Courtesy of Forbes

Waspada ConsentFix: Serangan Baru yang Bobol Akun Microsoft Tanpa Kata Sandi

Mengedukasi pembaca tentang bahaya serangan phishing terbaru bernama ConsentFix yang dapat mengelabui pengguna untuk memberikan akses ke akun Microsoft mereka tanpa perlu kata sandi atau MFA, serta memberikan peringatan agar pengguna tidak pernah menyalin dan menempelkan teks yang diminta dalam pop-up atau pesan mencurigakan.

16 Des 2025, 05.43 WIB

73 dibaca

Ikhtisar 15 Detik

Hindari menyalin dan menempelkan teks dari pop-up atau pesan yang mencurigakan.
ConsentFix adalah evolusi dari ClickFix yang lebih berbahaya dan sulit dideteksi.
Serangan dapat dilakukan melalui situs web yang sah yang telah dikompromikan, jadi penting untuk berhati-hati saat berselancar di internet.

Ada serangan siber bernama ClickFix yang sering membuat pengguna komputer terjebak dengan menyuruh mereka menyalin dan menempel kode berbahaya ke dalam Command Windows. Hal ini menyebabkan malware terpasang tanpa diketahui pengguna. Namun, versi lama ini telah berkembang menjadi yang lebih berbahaya yaitu ConsentFix.

ConsentFix menggunakan teknik phishing yang memanfaatkan browser dan OAuth, sebuah sistem keamanan modern. Dengan cara ini, penyerang bisa mendapatkan akses ke akun Microsoft tanpa pengguna memasukkan kata sandi atau melewati autentikasi multi-faktor yang biasanya cukup aman.

Serangan ini sering dimulai dari halaman web yang sudah diretas dan muncul dalam pencarian Google, membuat korban yang tidak curiga bisa jatuh dalam jebakan dengan mudah. Mereka akan disuruh menyalin dan menempel tautan khusus yang dapat memberikan akses ke penyerang.

Penting untuk diingat bahwa tidak ada situasi yang sah di mana Anda harus menyalin dan menempel teks atau tautan ke dalam sistem atau situs yang tidak jelas tujuannya. Menjaga kewaspadaan adalah cara terbaik untuk melindungi diri dari jenis serangan seperti ini yang sangat cerdik dan sulit dideteksi.

Karena serangan ini bekerja di dalam browser, banyak alat deteksi phishing berbasis email menjadi tidak efektif lagi. Oleh karena itu, edukasi dan kehati-hatian pengguna menjadi kunci utama untuk mencegah akun mereka dibobol melalui teknik seperti ConsentFix.

Referensi:
[1] https://www.forbes.com/sites/zakdoffman/2025/12/15/if-you-get-this-message-your-microsoft-account-is-under-attack/

Analisis Ahli

Push Security

"ConsentFix menggabungkan phishing OAuth dengan trik Copy-Paste yang mempersulit deteksi dan melewati proteksi multi-faktor secara efektif."

Analisis Kami

"Serangan seperti ConsentFix menunjukkan bahwa lapisan keamanan berbasis teknologi saja tidak cukup efektif tanpa edukasi pengguna yang memadai. Pengguna harus dididik untuk mewaspadai mekanisme manipulasi yang berusaha mengeksploitasi kepercayaan mereka terhadap antarmuka browser dan aplikasi yang biasa digunakan."

Prediksi Kami

Dengan semakin canggihnya teknik phishing seperti ConsentFix, serangan yang menggunakan manipulasi browser dan token OAuth akan semakin marak, sehingga pengguna dan penyedia layanan harus meningkatkan kesadaran dan memperkuat mekanisme keamanan berbasis perilaku pengguna.

Pertanyaan Terkait

Apa itu ConsentFix?

ConsentFix adalah teknik serangan phishing yang menggabungkan phishing OAuth dengan pengingat pengguna gaya ClickFix.

Bagaimana ConsentFix berbeda dari ClickFix?

ConsentFix menggunakan prompt asli browser untuk mendapatkan akses tanpa memerlukan kata sandi atau autentikasi multi-faktor, sedangkan ClickFix melibatkan penyalinan dan penempelan teks ke dalam jendela sistem.

Apa yang dilakukan serangan ConsentFix?

Serangan ConsentFix mengarahkan korban untuk menyalin dan menempelkan URL yang memberikan akses ke akun Microsoft mereka kepada penyerang.

Mengapa serangan ini dianggap berbahaya?

Serangan ini berbahaya karena terjadi sepenuhnya dalam konteks browser, menghindari beberapa metode deteksi phishing.

Apa yang bisa dilakukan untuk melindungi diri dari serangan ini?

Pengguna disarankan untuk tidak menyalin dan menempelkan teks jika diminta dalam pesan atau pop-up.