TIMETODAY.ID — Google baru-baru ini mengeluarkan peringatan darurat kepada lebih dari dua miliar pengguna Gmail di seluruh dunia setelah terungkapnya skema phishing baru yang berhasil mengelabui sistem keamanan Gmail.
Dalam serangan ini, pelaku memanfaatkan layanan Google Sites untuk membuat tautan palsu yang meniru domain resmi Google. Hal ini memicu kekhawatiran tentang meningkatnya risiko keamanan bagi pengguna Gmail.
Modus Phishing: Memanfaatkan Infrastruktur Google
Serangan phishing ini pertama kali diungkap oleh Nick Johnson, seorang pengembang dan influencer di bidang kripto. Dalam sebuah utas di platform X (sebelumnya dikenal sebagai Twitter), Johnson menceritakan pengalamannya hampir menjadi korban serangan tersebut.
Ia menerima e-mail yang tampak sah, dikirim dari alamat “[email protected]”, yang biasanya digunakan oleh Google untuk mengirimkan notifikasi penting seperti verifikasi login, perubahan kata sandi, atau peringatan aktivitas mencurigakan.
Dalam e-mail yang diterimanya, Johnson diberitahukan tentang masalah hukum yang melibatkan akun Google-nya, dan diminta untuk mengklik tautan untuk informasi lebih lanjut. Ketika tautan tersebut dibuka, Johnson dibawa ke halaman login yang terlihat sangat mirip dengan halaman resmi Google.
Namun, laman tersebut ternyata adalah palsu, di-hosting menggunakan Google Sites (sites.google.com), bukan melalui domain resmi accounts.google.com.
Perbedaan kecil pada alamat situs sering kali tidak disadari oleh banyak pengguna. Akibatnya, mereka bisa saja memasukkan alamat e-mail dan kata sandi mereka ke situs phishing tanpa menyadarinya, sehingga data pribadi mereka bisa dicuri.
Keamanan DKIM Tertipu Phishing
Serangan ini menjadi semakin berbahaya karena berhasil menipu sistem keamanan DKIM (DomainKeys Identified Mail), yang digunakan oleh Gmail untuk memverifikasi keaslian e-mail dan menyaring pesan mencurigakan.
Mengingat e-mail tersebut dikirim melalui infrastruktur Google, sistem keamanan Gmail menganggapnya sah dan memasukannya ke kotak masuk pengguna, bukan ke folder spam.
Hal ini membuat e-mail phishing tersebut lolos dari deteksi, dan berisiko besar bagi keamanan akun.
Google Tindak Lanjuti dengan Perlindungan Ekstra
Dalam keterangan resmi yang diberikan kepada Newsweek, Google mengonfirmasi bahwa pihaknya telah mengetahui jenis serangan ini dan tengah mengambil langkah-langkah untuk menangani masalah tersebut.
“Kami telah mengetahui jenis serangan yang ditargetkan ini dari pelaku ancaman Rockfoils dan telah meluncurkan perlindungan selama seminggu terakhir,” ujar juru bicara Google. Google juga mengonfirmasi bahwa perlindungan baru ini akan segera diterapkan sepenuhnya untuk menutup celah penyalahgunaan ini.
Meskipun serangan ini sebagian besar berhasil mengelabui sistem, Google menegaskan bahwa mereka tidak pernah meminta informasi pribadi pengguna melalui e-mail atau telepon. “Google tidak akan pernah meminta kata sandi, kode OTP, atau permintaan verifikasi akun melalui e-mail maupun telepon,” tegas juru bicara Google, sebagaimana dikutip dari The New York Post pada Senin (28/4/2025).
Aktifkan 2FA untuk Perlindungan Tambahan
Sebagai langkah pencegahan, Google kembali mengingatkan pengguna untuk selalu berhati-hati terhadap e-mail yang meminta informasi pribadi. Selain itu, mereka juga sangat mendorong agar pengguna mengaktifkan autentikasi dua langkah (2FA) atau menggunakan passkey untuk memberikan lapisan keamanan tambahan terhadap upaya peretasan akun.
Tips Menghindari Phishing
Berikut adalah beberapa tips untuk menghindari penipuan phishing melalui e-mail:
- Waspadai e-mail yang menggunakan nada mendesak atau mengintimidasi, seperti “Akun Anda akan dibekukan jika tidak segera dikonfirmasi.”
- Perhatikan dengan seksama alamat situs yang muncul dalam e-mail. Situs login resmi Google selalu menggunakan domain accounts.google.com.
- Hindari mengklik tautan langsung dari e-mail yang mencurigakan. Sebaiknya ketik alamat situs secara manual di browser Anda.
- Aktifkan autentikasi dua langkah (2FA) atau passkey untuk memberikan perlindungan tambahan yang sangat penting, terutama jika kata sandi Anda berhasil dicuri.
Dengan memperhatikan langkah-langkah pencegahan ini, pengguna dapat melindungi akun Gmail mereka dari potensi ancaman phishing yang semakin canggih.***
Follow dan Baca Artikel lainnya di Google News atau via whatsapp timetoday wa channel
