian identitas dan pengalihan pembayaran.
  • Vektor yang sering dipakai meliputi aplikasi OAuth berbahaya, penyalahgunaan fitur Direct Send, password spraying berbasis botnet, serta kampanye BEC multi-tahap.
  • Respons efektif menuntut gabungan kontrol teknologi informasi, proses bisnis, dan edukasi, dengan fokus pada proteksi data dan keamanan internet dari ujung ke ujung.

Peringatan terbaru dari Microsoft tentang peningkatan serangan phishing bukan sekadar alarm rutin. Polanya menunjukkan pergeseran: pelaku tidak lagi hanya mengirim tautan “paket tertahan” atau “akun terkunci”, melainkan meniru arsitektur kerja modern—undangan berbagi file, notifikasi tanda tangan digital, permintaan akses, hingga percakapan internal yang biasanya terjadi di ekosistem layanan cloud. Ketika perusahaan menggantungkan operasional pada Microsoft 365 dan Azure, penyerang ikut menumpang pada kepercayaan yang sama. Mereka mengeksploitasi konfigurasi email yang kompleks, memanfaatkan celah pada pengaturan autentikasi, dan merancang skenario yang terasa mendesak agar korban bertindak cepat tanpa verifikasi.

Dampaknya juga meluas dari kompromi akun menjadi penipuan online yang langsung menyentuh arus kas. Dalam beberapa kasus, kredensial yang dicuri dipakai untuk menyusup ke percakapan vendor, mengubah instruksi pembayaran, lalu menghilangkan jejak sebelum tim keuangan menyadari. Di sisi lain, organisasi yang sibuk mengejar transformasi digital sering terlambat menata ulang kebijakan akses, persetujuan aplikasi, serta pelatihan karyawan—padahal pertahanan modern menuntut disiplin yang konsisten. Dari sini, persoalannya menjadi jelas: apakah perusahaan siap menghadapi penipuan yang meniru “kebiasaan kerja” mereka sendiri?

Microsoft memperingatkan serangan phishing yang meniru layanan cloud: bagaimana modusnya terlihat “internal”

Gelombang kampanye terbaru memperlihatkan ciri khas: pesan dibuat agar tampak berasal dari dalam organisasi—seolah-olah dikirim oleh tim keuangan, pengadaan, HR, atau bahkan jajaran eksekutif. Di banyak perusahaan, alur kerja kini berjalan lewat berbagi tautan OneDrive/SharePoint, permintaan persetujuan di email, dan notifikasi otomatis dari aplikasi SaaS. Penyerang meniru pola ini dengan rapi: subjek email menyerupai pemberitahuan dokumen, domain tampak mirip, dan isi pesan menekan korban untuk segera membuka file, mengonfirmasi akses, atau meninjau “faktur yang direvisi”. Di titik inilah keamanan internet berbasis kewaspadaan individu diuji, karena konteksnya terasa wajar.

Salah satu faktor yang memperkuat keberhasilan taktik ini adalah kerumitan perutean email perusahaan modern. Banyak organisasi memiliki gateway, layanan keamanan, pengalihan ke sistem tiket, serta aturan penerusan otomatis untuk divisi tertentu. Dalam skenario yang salah konfigurasi, penyerang dapat memanfaatkan “jalur tepercaya” sehingga pesan tampak telah melewati pemeriksaan internal. Microsoft menyoroti bahwa kesalahan pengaturan proteksi anti-penipuan—misalnya kebijakan yang terlalu permisif untuk domain mitra, atau pengecualian untuk layanan tertentu—sering membuka pintu bagi email yang meniru komunikasi internal.

Untuk membumikan situasi, bayangkan perusahaan fiktif “NusantaraLog”, distributor perangkat industri dengan ratusan pemasok. CFO-nya, Dina, sering menerima invoice revisi karena perubahan kurs dan ongkos logistik. Pada suatu pagi, tim pengadaan menerima email yang tampak berasal dari Dina, meminta perubahan rekening vendor “karena audit bank”. Email itu menyertakan tautan “dokumen konfirmasi” yang menyerupai halaman masuk Microsoft. Staf mengisi kredensial, lalu penyerang langsung mengambil alih sesi. Setelah itu, pelaku tidak berhenti di pencurian identitas; mereka melanjutkan ke tahap lebih merusak: mengarahkan pembayaran ke rekening baru. Ini bukan hanya insiden IT—ini insiden finansial.

