Adversary-in-the-Middle (AitM) Attack: Evolusi dari Man-in-the-Middle
Banyak organisasi mengandalkan Multi-Factor Authentication (MFA) sebagai lapisan perlindungan tambahan untuk mengamankan akun pengguna. Namun, apakah MFA saja sudah cukup?
Kenyataannya, masih ada ancaman siber yang mampu melewati mekanisme ini. Ancaman itu disebut dengan serangan Adversary-in-the-Middle (AitM), yang merupakan evolusi dari serangan Man-in-the-Middle (MitM).
Pada serangan AitM, penyerang dapat mencuri session token yang setelah diautentikasi dan masuk ke sistem seolah-olah menjadi pengguna. Pada artikel ini, kita akan membahas apa itu AitM, perbedaannya dengan MitM, cara kerjanya, industri apa saja yang paling rentan, serta langkah apa yang bisa diambil untuk mendeteksi dan mencegahnya.
Apa itu MitM dan bagaimana AitM berevolusi?
MitM (Man-in-the-middle) adalah jenis serangan siber di mana penyerang diam-diam menyusup di antara dua pihak yang sedang berkomunikasi tanpa sepengetahuan mereka.
MitM attack biasanya menargetkan layanan yang menyimpan data penting, seperti internet banking, email, atau media sosial. Melalui serangan ini, penyerang bisa mencuri berbagai informasi sensitif seperti username dan password, informasi akun, nomor kartu kredit, dan data pribadi lainnya.
Kini, MitM sudah berevolusi menjadi AitM (Adversary-in-the-Middle). Berbeda dengan MitM tradisional yang berfokus pada penyadapan komunikasi, AitM bertindak sebagai perantara aktif antara korban dan layanan yang dituju. Hal ini memungkinkan pelaku memantau, memanipulasi, dan mengalihkan lalu lintas data secara real-time.
Melalui serangan AitM, penyerang juga dapat mencuri kredensial dan token sesi. Inilah yang membuat AitM berbahaya, karena dapat melakukan bypass terhadap MFA yang sudah diterapkan. Akibatnya, penyerang bisa mendapatkan akses tidak sah ke sistem.
Seperti apa cara kerja AitM attack?
Serangan AitM bekerja melalui empat fase penting berikut.
1. Fase phishing
Serangan AitM dimulai dengan pembangunan infrastruktur phishing yang dirancang menyerupai layanan asli. Infrastruktur ini dibuat terlihat seperti nyata agar korban tidak curiga.
Pada tahap ini, pelaku juga mengonfigurasi reverse proxy yang akan meneruskan seluruh komunikasi antara korban dan situs asli secara transparan.
Lalu, ketika infrastruktur siap, penyerang mulai mendistribusikan link phishing kepada target melalui email, media sosial, atau aplikasi pesan instan.
Ketika korban membuka link tersebut, mereka akan melihat halaman login yang tampak identik dengan situs resmi. Lalu, karena seluruh permintaan diteruskan ke layanan asli melalui proxy AitM, korban biasanya tidak menyadari bahwa mereka sedang berinteraksi dengan server penyerang.
2. Fase bypass MFA
Ketika korban memasukkan username dan password, kredensial tersebut akan diteruskan ke situs asli secara real-time. Server asli merespons normal, lalu meminta MFA. Korban pun diminta memasukkan OTP atau menyetujui notifikasi autentikasi.
Karena seluruh proses terjadi secara langsung melalui proxy, kode OTP atau persetujuan MFA tersebut juga diteruskan ke layanan asli. Akibatnya, penyerang dapat melewati lapisan MFA tanpa harus mengetahui kode OTP sebelumnya.
3. Fase session hijacking
Setelah proses login berhasil, situs asli akan mengirimkan session cookie atau session token sebagai bukti bahwa pengguna telah terautentikasi.
Proxy akan menangkap dan mencuri cookie atau token sesi tersebut, lalu menyimpannya untuk digunakan oleh penyerang. Karena token tersebut sudah mewakili identitas pengguna yang sah, penyerang pun tidak perlu lagi memasukkan password ataupun melewati MFA.
