Ancaman Phishing Kian Canggih, AI Digunakan untuk Curi Akun

Ancaman phishing kembali memasuki babak baru. Para peneliti keamanan siber baru-baru ini mengungkap keberadaan empat kit phishing canggih yang dirancang untuk mencuri data login secara masif dan sistematis. Keempat kit tersebut adalah BlackForce, GhostFrame, InboxPrime AI, dan Spiderman. Temuan ini menunjukkan bahwa kejahatan siber kini semakin terorganisir, canggih, dan sulit dideteksi, bahkan mampu melewati sistem keamanan berlapis seperti Multi-Factor Authentication (MFA).

Phishing tidak lagi sekadar email penipuan dengan bahasa seadanya. Kini, pelaku kejahatan siber memanfaatkan teknologi mutakhir, termasuk kecerdasan buatan (AI), teknik penghindaran canggih, serta infrastruktur yang menyerupai layanan digital resmi. Dampaknya, pengguna internet dari kalangan individu hingga perusahaan berada dalam risiko besar kehilangan akses akun, data pribadi, hingga aset keuangan.

BlackForce, Ahli Bypass MFA dengan Teknik Man-in-the-Browser

Salah satu kit phishing yang paling berbahaya adalah BlackForce. Kit ini pertama kali terdeteksi pada Agustus 2025 dan langsung menarik perhatian komunitas keamanan siber karena kemampuannya melewati sistem MFA, yang selama ini dianggap sebagai lapisan perlindungan tambahan yang cukup kuat.

BlackForce bekerja dengan metode Man-in-the-Browser (MitB), yaitu menyusup langsung ke sesi browser korban. Teknik ini memungkinkan penyerang menangkap kode One-Time Password (OTP) secara real-time. Kit ini diperjualbelikan secara terbuka di forum Telegram dengan harga antara €200 hingga €300, menjadikannya relatif mudah diakses oleh pelaku kejahatan siber.

Peneliti Zscaler ThreatLabz, Gladis Brinda R dan Ashwathi Sasi, mencatat bahwa BlackForce telah digunakan untuk menyamar sebagai lebih dari 11 merek ternama, seperti Disney, Netflix, DHL, dan UPS. Fakta bahwa kit ini masih aktif dikembangkan menunjukkan ancaman yang terus berevolusi.

BlackForce juga dilengkapi berbagai teknik penghindaran, termasuk daftar blokir untuk menyaring vendor keamanan, crawler, dan alat pemindai otomatis. Versi terbaru bahkan menggunakan teknik cache busting, memaksa browser korban selalu memuat skrip berbahaya versi terbaru.

Dalam praktiknya, serangan BlackForce berlangsung sangat halus. Korban yang mengklik tautan phishing akan diarahkan ke situs palsu yang tampilannya nyaris identik dengan situs resmi. Setelah korban memasukkan data login, informasi tersebut langsung dikirim ke bot Telegram dan panel kendali penyerang. Ketika MFA aktif, korban justru ditampilkan halaman verifikasi palsu, sehingga tanpa sadar menyerahkan kode OTP kepada pelaku.

Yang lebih berbahaya, setelah serangan selesai, korban diarahkan kembali ke situs asli, sehingga tidak menyadari bahwa akunnya telah diretas.

GhostFrame, Phishing Siluman Berbasis Iframe

Ancaman berikutnya datang dari GhostFrame, kit phishing yang muncul sejak September 2025 dan telah digunakan dalam lebih dari satu juta serangan phishing. Berbeda dengan BlackForce, GhostFrame mengandalkan file HTML sederhana yang tampak tidak berbahaya, tetapi menyembunyikan serangan melalui iframe tersembunyi.

Iframe ini mengarahkan korban ke halaman login palsu yang menargetkan akun Microsoft 365 dan Google, dua layanan yang banyak digunakan di lingkungan kerja. Keunggulan GhostFrame terletak pada fleksibilitasnya. Penyerang dapat mengganti konten phishing tanpa perlu mengubah halaman utama, sehingga sulit terdeteksi oleh sistem keamanan tradisional.

Serangan GhostFrame biasanya diawali dengan email bertema profesional, seperti kontrak bisnis, faktur, atau permintaan reset kata sandi. Kit ini juga dilengkapi fitur anti-debugging dan anti-analisis, serta menggunakan subdomain acak setiap kali diakses untuk menghindari pemblokiran.

Pada tahap akhir, korban diarahkan ke halaman phishing sebenarnya melalui iframe yang terus berubah. Bahkan jika skrip utama diblokir, GhostFrame masih memiliki iframe cadangan agar serangan tetap berjalan.

InboxPrime AI, Ketika Phishing Diotomatisasi oleh AI

Jika BlackForce dan GhostFrame berfokus pada teknik teknis, InboxPrime AI membawa phishing ke level industri. Kit ini memanfaatkan kecerdasan buatan (AI) untuk mengotomatiskan pembuatan dan pengiriman email phishing dalam skala besar.

InboxPrime AI dijual melalui Telegram dengan model malware-as-a-service (MaaS) seharga US$1.000, termasuk lisensi permanen dan akses penuh ke kode sumber. Kit ini dirancang untuk meniru perilaku manusia, bahkan menggunakan antarmuka web Gmail agar lolos dari filter spam.

Fitur utamanya adalah generator email berbasis AI yang mampu membuat isi email, subjek, dan gaya bahasa yang menyerupai komunikasi bisnis profesional. Penyerang cukup menentukan parameter seperti bahasa, industri, atau nada komunikasi, lalu sistem akan menghasilkan email phishing yang meyakinkan.

InboxPrime AI juga mendukung spintax, sehingga setiap email terlihat berbeda. Selain itu, tersedia fitur analisis spam real-time dan pemalsuan identitas pengirim. Dengan pendekatan ini, phishing menjadi lebih cepat, masif, dan minim tenaga manusia.

Spiderman, Tiruan Sempurna Perbankan Eropa

Kit phishing terakhir yang menjadi sorotan adalah Spiderman, yang secara khusus menargetkan sektor keuangan Eropa. Spiderman mampu meniru halaman login puluhan bank besar dan layanan keuangan digital, termasuk Deutsche Bank, ING, Klarna, hingga PayPal.

Spiderman dipasarkan melalui grup Signal dengan sekitar 750 anggota, menandakan pergeseran platform komunikasi para pelaku kejahatan siber. Target utama kit ini adalah Jerman, Austria, Swiss, dan Belgia.

Selain mencuri kredensial login, Spiderman juga mampu mengumpulkan seed phrase dompet kripto, mencegat OTP dan PhotoTAN, serta mencuri data kartu kredit. Setiap sesi korban dicatat dengan ID unik agar penyerang dapat melanjutkan proses penipuan secara berkelanjutan.

Evolusi Phishing Kian Mengkhawatirkan

Keempat kit ini menambah panjang daftar phishing canggih seperti Tycoon 2FA, Salty 2FA, dan Whisper 2FA. Bahkan, laporan terbaru ANY.RUN mengungkap munculnya serangan hibrida Salty–Tycoon, yang menggabungkan dua teknik berbeda untuk menghindari deteksi.

Fenomena ini menegaskan bahwa phishing terus berevolusi. Bagi pengguna dan organisasi, temuan ini menjadi peringatan serius bahwa perlindungan digital harus ditingkatkan, tidak hanya mengandalkan MFA, tetapi juga edukasi pengguna, pemantauan aktif, dan teknologi keamanan yang adaptif.