Tanda-tanda yang sering diabaikan dalam email “terlalu normal”

Phishing modern jarang terlihat mencolok. Kecurigaan justru muncul dari detail kecil: nada bahasa yang sedikit berbeda dari kebiasaan, permintaan yang melewati prosedur normal, atau dorongan untuk menyelesaikan tindakan “hari ini juga”. Bahkan ketika domain tampak benar, penyerang bisa menyisipkan tautan perantara (redirect) yang baru mengarah ke halaman pemanen kredensial. Jika organisasi mengandalkan kebiasaan “klik dulu, cek belakangan”, serangan menjadi soal waktu.

Pelajaran pentingnya: ketika penyerang meniru kebiasaan kerja di layanan cloud, pertahanan harus ikut beradaptasi—bukan sekadar menambah filter spam, melainkan menata proses verifikasi transaksi dan akses.

microsoft memperingatkan peningkatan serangan phishing yang meniru layanan cloud populer untuk mencuri data pengguna. waspadai email mencurigakan dan lindungi akun anda dengan langkah keamanan terbaik.

Vektor serangan yang memanfaatkan Microsoft 365: OAuth berbahaya, Direct Send, dan password spraying

Di lapangan, banyak insiden tidak dimulai dari “klik tautan” klasik, melainkan dari mekanisme yang sah dalam ekosistem Microsoft 365. Ini membuat deteksi menjadi lebih sulit karena aktivitas berbahaya terlihat seperti penggunaan normal. Sejumlah pengamatan dari pelaku industri keamanan siber menunjukkan empat jalur yang berulang: penyalahgunaan aplikasi OAuth, eksploitasi fitur Direct Send, password spraying berbasis botnet, dan kampanye BEC multi-tahap. Benang merahnya sama: penyerang meminjam legitimasi platform untuk menembus kontrol tradisional.

Penyalahgunaan aplikasi OAuth yang menyamar sebagai layanan tepercaya

Dalam skema ini, korban tidak diminta memasukkan kata sandi di halaman palsu. Sebaliknya, korban diminta “memberi izin” pada aplikasi yang tampak sah—misalnya meniru SharePoint, layanan tanda tangan, atau alat kolaborasi. Begitu izin diberikan, aplikasi dapat memperoleh akses ke data atau email, kadang dengan token yang tetap valid meski kata sandi diganti. Dampaknya bukan hanya akses sementara; ini jalur persistensi. Pada beberapa kampanye, pola ini berdampak luas: ribuan akun di berbagai tenant dapat tersentuh karena aplikasi memanfaatkan kepercayaan pengguna pada integrasi pihak ketiga.

Eksploitasi Direct Send untuk mengirim email internal tanpa autentikasi kuat

Direct Send pada Microsoft dirancang untuk perangkat seperti printer dan pemindai agar bisa mengirim email tanpa login interaktif. Ketika disalahgunakan, fitur ini dapat membantu pelaku mengirim pesan yang tampak “dari internal” dan kadang melewati pemeriksaan SPF/DKIM/DMARC, khususnya pada konfigurasi tertentu. Akibatnya, email bisa terlihat sangat meyakinkan bagi karyawan dan lolos dari beberapa filter. Ini menunjukkan bahwa celah sering berada pada perbatasan antara kebutuhan operasional dan kontrol keamanan.

Password spraying berbasis botnet dan jebakan protokol lama

Microsoft dan beberapa tim respons insiden menyoroti meningkatnya password spraying yang menargetkan akun cloud bernilai tinggi. Dengan botnet besar—dalam beberapa observasi mencapai lebih dari 130.000 perangkat—penyerang mencoba kata sandi umum secara perlahan agar tidak memicu penguncian akun. Risiko naik ketika organisasi masih mengizinkan protokol lama seperti Basic Authentication. Pada skenario tertentu, protokol ini bisa melemahkan manfaat MFA, atau setidaknya mengurangi sinyal deteksi yang biasanya muncul pada login modern. Ini bukan masalah “kata sandi lemah” semata, melainkan masalah kebijakan akses.