Fase inilah yang membedakan AitM dan phishing biasa. Biasanya, phishing hanya berhenti di tahap pencurian kredensial. Namun, AitM melanjutkannya ke pencurian session cookie atau token.
4. Fase account takeover
Dengan session token yang berhasil dicuri, penyerang dapat mengakses akun korban seolah-olah mereka adalah pengguna yang sah.
Akses ini memungkinkan pelaku untuk membaca email dan data sensitif, mengubah pengaturan akun, melakukan pencurian data, ataupun melakukan eskalasi ke sistem lain dalam organisasi.
Apa perbedaan AitM dan MitM?
Meski sama-sama menempatkan penyerang di antara korban dan layanan yang digunakan, AitM memiliki kemampuan yang lebih canggih dibandingkan MitM.
Aspek | MitM | AitM |
Layer serangan | Jaringan (L2/L3) | Aplikasi, di atas sesi autentikasi |
Tujuan utama | Menyadap atau memodifikasi komunikasi | Mencuri kredensial dan token sesi pengguna |
Cara kerja | Menempatkan diri di antara dua pihak yang berkomunikasi | Bertindak sebagai proxy aktif antara korban dan layanan asli |
Fokus serangan | Data yang sedang ditransmisikan | Kredensial login, cookie, dan session token |
Metode umum | ARP spoofing, DNS spoofing, rogue WiFi | Reverse proxy phishing dan phishing kit khusus |
Kemampuan bypass MFA | Terbatas | Lebih efektif karena dapat mencuri session token yang sudah terautentikasi |
Tingkat kompleksitas | Relatif lebih sederhana | Lebih kompleks, sulit dideteksi, bisa dilakukan dari jarak jauh |
Dampak | Kebocoran data dan penyadapan komunikasi | Account takeover, session hijacking, dan akses tidak sah ke sistem |
Apa saja tool dan framework yang digunakan pelaku AitM?
Keberhasilan serangan AitM tidak lepas dari berbagai tool dan framework yang dirancang untuk bertindak sebagai proxy antara korban dan layanan asli. Berikut ini adalah beberapa tool yang paling sering dikaitkan dengan serangan AitM.
Evilginx
Evilginx bekerja sebagai reverse proxy phishing yang berada di antara korban dan situs asli. Tool ini memiliki komponen kunci bernama phishlets, yaitu file konfigurasi yang memberi tahu Evilginx cara berinteraksi dengan layanan spesifik.
Ketika korban login, Evilginx akan meneruskan seluruh permintaan ke layanan asli sambil merekam kredensial dan session cookie yang dihasilkan setelah autentikasi berhasil. Karena proses berlangsung secara real-time, pelaku dapat memperoleh token sesi yang valid dan menggunakannya untuk mengambil alih akun korban.
Modlishka
Modlishka adalah framework reverse proxy yang dikembangkan untuk menganggu komunikasi antara pengguna dan layanan target. Framework ini cukup berbahaya karena bisa membantu pelaku melewati mekanisme MFA.
Melalui teknik real-time credential relay, Modlishka dapat meneruskan kredensial dan kode autentikasi yang dimasukkan korban ke situs asli, lalu menangkan session token yang dihasilkan setelah login berhasil.
Tak hanya itu, Modlishka juga tidak membutuhkan banyak konfigurasi. Setup minimal pun sudah bisa membuat tool ini berjalan dengan baik.
Muraena dan Necrobrowser
Muraena merupakan framework phishing yang sering digunakan bersama Necrobrowser untuk mengotomatisasi proses pengambilalihan akun.
Muraena berperan sebagai proxy AitM yang mengumpulkan kredensial dan session cookie, sementara Necrobrowser memungkinkan pelaku menggunakan sesi yang dicuri secara otomatis tanpa perlu melakukan login manual. Kombinasi keduanya membuat proses session hijacking menjadi lebih cepat dan efisien.
Platform PhaaS
Tool yang sebelumnya disebutkan bersifat open-source, sehingga konfigurasi dan penerapannya masih membutuhkan pemahaman teknis.
Namun, kini sudah ada organisasi yang menyediakan kit AitM phishing. Organisasi ini berada dalam kategori PhaaS, yaitu Phishing-as-a-Service. Sistemnya sama seperti pembelian aplikasi biasa, di mana pembelinya dapat berlangganan dan menginstal melalui panduan yang diberikan.
