Waspada! Hacker Pakai Vishing untuk Serang Layanan SaaS

Ancaman kejahatan siber kembali berkembang dengan metode yang semakin canggih dan sulit dideteksi. Para peneliti keamanan siber baru-baru ini mengungkap keberadaan dua kelompok peretas yang menjalankan serangan pemerasan data berkecepatan tinggi dengan memanfaatkan layanan SaaS (Software-as-a-Service), teknik vishing, serta penyalahgunaan sistem Single Sign-On (SSO).

Dua kelompok tersebut dikenal dengan nama Cordial Spider dan Snarky Spider. Keduanya disebut memiliki pola operasi yang sangat mirip, terutama dalam melakukan pencurian data sensitif perusahaan dalam waktu singkat sambil meninggalkan jejak digital yang sangat minim. Para peneliti menilai metode yang digunakan kelompok ini menjadi tantangan baru bagi tim keamanan siber karena sebagian besar aktivitas mereka berlangsung di lingkungan cloud yang sah dan terpercaya.

Perusahaan keamanan siber CrowdStrike dalam laporannya menyebut bahwa para pelaku memanfaatkan teknik voice phishing atau vishing untuk menipu korban. Modus ini dilakukan dengan menelepon target sambil menyamar sebagai staf IT atau help desk perusahaan. Korban kemudian diarahkan menuju halaman login palsu bertema SSO yang dirancang menyerupai portal resmi perusahaan.

Melalui halaman phishing tersebut, pelaku dapat mencuri kredensial login, termasuk kode multi-factor authentication (MFA). Setelah berhasil mendapatkan akses, mereka langsung masuk ke berbagai aplikasi SaaS yang terhubung dengan akun korban.

Berbeda dengan serangan siber konvensional yang biasanya mengandalkan malware atau ransomware dalam jumlah besar, kedua kelompok ini justru lebih banyak memanfaatkan layanan dan infrastruktur resmi perusahaan. Strategi ini membuat aktivitas mereka tampak seperti penggunaan normal sehingga lebih sulit dikenali oleh sistem keamanan.

CrowdStrike menjelaskan bahwa para pelaku hampir sepenuhnya beroperasi di dalam lingkungan SaaS terpercaya. Dengan cara itu, mereka mampu mempercepat proses serangan sekaligus mengurangi kemungkinan terdeteksi oleh tim keamanan.

“Gabungan antara kecepatan, presisi, dan aktivitas yang hanya berlangsung di lingkungan SaaS menciptakan tantangan besar dalam proses deteksi dan pemantauan,” tulis CrowdStrike dalam laporannya.

Kelompok Cordial Spider sendiri juga dikenal dengan sejumlah nama lain seperti BlackFile, CL-CRI-1116, O-UNC-045, dan UNC6671. Sementara Snarky Spider memiliki alias O-UNC-025 dan UNC6661. Para peneliti memperkirakan kedua kelompok ini sudah aktif setidaknya sejak Oktober 2025.

Snarky Spider diketahui memiliki hubungan dengan ekosistem kejahatan siber bernama The Com, sebuah jaringan komunitas dunia maya yang kerap dikaitkan dengan berbagai aksi kriminal digital, mulai dari pencurian data hingga pemerasan online.

Sebelumnya, pada Januari 2026, perusahaan keamanan siber Mandiant milik Google juga mengungkap bahwa aktivitas kedua kelompok ini memiliki kemiripan dengan metode yang digunakan kelompok ShinyHunters. Kelompok tersebut terkenal karena berbagai aksi pembobolan data perusahaan besar di berbagai negara.

Dalam serangannya, pelaku biasanya mengandalkan manipulasi psikologis terhadap korban. Mereka memanfaatkan rasa panik, tekanan, dan kepatuhan terhadap otoritas untuk membuat korban memberikan akses secara sukarela. Teknik rekayasa sosial semacam ini dinilai semakin efektif karena banyak perusahaan kini mengandalkan sistem cloud dan autentikasi jarak jauh.

Selain menggunakan vishing, para pelaku juga menerapkan teknik living-off-the-land (LotL). Teknik ini memungkinkan peretas menggunakan alat bawaan sistem atau layanan resmi perusahaan sehingga aktivitas mereka terlihat normal dan tidak mencurigakan.

