Mengapa MFA (Multi-Factor Authentication) Masih Bisa Dibobol?

Mengapa MFA Masih Bisa Dibobol?

Kalau bicara soal keamanan digital, istilah MFA (Multi-Factor Authentication) sudah jadi standar emas. Banyak perusahaan dan individu mengandalkannya untuk melindungi akun mereka dari serangan siber. Tapi, di tahun 2025, kabar buruknya adalah: MFA bukan jaminan absolut. Ya, sistem ini tetap bisa dibobol — dan pelakunya semakin pintar.

Mari kita bahas kenapa hal itu bisa terjadi.

1. Phishing Sudah Naik Level: Real-Time Phishing Attack

Kalau dulu phishing cuma berupa email palsu yang minta password, sekarang tekniknya jauh lebih halus.

Serangan real-time phishing (RTP) memanfaatkan reverse proxy tools seperti Evilginx atau Modlishka, yang bisa menyadap token MFA secara langsung saat user login.

Contohnya, kamu buka link login palsu yang kelihatan sangat meyakinkan. Begitu kamu masukkan kode OTP dari aplikasi authenticator, sistem palsu itu langsung meneruskan data ke situs asli dan mencuri session token-nya.

Hasilnya? Penyerang bisa masuk ke akunmu tanpa perlu kode lagi.

2. Serangan “MFA Fatigue”

Di tahun 2025, banyak kasus MFA fatigue attack meningkat. Serangan ini mengeksploitasi kebiasaan manusia yang mudah lelah dengan notifikasi.

Pelaku akan terus mengirimkan permintaan login berulang kali ke perangkat korban. Karena terganggu atau panik, korban akhirnya menekan “Approve” hanya untuk menghentikan spam notifikasi itu.

Satu klik itu saja sudah cukup bagi penyerang untuk masuk.

3. SIM Swapping & Social Engineering

Jangan remehkan teknik klasik seperti social engineering. Meski terdengar jadul, masih banyak yang tertipu.

Dengan sedikit informasi pribadi (nama ibu kandung, nomor KTP, tanggal lahir, dsb.), penyerang bisa melakukan SIM swapping — yaitu memindahkan nomor telepon korban ke kartu SIM baru.

Begitu SMS OTP dikirim ke nomor itu, mereka langsung ambil alih akunmu.

Ini salah satu alasan kenapa OTP berbasis SMS sudah dianggap tidak aman lagi di tahun 2025.

4. Malware & Keylogger Canggih

Malware sekarang bukan cuma mencuri file, tapi juga menyadap kode OTP atau push notification MFA dari perangkat korban.

Bahkan ada malware Android yang bisa membaca isi aplikasi authenticator seperti Google Authenticator atau Microsoft Authenticator.

Versi terbaru malware jenis ini bekerja dengan teknik overlay — menampilkan tampilan palsu di atas aplikasi keamanan untuk menjebak korban menginput kode mereka.

5. Integrasi Aplikasi Pihak Ketiga

Satu lagi titik lemah MFA modern: integrasi dengan aplikasi pihak ketiga.

Misalnya, kamu login ke layanan tertentu lewat Google atau Microsoft (SSO – Single Sign-On). Jika akses token dari layanan utama dicuri atau tidak terenkripsi dengan baik, penyerang bisa masuk ke semua layanan yang terhubung.

Sistem MFA jadi tidak berguna karena aksesnya sudah diotorisasi secara otomatis.

Jadi, Apa Solusinya?

MFA tetap penting — tapi jangan berhenti di situ. Di tahun 2025, pendekatan defense-in-depth wajib diterapkan.

Beberapa langkah yang direkomendasikan:

• Gunakan FIDO2 / Passkey Authentication (tanpa password dan tanpa OTP berbasis SMS).
• Aktifkan device trust & geolocation verification.
• Hindari meng-approve permintaan login tanpa sadar.
• Update sistem keamanan dan OS secara rutin.
• Gunakan aplikasi authenticator dengan enkripsi lokal & backup terenkripsi.

Jadi, meski MFA adalah salah satu lapisan keamanan paling penting, ia bukan tameng kebal serangan.

Penyerang tidak hanya menargetkan sistem, tapi juga manusia di baliknya.

Di tahun 2025, keamanan digital bukan lagi soal punya MFA atau tidak, tapi seberapa sadar dan bijak kita menggunakannya.