Kampanye BEC multi-tahap: dari pencurian kredensial ke pengalihan pembayaran

Serangan Business Email Compromise (BEC) yang matang biasanya memakai pengalihan berlapis dan penyamaran tautan. Setelah kredensial didapat, pelaku mengamati percakapan, mempelajari pola persetujuan, lalu masuk pada momen pembayaran. Di sinilah penipuan online menjadi sangat nyata: instruksi bank diganti, invoice “diperbarui”, atau pembayaran dipercepat dengan alasan denda. Sering kali, pelaku sengaja meniru gaya bahasa pejabat internal agar tidak memicu kecurigaan.

Inti dari bagian ini: vektor serangan modern memanfaatkan fitur sah dalam platform, sehingga organisasi perlu meninjau ulang konfigurasi—bukan hanya mengandalkan pelatihan pengguna.

Dampak bisnis: dari pencurian identitas hingga penipuan invoice dan gangguan operasional

Saat serangan phishing berhasil, kerugiannya jarang berhenti pada satu akun. Penyerang mengejar efek domino: akses email untuk reset kata sandi layanan lain, akses file untuk mempelajari kontrak, dan akses kalender untuk memetakan kapan eksekutif sedang sibuk. Dari sudut pandang teknologi informasi, ini adalah kompromi identitas. Dari sudut pandang bisnis, ini ancaman langsung pada arus kas, hubungan pemasok, dan kepatuhan. Dalam beberapa investigasi, kredensial yang disusupi dipakai untuk mengarahkan pembayaran ke rekening baru—dan ketika transaksi sudah melewati beberapa lapis perbankan, pemulihannya menjadi rumit.

Kasus “NusantaraLog” bisa dilanjutkan: setelah akun staf pengadaan dibajak, pelaku membuat aturan inbox tersembunyi untuk memindahkan email vendor ke folder arsip. Dengan begitu, korban tidak melihat balasan vendor yang mempertanyakan perubahan rekening. Pelaku kemudian mengirim “klarifikasi” yang tampak datang dari internal, menekankan urgensi pengiriman barang. Dalam hitungan hari, satu pembayaran besar meluncur ke rekening penampung. Ketika tim audit menemukan ketidaksesuaian, reputasi perusahaan ikut terguncang karena vendor mengira NusantaraLog lalai.

Perbandingan ringkas dampak dan sinyal peringatan

Area Terdampak
Contoh Dampak
Sinyal Peringatan yang Sering Muncul
Kontrol yang Relevan
Keuangan
Pengalihan pembayaran invoice, perubahan rekening vendor
Permintaan “urgent” di luar SOP, perubahan rekening mendadak
Verifikasi dua kanal, approval berjenjang, pembekuan perubahan data vendor
Identitas & Akses
pencurian identitas, pengambilalihan akun eksekutif
Login non-interaktif tak biasa, aplikasi pihak ketiga baru
MFA tahan-phishing, conditional access, audit OAuth
Operasional
Gangguan proyek, kebocoran dokumen tender
Undangan berbagi file yang tidak diminta
Klasifikasi data, DLP, kebijakan berbagi eksternal
Hukum & Kepatuhan
Pelanggaran privasi, risiko denda dan litigasi
Eksfiltrasi data, akses file sensitif di jam tak wajar
proteksi data, logging terpusat, rencana respons insiden

Dampak seperti ini berkaitan erat dengan tren ancaman lain. Serangan pada sektor kesehatan, misalnya, menunjukkan bagaimana gangguan siber bisa berujung pada layanan publik yang tersendat; referensi tentang insiden semacam itu dapat dilihat pada laporan serangan ransomware di rumah sakit. Polanya serupa: pelaku memanfaatkan tekanan operasional agar korban mengambil keputusan cepat. Karena itu, membahas phishing tanpa membahas proses bisnis adalah pendekatan yang timpang.

