Jakarta, CNN Indonesia --
Google mengeluarkan peringatan darurat kepada 3 miliar pengguna Gmail setelah mengonfirmasi sebuah penipuan phishing canggih yang menargetkan pengguna email. Simak penjelasannya.
Developer Nick Johnson pertama kali menemukan masalah ini setelah hampir tertipu oleh penjahat siber yang menggunakan infrastruktur Google agar terlihat sebagai pesan resmi. Ia kemudian membagikan pengalamannya di media sosial.
"Baru-baru ini saya menjadi sasaran serangan phishing yang sangat canggih," kata Johnson dalam sebuah unggahan di X pada 16 April lalu, mengutip New York Post, Selasa (22/4).
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
"Serangan ini mengeksploitasi kerentanan pada infrastruktur Google, dan mengingat penolakan mereka untuk memperbaikinya, kita mungkin akan melihatnya lebih banyak lagi," lanjutnya.
Jebakan itu datang dengan menyamar sebagai email yang tampak resmi yang mengklaim bahwa dia telah menerima surat panggilan pengadilan yang terkait dengan akun Google-nya.
Email tersebut bahkan berasal dari alamat yang tampak seperti alamat Google asli.
"Satu-satunya petunjuk bahwa ini adalah phishing adalah bahwa email tersebut di-host di sites.google.com dan bukan di accounts.google.com," kata Johnson melanjutkan.
Menurutnya, tautan tersebut mengarahkan korbannya ke portal dukungan palsu dengan duplikat halaman login Google yang asli. Para pelaku merancang ini untuk mengelabui pengguna agar menyerahkan kredensial mereka.
"Dari sana, mungkin, mereka mengambil kredensial login Anda dan menggunakannya untuk membobol akun Anda," jelas dia.
"Bahkan menempatkannya dalam percakapan yang sama dengan peringatan keamanan yang sah lainnya," tambahnya.
Lebih buruk lagi, email mencurigakan tersebut lolos dari pemeriksaan DKIM (DomainKeys Identified Mail) Google, yang berarti Gmail memperlakukannya seperti pesan biasa.
Menurut Johnson pelaku serangan ini menggunakan Google Sites untuk memberikan kesan kredibilitas pada aksi mereka. Mereka memanfaatkan kelemahan sebagian besar orang yang tidak akan menebak-nebak URL yang terlihat familiar.
"Penipuan ini dirancang agar terlihat senyata mungkin," kata Johnson, memperingatkan bahwa banyak pengguna tidak akan menyadari perubahan kecil pada nama domain, meski hal inidapat menyebabkan masalah besar pada rekening bank atau identitas mereka.
Dalam sebuah pernyataan, Google mengatakan sudah mengetahui soal serangan ini dan telah meluncurkan perlindungan baru untuk menutup celah serangan tersebut.
"Sementara itu, kami mendorong pengguna untuk mengadopsi otentikasi dua faktor dan passkeys, yang memberikan perlindungan yang kuat terhadap serangan phishing semacam ini," kata juru bicara Google.
Google mengaku telah memblokir celah keamanan yang memungkinkan terjadinya serangan tersebut. Mereka juga mengklaim sudah meluncurkan saran baru untuk membantu pengguna menghindari jebakan email serupa.
Cara menangkal
Menurut New York Post, pengguna Gmail yang hanya mengandalkan password akan sangat rentan menjadi korban penipuan ini.
Jika peretas mendapatkan informasi login dan korban tidak menggunakan autentikasi dua faktor (2FA) atau password, mereka dapat melenggang masuk ke akun korban.
Sebaliknya, passkeys adalah metode login yang terikat pada perangkat keras yang tidak bisa digesek dan digunakan oleh peretas dan menjadikannya lebih aman.
Sementara itu, upaya phishing semakin sulit dikenali. Tanda-tanda peringatan termasuk salam yang tidak jelas, nada mendesak, dan tautan yang dapat diklik yang menuntut tindakan segera, terutama terkait data pribadi atau akses akun.
Meskipun Google memang mengirim email tentang masalah akun, raksasa teknologi ini mengatakan bahwa Anda harus selalu berpikir dua kali sebelum mengklik.
"Ketika kami menerima permintaan dari lembaga pemerintah, kami mengirim email ke akun pengguna sebelum mengungkapkan informasi. Jika akun tersebut dikelola oleh sebuah organisasi, kami akan memberikan pemberitahuan kepada administrator akun tersebut," kata Google dalam halaman Privasi dan Ketentuan.
"Kami tidak akan memberikan pemberitahuan jika dilarang secara hukum berdasarkan ketentuan permintaan. Kami akan memberikan pemberitahuan setelah larangan hukum dicabut, seperti saat periode pembungkaman yang diperintahkan oleh undang-undang atau pengadilan telah berakhir," lanjutnya.
Intinya, Anda disarankan tidak mengeklik email dari pengirim yang tidak jelas siapa pengirimnya dan meminta informasi pribadi. Sebaliknya, buka situs tersebut di windows peramban terpisah dan periksa ulang sumbernya.
(dmi/dmi)
:strip_icc():format(jpeg)/kly-media-production/medias/5083255/original/073765500_1736243058-IMG-20250106-WA0040.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/4877083/original/081802400_1719492418-Ipar_Adalah_Maut_0.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5127936/original/084476700_1739194562-WhatsApp_Image_2025-02-10_at_8.31.17_PM.jpeg)
:strip_icc():format(jpeg)/kly-media-production/medias/5091838/original/093989400_1736737350-BABYMONSTER_Resmi_Tambah_Jadwal_Konser_di_Indonesia__Jangan_Lewatkan_Tanggalnya6.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5123770/original/012789000_1738828771-Potret_Cantik_Carmen_Hearts2Hearts.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/4990228/original/046340900_1730714150-ClipDown.App_455844238_3474603032800279_3424875931164929740_n.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5078651/original/038410400_1736136829-Screenshot__1067_.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5091857/original/058587700_1736739466-Siap_Ramaikan_Dunia_K-Pop__Pesona_Carmen_Sang_Idol_asal_Indonesia_yang_Debut_di_SM_Entertainment.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/4976508/original/094388600_1729595482-raffinagita1717_1729587268_3484353005170223244_1918078581.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5049786/original/098436800_1734079851-15-artis-yang-menikah-sepanjang-2024-ma-13d587.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5063923/original/002084600_1734996544-Sinopsis_dan_Jadwal_Tayang_Film_THE_PRIESTS_2_DARK_NUNS_4.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5101310/original/013835900_1737357855-Profil_Desy_Ratnasari5.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5102184/original/030122500_1737432928-Snapinst.app_456232820_993938155864040_7644102184579839220_n_1080.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5077921/original/057860400_1736050393-Snapinsta.app_467163292_1658041388110021_2881908001949077209_n_1080.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/3634428/original/068475200_1637056857-WhatsApp_Image_2021-11-15_at_23.08.17.jpeg)
:strip_icc():format(jpeg)/kly-media-production/medias/5120373/original/063801300_1738655275-Potret_Aon_Somrutai.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5055310/original/044630900_1734450974-Jessica_Milla_dan_Yakub_Hasibuan_Bersama_Putri_Tercinta.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5078652/original/074416200_1736136844-Screenshot__1068_.jpg)
:strip_icc():format(jpeg)/kly-media-production/medias/5072453/original/091211400_1735554746-WhatsApp_Image_2024-12-30_at_5.27.00_PM.jpeg)
:strip_icc():format(jpeg)/kly-media-production/medias/4905963/original/073888600_1722409485-SmartSelect_20240731_135804_Opera.jpg)