Beberapa contoh platform PhaaS yang terkenal misalnya Tycoon 2FA, EvilProxy, dan Sneaky 2FA.
Siapa target utama AitM?
Pelaku AitM (Adversary-in-the-Middle) umumnya menargetkan organisasi yang mengelola data sensitif, transaksi bernilai tinggi, atau memiliki akses ke sistem digital yang terhubung dengan banyak pengguna.
Industri target utama AitM
Di Indonesia, sektor yang paling rentan meliputi keuangan, pemerintahan, informasi dan telekomunikasi, serta energi dan manufaktur.
Sektor keuangan
Perbankan dan perusahaan fintech menjadi salah satu target utama serangan AitM karena menyimpan data finansial dan identitas pengguna dalam jumlah besar.
Menurut Otoritas Jasa Keuangan (OJK), terdapat 373.129 laporan penipuan transaksi keuangan sepanjang November 2024 hingga November 2025. Potensi kerugiannya mencapai 8,2 triliun. Selain itu, berdasarkan laporan AMS AFTECH 2024-2025, phishing masih menjadi jenis serangan siber yang paling banyak dialami perusahaan fintech, yakni sebesar 27,12%.
Dalam skenario AitM, penyerang biasanya membuat situs login palsu yang menyerupai halaman online banking atau aplikasi keuangan. Ketika korban memasukkan kredensial dan menyelesaikan proses autentikasi, penyerang dapat mencuri session token atau cookie autentikasi. Token tersebut kemudian digunakan untuk menyamar sebagai pengguna yang sah dan memperoleh akses tidak sah ke akun korban.
Sektor pemerintahan
Instansi pemerintah juga menjadi target yang menarik karena mengelola data publik, layanan digital, serta berbagai sistem yang saling terintegrasi.
Berdasarkan laporan SOCRadar tahun 2025, sektor administrasi publik mendominasi eksposur dark web Indonesia dengan 34,93%. Angka ini menunjukkan tingginya nilai data dan akses yang dimiliki oleh organisasi pemerintahan.
Bagi pelaku AitM, akun pegawai yang memiliki akses ke berbagai sistem pemerintahan dapat menjadi pintu masuk untuk melakukan serangan lanjutan. Satu sesi login yang berhasil dicuri berpotensi digunakan untuk mengakses layanan lain yang terhubung dalam ekosistem yang sama.
Sektor informasi dan telekomunikasi
Perusahaan teknologi, penyedia layanan cloud, dan operator telekomunikasi juga menjadi sasaran yang sering dibidik.
Laporan SOCRadar 2025 menyebut bahwa sektor telekomunikasi dan informasi menempati posisi kedua dan ketiga sebagai sektor yang paling banyak menjadi target phishing, masing-masing sebesar 10,08% dan 9,69%.
Akun administrator pada sektor ini memiliki nilai tinggi karena sering kali memberikan akses ke infrastruktur penting dan data pelanggan dalam jumlah besar.
Sektor energi dan manufaktur
Sektor energi dan manufaktur juga menghadapi risiko yang signifikan, terutama karena banyak organisasi masih mengandalkan integrasi antara sistem Operational Technology (OT) dan Information Technology (IT).
Dalam beberapa kasus, sistem tersebut belum sepenuhnya mengadopsi mekanisme autentikasi modern yang tahan terhadap phishing. Kondisi ini dapat meningkatkan risiko pencurian kredensial dan pengambilalihan sesi oleh pelaku AitM.
Organisasi pengguna layanan cloud dan SSO
Selain berdasarkan industri, AitM juga sering menargetkan akun yang terhubung dengan layanan cloud, email perusahaan, dan sistem Single Sign-On (SSO).
Platform seperti Microsoft 365 dan Okta menjadi sasaran yang menarik karena berfungsi sebagai gerbang akses ke berbagai aplikasi bisnis. Dengan berhasil mengambil alih satu akun, penyerang berpotensi memperoleh akses ke email, dokumen, sistem kolaborasi, hingga aplikasi internal perusahaan.