Insight akhirnya: keberhasilan penyerang bergantung pada kemampuan mereka mengubah akses digital menjadi keputusan finansial—dan itu terjadi ketika kontrol bisnis dan kontrol IT tidak saling mengunci.

Strategi pertahanan berlapis untuk keamanan siber layanan cloud: kebijakan, kontrol, dan budaya kerja

Jika Microsoft mengeluarkan peringatan, respons yang efektif tidak cukup dengan “mengimbau pengguna berhati-hati”. Organisasi perlu pendekatan berlapis: penguatan identitas, pengetatan konfigurasi email, pengendalian aplikasi pihak ketiga, serta prosedur keuangan yang tahan manipulasi. Tujuannya sederhana namun menuntut disiplin: menurunkan kemungkinan kompromi, dan jika kompromi terjadi, membatasi dampaknya. Dalam konteks layanan cloud, pertahanan terbaik adalah kombinasi kontrol teknis dan kontrol proses.

Langkah prioritas yang dapat diterapkan tanpa menunggu proyek besar

Berikut daftar tindakan yang sering memberi dampak cepat ketika diterapkan dengan konsisten. Daftar ini bukan pengganti program besar, tetapi menjadi fondasi yang langsung menutup celah umum.

  1. Audit izin aplikasi OAuth dan terapkan persetujuan admin untuk integrasi pihak ketiga, terutama yang meminta akses mailbox atau file.
  2. Batasi atau nonaktifkan Direct Send bila tidak diperlukan; jika wajib, kunci ke IP yang dikenal dan pantau pola pengiriman.
  3. Terapkan kebijakan akses bersyarat (conditional access) untuk lokasi, perangkat, dan risiko login; pantau login non-interaktif.
  4. Nonaktifkan protokol lama yang menurunkan visibilitas dan kontrol autentikasi, lalu pastikan MFA yang lebih tahan phishing.
  5. Edukasi pengguna tentang phishing “internal”: perubahan rekening vendor, permintaan darurat dari eksekutif, dan tautan berbagi file yang tidak diminta.

Di sisi email, konfigurasi SPF/DKIM/DMARC tetap penting, tetapi harus dibarengi kebijakan pengecualian yang ketat. Banyak insiden terjadi bukan karena tiga standar itu “tidak ada”, melainkan karena pengecualian dibuat terlalu luas untuk kenyamanan operasional. Pertanyaannya: apakah organisasi pernah meninjau ulang pengecualian tersebut setelah akuisisi, migrasi tenant, atau perubahan vendor?

Di sisi proteksi data, klasifikasi dokumen dan kebijakan berbagi eksternal sering terlupakan. Padahal, ketika akun disusupi, penyerang berburu dokumen yang bisa dipakai untuk meyakinkan korban berikutnya: invoice template, daftar vendor, tanda tangan email, hingga struktur persetujuan. Kontrol Data Loss Prevention (DLP) dan logging terpusat membantu mendeteksi akses massal atau unduhan tak wajar, sehingga respons bisa lebih cepat.

Budaya kerja juga berperan. Banyak perusahaan punya SOP verifikasi rekening vendor, namun tidak dipatuhi ketika “bos meminta cepat”. Mengubah budaya berarti memberi legitimasi pada karyawan untuk bertanya, bahkan ketika email tampak datang dari eksekutif. Praktik sederhana seperti “verifikasi dua kanal” (misalnya konfirmasi via nomor yang sudah tersimpan di sistem, bukan nomor di email) adalah penghambat efektif terhadap BEC.

Upaya organisasi sebaiknya selaras dengan arah kebijakan yang lebih luas. Untuk perspektif yang lebih makro mengenai pendekatan sistemik, rujukan terkait bisa dibaca pada strategi keamanan siber nasional, karena penanggulangan ancaman cloud tidak berdiri sendiri—ia terkait ekosistem, standar, dan koordinasi lintas sektor.

Kalimat kuncinya: pertahanan yang menang bukan yang paling canggih, melainkan yang paling konsisten menghubungkan kontrol identitas, email, dan proses keuangan dalam satu rantai keputusan.

microsoft memperingatkan peningkatan serangan phishing yang menargetkan layanan cloud populer, mengingatkan pengguna untuk waspada terhadap email dan tautan mencurigakan.