Peneliti dari Palo Alto Networks Unit 42 bersama Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) menyebut bahwa kelompok CL-CRI-1116 secara aktif menargetkan sektor ritel dan perhotelan sejak Februari 2026.

Menurut peneliti Lee Clark, Matt Brady, dan Cuong Dinh, para pelaku memanfaatkan panggilan telepon palsu yang mengatasnamakan staf help desk IT untuk mencuri informasi login korban. Mereka kemudian mengarahkan target ke situs phishing yang dirancang menyerupai halaman login resmi perusahaan.

Setelah berhasil masuk ke sistem, para pelaku diketahui mendaftarkan perangkat baru ke akun korban untuk mempertahankan akses. Sebelum melakukan itu, mereka biasanya menghapus perangkat lama yang sebelumnya terhubung ke akun tersebut agar tidak memicu kecurigaan.

Tidak hanya itu, kelompok ini juga berupaya menghilangkan jejak aktivitas mereka dengan membuat aturan otomatis pada kotak masuk email korban. Aturan tersebut digunakan untuk menghapus notifikasi keamanan, termasuk pemberitahuan terkait pendaftaran perangkat baru yang tidak sah.

Dengan cara tersebut, korban maupun administrator keamanan sering kali tidak menyadari bahwa akun mereka telah diambil alih oleh pihak lain.

Tahap berikutnya dari serangan ini adalah mencari akun-akun dengan hak akses tinggi di dalam perusahaan. Para pelaku mengumpulkan informasi dari direktori internal karyawan untuk menentukan target yang memiliki akses penting terhadap data perusahaan.

Setelah memperoleh hak akses lebih tinggi, mereka mulai masuk ke berbagai platform SaaS yang digunakan organisasi, seperti Google Workspace, HubSpot, Microsoft SharePoint, hingga Salesforce.

Di dalam layanan tersebut, para peretas mencari dokumen bernilai tinggi, laporan bisnis penting, data pelanggan, hingga informasi internal perusahaan yang dapat digunakan untuk pemerasan. Seluruh data yang dianggap berharga kemudian dipindahkan ke server atau infrastruktur yang mereka kendalikan.

CrowdStrike menjelaskan bahwa salah satu kunci keberhasilan serangan ini adalah penyalahgunaan identity provider (IdP). Dalam banyak kasus, kredensial yang dicuri memberikan akses langsung ke sistem IdP perusahaan, yang berfungsi sebagai pusat autentikasi berbagai layanan SaaS.

Dengan menguasai satu akun yang terhubung ke IdP, pelaku tidak perlu lagi membobol setiap aplikasi secara terpisah. Mereka cukup memanfaatkan hubungan kepercayaan antara IdP dan layanan SaaS untuk berpindah dari satu sistem ke sistem lainnya.

Kondisi ini membuat serangan menjadi jauh lebih cepat dan efisien. Dalam waktu singkat, pelaku dapat menjelajahi hampir seluruh ekosistem digital perusahaan hanya dengan satu sesi autentikasi yang valid.

Para peneliti keamanan siber mengingatkan bahwa ancaman seperti ini menunjukkan pentingnya peningkatan kesadaran keamanan digital di lingkungan perusahaan. Serangan tidak lagi hanya mengandalkan celah teknis, tetapi juga kelemahan manusia melalui manipulasi psikologis dan rekayasa sosial.

Perusahaan disarankan untuk memperkuat sistem keamanan identitas digital, menerapkan pemantauan aktivitas akun secara ketat, serta memberikan pelatihan rutin kepada karyawan agar lebih waspada terhadap modus vishing dan phishing.

Selain itu, organisasi juga dianjurkan untuk menerapkan verifikasi tambahan terhadap permintaan dari pihak IT, membatasi hak akses pengguna, dan mengaktifkan pemantauan anomali pada layanan SaaS untuk mendeteksi aktivitas mencurigakan sejak dini.

Dengan semakin berkembangnya serangan berbasis cloud dan identitas digital, para ahli menilai keamanan siber kini tidak lagi hanya soal melindungi perangkat, tetapi juga menjaga akses dan kepercayaan dalam ekosistem digital perusahaan.