Karyawan dengan hak akses tinggi
Pelaku AitM tidak hanya memilih target berdasarkan industri, tetapi juga berdasarkan tingkat akses yang dimiliki pengguna. Biasanya penyerang akan membidik administrator IT, tim finance, eksekutif perusahaan, tim HR, serta pengguna dengan akses ke sistem internal.
Akun-akun tersebut memiliki nilai tinggi karena dapat digunakan untuk mencuri data, melakukan Business Email Compromise (BEC), atau memperluas akses ke sistem lain dalam organisasi.
Bagaimana cara mendeteksi AitM attack?
Salah satu tantangan terbesar dalam menghadapi serangan AitM adalah sulitnya membedakan aktivitas penyerang dengan aktivitas pengguna yang sah. Meski begitu, terdapat beberapa indikator yang dapat membantu organisasi mendeteksi AitM attack sejak dini.
Login dari lokasi atau perangkat yang tidak biasa
AitM sering ditandai dengan munculnya sesi login dari lokasi geografis, IP address, atau perangkat yang tidak sesuai dengan pola aktivitas pengguna.
Misalnya, pengguna login dari Jakarta pada pukul 09.00, lalu kemudian login lagi dari Amerika Serikat pukul 09.05. Kondisi ini dapat menjadi indikasi bahwa session token telah dicuri dan digunakan oleh pihak yang tidak berwenang.
Muncul aktivitas setelah login yang tidak wajar
Setelah penyerang memperoleh akses, biasanya mereka langsung melakukan aktivitas tidak wajar, seperti mengunduh data dalam jumlah besar, membuka dan menyalin dokumen sensitif, mengubah peraturan keamanan akun, atau menambahkan metode autentikasi baru.
Anomali pada session token
Session token perlu dipantau jika ada yang mencurigakan, misalnya ada token yang digunakan dari beberapa lokasi secara bersamaan, ada pergantian perangkat yang tidak wajar dalam waktu singkat, atau ada lonjakan jumlah sesi aktif pada satu akun.
Aktivitas tersebut bisa menjadi tanda bahwa telah terjadi session hijacking.
Untuk mengidentifikasi anomali pada session token, organisasi dapat memanfaatkan solusi dengan kapabilitas User and Entity Behavior Analytics (UEBA). Kapabilitas ini mampu mendeteksi perilaku pengguna yang menyimpang dari pola normal, termasuk penggunaan session token yang tidak biasa.
Peningkatan aktivitas phishing
Sebagian besar AitM attack diawali dari phishing. Maka, adanya lonjakan email atau pesan yang mengarahkan pengguna ke halaman login palsu dapat menjadi indikator awal adanya AitM.
Alert dari solusi identity security
Platform identity security umumnya memiliki fitur monitoring aktivitas login pengguna, baik itu login dari lokasi yang berjauhan atau login berisiko tinggi. Selain itu, platform ini juga umumnya bisa mengidentifikasi penggunaan kredensial yang dicurigai bocor dan aktivitas autentikasi yang tidak biasa.
Ketika ada risiko tersebut, platform akan memunculkan alert yang dapat ditelusuri dan ditindaklanjuti oleh tim IT security.
Perlunya visibilitas terhadap ancaman
Selain memantau aktivitas login dan penggunaan session token, organisasi juga perlu memiliki visibilitas terhadap ancaman yang sedang berkembang. Solusi SIEM yang dilengkapi kemampuan threat intelligence, korelasi event keamanan, dan analitik real-time dapat membantu tim mengidentifikasi indikasi AitM attack sebelum menjadi lebih serius.
Bagaimana cara mencegah AitM attack?
Berikut ini adalah cara yang bisa organisasi lakukan untuk mencegah serangan AitM.
Menggunakan koneksi yang aman
Langkah paling dasar namun sering diabaikan adalah menghindari penggunaan Wi-Fi publik tanpa enkripsi untuk aktivitas kerja. Jika terpaksa menggunakan jaringan semacam ini, pastikan VPN aktif sebagai tambahan lapisan keamanan.
Menggunakan multi-factor authentication (MFA)
Penerapan MFA dapat mencegah serangan AitM. Namun, pastikan untuk menggunakan MFA yang tahan phishing. Jangan gunakan MFA biasa seperti TOTP, SMS, atau push notification, karena masih bisa ditangkap dan di-replay oleh proxy AitM secara real-time.