Studi kasus operasional: dari email palsu ke pengambilalihan Azure dan pencegahan di tim teknologi informasi

Serangan yang meniru layanan cloud tidak selalu berhenti di email. Setelah pelaku menguasai satu identitas, langkah selanjutnya sering mengarah ke lingkungan cloud yang lebih luas—termasuk portal administrasi, repositori, dan konfigurasi keamanan. Tim respons di berbagai perusahaan telah mendeteksi kampanye yang dirancang untuk menyusupi akun Azure, terutama yang dimiliki individu berprofil tinggi. Ini logis: akun eksekutif atau admin sering memiliki akses lintas sistem, sementara jadwal mereka padat sehingga peringatan keamanan mudah terlewat.

Di NusantaraLog, misalnya, insiden awal terjadi pada staf pengadaan. Namun pelaku kemudian mengirim undangan “berbagi laporan pengeluaran” ke asisten eksekutif. Undangan itu bukan sekadar phishing kredensial; ia meminta persetujuan aplikasi yang tampak seperti alat pelaporan. Ketika izin diberikan, pelaku memperoleh akses yang cukup untuk membaca email, mengunduh lampiran, dan mencari kata kunci seperti “Azure”, “admin”, “reset”, atau “akses sementara”. Dari sana, mereka mencoba memperluas jangkauan dengan menargetkan admin IT melalui password spraying, berharap ada akun yang masih mengizinkan metode login lama. Satu celah kecil bisa menjadi eskalasi besar.

Bagaimana tim IT dapat memutus rantai serangan sebelum meluas

Peran teknologi informasi di sini bukan hanya “membersihkan malware”, melainkan mengelola identitas dan hak akses sebagai aset bisnis. Ada tiga teknik praktis yang sering membatasi dampak, terutama ketika diterapkan sejak awal:

  • Pemantauan anomali pada aktivitas persetujuan aplikasi: lonjakan consent, aplikasi dengan publisher tidak jelas, atau permintaan scope berlebihan.
  • Deteksi aturan inbox mencurigakan: pembuatan forwarding otomatis, pemindahan email vendor, atau penghapusan pesan tertentu adalah indikator kuat BEC.
  • Segmentasi hak akses: meminimalkan akun “serba bisa”, menerapkan prinsip least privilege, dan memisahkan akun admin dari akun harian.

Selain itu, tata kelola komunikasi eksternal penting untuk mencegah penipuan berkedok pembaruan rekening. Banyak organisasi kini menambahkan langkah “pembekuan perubahan data vendor” selama 24–48 jam sambil melakukan verifikasi. Kebijakan ini mungkin terasa menghambat, tetapi sering menjadi penyelamat ketika pelaku mengandalkan urgensi. Dalam konteks publik, pendekatan serupa juga dipakai untuk memerangi penipuan online di ranah konsumen; misalnya, pembaruan fitur dan pelaporan di platform digital seperti yang dibahas pada fitur marketplace melawan penipuan online menunjukkan bahwa friksi kecil kadang diperlukan untuk keamanan yang lebih besar.

Pada akhirnya, tim keamanan perlu memikirkan “jalur penyerang” seperti memikirkan jalur pelanggan: langkah demi langkah, dari titik kontak awal hingga tujuan akhir. Ketika jalur itu dipetakan, kontrol bisa dipasang di simpul paling efektif—consent aplikasi, akses admin, dan proses perubahan pembayaran. Insight penutupnya: serangan yang paling berbahaya bukan yang paling rumit, melainkan yang paling selaras dengan kebiasaan kerja kita sehari-hari.

