Pendahuluan

Multi-Factor Authentication (MFA) telah lama dianggap sebagai “pengaman ganda” yang memperkuat sistem login. Namun, kenyataannya, beberapa jenis serangan siber sudah mampu menembus atau menghindari MFA, terutama jika pengguna tidak waspada atau jika sistem tidak dikonfigurasi dengan benar.

Dalam artikel ini, kita akan membahas jenis-jenis serangan yang dapat melewati MFA, serta solusi teknis dan praktis yang bisa diterapkan untuk menghindari risiko tersebut.

Jenis Serangan yang Dapat Menghindari MFA

1. Phishing Real-Time (Reverse Proxy Attack)

Peretas menggunakan situs palsu sebagai jembatan langsung ke situs asli. Saat pengguna login, semua data termasuk OTP dikirim ke server asli melalui peretas.

Tool yang sering digunakan: Evilginx2, Modlishka

Solusi:

  • Gunakan MFA berbasis hardware (contoh: YubiKey)

  • Aktifkan WebAuthn dan FIDO2 yang tidak bisa dikloning lewat proxy

  • Edukasi pengguna untuk tidak memasukkan OTP di situs mencurigakan

2. MFA Prompt Bombing (Fatigue Attack)

Peretas mencoba login terus-menerus, memicu notifikasi MFA ke pengguna. Jika pengguna lengah atau terganggu, mereka bisa secara tidak sengaja menekan “Accept”.

Solusi:

  • Gunakan aplikasi MFA yang menyediakan geolokasi dan IP info di notifikasi

  • Batasi jumlah permintaan autentikasi dalam satu waktu

  • Terapkan MFA berbasis waktu atau biometrik sebagai pengganti notifikasi

3. SIM Swap Attack

Peretas mengambil alih nomor ponsel pengguna dengan berpura-pura menjadi korban saat mengurus kartu SIM ke provider seluler. OTP yang dikirim melalui SMS pun akan masuk ke peretas.

Solusi:

  • Hindari MFA berbasis SMS

  • Gunakan aplikasi autentikator seperti Google Authenticator atau Authy

  • Aktifkan PIN keamanan tambahan untuk akun operator seluler

4. Session Hijacking

Setelah pengguna berhasil login menggunakan MFA, peretas mencuri token sesi login (biasanya melalui malware atau cookie theft) untuk mengakses akun tanpa perlu autentikasi ulang.

Solusi:

  • Aktifkan auto logout untuk sesi login yang tidak aktif

  • Gunakan enkripsi HTTPS dan secure cookie flags

  • Gunakan sistem deteksi sesi ganda atau lokasi mencurigakan

5. Man-in-the-Browser (MitB)

Malware menginfeksi browser korban dan mengubah perilaku tampilan atau menyisipkan permintaan palsu untuk mencuri data MFA secara diam-diam.

Solusi:

  • Edukasi pengguna untuk tidak menginstal ekstensi sembarangan

  • Gunakan antivirus dan browser dengan proteksi sandbox

  • Gunakan trusted device list untuk login

Strategi Tambahan Pencegahan

  • Gunakan adaptive MFA: memicu autentikasi tambahan hanya saat perilaku mencurigakan terdeteksi

  • Implementasikan biometrik lokal, seperti fingerprint atau Face ID

  • Edukasi karyawan atau pengguna tentang red flags serangan MFA palsu

Kesimpulan

MFA memang memperkuat keamanan, tetapi bukan tanpa celah. Peretas kini makin canggih dan memanfaatkan teknik rekayasa sosial serta kelemahan sistem untuk menghindari verifikasi berlapis ini.

Solusinya bukan sekadar mengaktifkan MFA, tapi menggunakannya dengan bijak, memilih metode yang tepat, dan menggabungkannya dengan edukasi serta sistem pendeteksian ancaman.

MFA adalah tameng kuat, tetapi tetap butuh pengawasan dan penguatan.

Penulis: Andi Waldiyunso

NIM: 23156201003

Jurusan: Sistem Komputer, STMIK Catur Sakti Kendari