Ini bisa dimulai dengan sesuatu yang biasa seperti menyeret tautan ke browser Anda. Tiga detik kemudian, pelaku ancaman memiliki token yang diperlukan untuk mengambil alih akun Microsoft 365 Anda, dan Anda tidak pernah melakukan apa pun yang ditandai oleh pelatihan kesadaran keamanan tradisional. Anda baru saja mengikuti apa yang tampak seperti serangkaian instruksi normal.
Itulah ciri khas kejahatan dunia maya modern: kejahatan ini tidak memaksa untuk masuk. Kejahatan ini melangkah secara diam-diam ke tengah alur kerja sehari-hari dan mengubah tindakan rutin menjadi saat segala sesuatunya menjadi tidak beres.
Mengapa Serangan Ini Terus Berhasil
Serangan ini berhasil karena kebiasaan yang kita bangun saat online. Mengklik CAPTCHA, menerima perintah cookie, menekan kombinasi tombol untuk melanjutkan proses. Refleksi yang terlatih itulah yang diandalkan oleh para penyerang.
Ini adalah mekanisme inti di balik serangan ClickFix. Korban diperlihatkan perintah palsu yang memerintahkan mereka untuk menekan serangkaian pintasan keyboard, yang menempelkan dan mengeksekusi perintah yang diberikan penyerang di mesin mereka sendiri. Tidak ada kerentanan untuk dieksploitasi dan tidak ada konfrontasi firewall. Hanya kebohongan yang meyakinkan yang disisipkan di saat yang tepat.
KlikPerbaiki melonjak pada tahun 2025 dan tetap aktif, namun penyerang telah mengembangkan konsep tersebut menjadi sesuatu yang lebih canggih.
Gambar 1 di bawah menunjukkan perintah verifikasi palsu gaya ClickFix.

Varian Serangan Baru yang Menargetkan Sesi Microsoft 365
Varian yang lebih baru, ConsentFix, menggeser permukaan serangan ke Alur persetujuan OAuth Microsoft 365proses masuk meminta pengguna untuk mempelajarinya dengan mudah tanpa banyak pengawasan.
Pengaturannya tampak bersih. Umpan phishing datang, sering kali terkirim platform tepercaya seperti Dropbox atau DocSendterkadang di balik kata sandi yang juga mempersulit pemeriksaan alat keamanan.
Korban mengkliknya, menemukan apa yang tampak seperti layar otentikasi Microsoft standar, dan diminta untuk menyelesaikan proses dengan menyeret tautan panggilan balik localhost ke browser.
Langkah drag-and-drop itu adalah jebakannya. Daripada menyelesaikan langkah autentikasi yang tidak berbahaya, pengguna tanpa sadar menyerahkan token OAuth, sehingga memberikan penyerang akses sesi ke email dan layanan Microsoft 365 lainnya tanpa kata sandi dan bypass MFA.
Korban tidak mengetikkan kredensial ke dalam formulir palsu. Mereka sedang menyelesaikan apa yang tampaknya merupakan alur autentikasi yang sah, dan sesi itu sendiri adalah apa yang dicuri.
Gambar 2 di bawah ini menunjukkan bagaimana ConsentFix mengubah langkah masuk Microsoft 365 yang tampak normal menjadi pencurian sesi.

Penjahat Membagikan Cetak Biru Secara Terbuka
Pada awal Maret 2026, panduan mendetail tentang ConsentFix telah diposting ke forum publik kejahatan dunia maya Rusia. Ini mencakup kode kerja, tangkapan layar infrastruktur, dan tutorial video yang menunjukkan dengan tepat cara membangun dan menerapkan serangan.
Infrastrukturnya bergantung pada layanan gratis atau tersedia secara luas, dan postingan tersebut juga menguraikan bagaimana penyerang membuat profil target sebelum mengirim satu pesan phishing, menggunakan LinkedIn dan alat serupa untuk memetakan organisasi dan menyesuaikan umpan dengan orang sungguhan.
Apa yang dulunya merupakan teknik yang membutuhkan keterampilan teknis yang berarti kini hadir dengan dokumentasi dan panduan langkah demi langkah. Hambatan untuk masuk terus menurun.
Cara Mengurangi Eksposur Anda
Kesadaran masih memiliki peran. Serangan ini bergantung pada orang yang melakukan alur kerja yang sudah dikenalnya tanpa berhenti. Menanyakan mengapa sebuah situs web ingin Anda menekan tombol pintas atau menyeret tautan aneh ke browser sering kali cukup untuk membuat semuanya menjadi pendek.
Tetapi kesadaran saja tidak akan menutup kesenjangan tersebutkarena serangan ini dirancang khusus agar terlihat rutin. Pembela HAM juga memerlukan cakupan deteksi untuk jejak yang mereka tinggalkan: aktivitas PowerShell yang tidak biasa yang berasal dari proses pengguna normal, atau login sesi baru dari lokasi yang tidak terduga.
Pemantauan titik akhir dan identitas dapat memunculkan sinyal-sinyal tersebut sebelum kesalahan penilaian menjadi kompromi akun penuh.
Tugas penyerang adalah mengganggu alur kerja normal pada saat yang tepat dan membiarkan korban melakukan sisanya. Memahami pola tersebut adalah langkah pertama untuk menghentikannya.
Tradecraft Selasa: Tidak Ada Produk. Tidak Ada Penawaran. Hanya Peretasan.
Tradecraft Tuesday memberi para profesional keamanan siber analisis mendalam tentang pelaku ancaman terbaru, vektor serangan, dan strategi mitigasi. Setiap sesi mingguan menampilkan panduan teknis mengenai insiden terkini, perincian komprehensif tren malware, dan indikator kompromi (IOC) terkini.
Peserta mendapatkan:
- Pengarahan mendetail tentang kampanye ancaman yang muncul dan varian ransomware
- Metodologi pertahanan dan teknik remediasi yang berbasis bukti
- Interaksi langsung dengan analis Huntress untuk mendapatkan wawasan respons insiden
- Akses terhadap panduan deteksi dan intelijen ancaman yang dapat ditindaklanjuti
Tingkatkan postur pertahanan Anda dengan intelijen real-time dan pendidikan teknis yang dirancang khusus bagi mereka yang bertanggung jawab menjaga lingkungan organisasi mereka.
Disponsori dan ditulis oleh Lab Pemburu.