Picture of Rafi Nugroho Nugroho
Rafi Nugroho Nugroho
Rafi Nugroho menulis tentang teknologi dan inovasi di Indonesia. Ia mengikuti perkembangan digital, inisiatif teknologi, dan transformasi yang didorong oleh teknologi.
Berita terbaru
negara anggota pbb mengecam peningkatan aksi israel di tepi barat, menyerukan penghentian kekerasan dan perlindungan hak asasi manusia di wilayah tersebut.
Negara Anggota PBB Mengecam Aksi Israel yang Meningkat di Tepi Barat
kebakaran besar terjadi di mall ciputra cibubur, dua unit pemadam kebakaran segera dikerahkan untuk mengatasi api dan menyelamatkan pengunjung.
Kebakaran Melanda Mall Ciputra Cibubur, Dua Unit Pemadam Kebakaran Turun Tangan
jepang mengembangkan teknologi kaca mobil antisilau inovatif yang dioptimalkan dengan kecerdasan buatan (ai) untuk meningkatkan keamanan dan kenyamanan berkendara.
Jepang mengembangkan teknologi kaca mobil antisilau yang dioptimalkan dengan AI
kementerian lingkungan hidup merespons pengaduan warga mengenai pembakaran sampah terbuka di bekasi untuk menjaga kebersihan dan kesehatan lingkungan.
Kementerian Lingkungan Hidup menindaklanjuti aduan warga soal pembakaran sampah terbuka di Bekasi
pelaku startup di indonesia kini mendapatkan akses pendanaan baru melalui program inkubasi pemerintah yang baru diluncurkan, mendukung pertumbuhan dan inovasi bisnis lokal.
Pelaku startup Indonesia mendapat akses pendanaan baru setelah program inkubasi pemerintah diluncurkan
Berita terbaru
negara anggota pbb mengecam peningkatan aksi israel di tepi barat, menyerukan penghentian kekerasan dan perlindungan hak asasi manusia di wilayah tersebut.
18 Februari 2026
Negara Anggota PBB Mengecam Aksi Israel yang Meningkat di Tepi Barat

Pernyataan bersama dari puluhan Negara Anggota PBB yang Mengecam Aksi Israel di Tepi Barat kembali

kebakaran besar terjadi di mall ciputra cibubur, dua unit pemadam kebakaran segera dikerahkan untuk mengatasi api dan menyelamatkan pengunjung.
17 Februari 2026
Kebakaran Melanda Mall Ciputra Cibubur, Dua Unit Pemadam Kebakaran Turun Tangan

Siang hari yang biasanya dipenuhi rutinitas belanja mendadak berubah menjadi situasi darurat ketika kebakaran dilaporkan

jepang mengembangkan teknologi kaca mobil antisilau inovatif yang dioptimalkan dengan kecerdasan buatan (ai) untuk meningkatkan keamanan dan kenyamanan berkendara.
30 Januari 2026
Jepang mengembangkan teknologi kaca mobil antisilau yang dioptimalkan dengan AI

Dalam beberapa tahun terakhir, pengemudi di kota-kota besar Jepang semakin sering berhadapan dengan musuh yang

kementerian lingkungan hidup merespons pengaduan warga mengenai pembakaran sampah terbuka di bekasi untuk menjaga kebersihan dan kesehatan lingkungan.
30 Januari 2026
Kementerian Lingkungan Hidup menindaklanjuti aduan warga soal pembakaran sampah terbuka di Bekasi

Di pinggiran Jabodetabek, asap tipis yang muncul menjelang senja kerap dianggap “biasa”: tumpukan sampah terbuka

pelaku startup di indonesia kini mendapatkan akses pendanaan baru melalui program inkubasi pemerintah yang baru diluncurkan, mendukung pertumbuhan dan inovasi bisnis lokal.
30 Januari 2026
Pelaku startup Indonesia mendapat akses pendanaan baru setelah program inkubasi pemerintah diluncurkan

Gelombang pendanaan baru untuk pelaku startup di Indonesia tidak lagi hanya bergantung pada “musim” investor,

singapura memperluas program kota pintar dengan sistem pemantauan konsumsi energi gedung secara real-time untuk meningkatkan efisiensi dan keberlanjutan.
29 Januari 2026
Singapura memperluas program kota pintar yang memantau konsumsi energi gedung secara real-time

Di Singapura, gagasan kota pintar kini bergerak dari sekadar layanan digital menjadi agenda yang lebih