MFA yang tahan phishing contohnya adalah FIDO2 dan passkey. Kedua metode MFA ini mengikat proses autentikasi dengan domain asli sehingga tidak dapat diteruskan melalui server proxy milik penyerang.
Menggunakan software antivirus dan keamanan
Antivirus dan security suite yang diperbarui secara rutin membantu mengelola risiko keamanan serta mendeteksi dan memblokir aktivitas mencurigakan di level endpoint, termasuk perilaku yang mengindikasikan adanya manipulasi sesi atau traffic yang diahlikan ke infrastruktur tidak dikenal.
Mengenkripsi semua channel komunikasi
Pastikan seluruh channel komunikasi menggunakan protokol enkripsi yang kuat seperti TLS. Enkripsi end-to-end akan mempersulit penyerang menyusup sebagai perantara, terutama di jaringan internal yang belum sepenuhnya diamankan.
Menggunakan email authentication
Sebagian besar AitM dimulai dari email. Karena itu, pastikan seluruh domain organisasi sudah dikonfigurasi dengan SPF, DKIM, dan DMARC yang ketat untuk mempersulit pelaku dalam menyamarkan domain phishing mereka sebagai domain internal yang sah.
Menerapkan conditional access
Conditional access memungkinkan organisasi membatasi akses berdasarkan konteks spesifik: lokasi pengguna, jenis perangkat, tingkat risiko login, dan kondisi jaringan.
Melalui kebijakan conditional access, session token yang berhasil dicuri menjadi jauh lebih sulit digunakan. Ini karena ketika penyerang menggunakannya dari perangkat tidak terdaftar atau lokasi mencurigakan, sistem akan otomatis memblokir atau meminta autentikasi ulang.
Mengadopsi prinsip Zero Trust
Mengadopsi Zero Trust berangkat dari asumsi bahwa tidak ada pengguna atau perangkat yang dapat dipercaya secara otomatis. Setiap permintaan akses harus diverifikasi secara berkelanjutan berdasarkan identitas, perangkat, lokasi, dan tingkat risiko.
Dengan demikian, akun yang telah dikompromikan akan lebih sulit digunakan untuk melakukan pergerakan lateral atau eskalasi akses.
Memantau dan mengelola session secara aktif
Karena AitM berfokus pada pencurian session token, organisasi perlu menerapkan pengawasan sesi yang lebih ketat, seperti revoke session secara otomatis ketika risiko terdeteksi, pembatasan masa berlaku token, re-authentication untuk aktivitas sensitif, serta monitoring penggunaan session token secara real-time.
Kesimpulan
AitM (Adversary-in-the-Middle) merupakan evolusi dari serangan MitM (Man-in-the-Middle) yang memanfaatkan phishing dan teknik proxy untuk mencuri kredensial, session token, hingga mengambil alih akun pengguna. AitM mampu melewati MFA dengan mencuri sesi yang sudah terautentikasi melalui teknik sesion hijacking.
Untuk melawan AitM, organisasi perlu menerapkan pendekatan keamanan yang tidak hanya fokus pada pencegahan, tetapi juga mendeteksi aktivitas mencurigakan setelah proses autentikasi berhasil dilakukan.
Untuk mengurangi risiko serangan AitM, organisasi dapat mengombinasikan solusi keamanan identitas seperti ManageEngine ADSelfService Plus atau AD360 untuk menerapkan adaptive MFA, conditional access, dan Zero Trust.
Sementara itu, ADAudit Plus dapat memberikan visibilitas terhadap aktivitas login, perubahan akun, dan penggunaan hak akses istimewa yang sering menjadi indikator awal account takeover.
Di sisi lain, kemampuan deteksi juga perlu diperkuat melalui solusi seperti ManageEngine Log360 yang menyediakan fitur SIEM, threat intelligence, serta User and Entity Behavior Analytics (UEBA) guna membantu tim keamanan mengidentifikasi aktivitas mencurigakan secara real-time.
Pelajari tentang solusi ManageEngine selengkapnya melalui demo dengan tim expert kami.