Modus Kuras Rekening Baru, Email Penipu dari Alamat Resmi Gmail

Jakarta, CNBC Indonesia - Google mengeluarkan peringatan darurat kepada miliaran pengguna Gmail di seluruh dunia. Ini menyusul terungkapnya metode phishing baru yang mengeksploitasi celah di infrastruktur Google.

Developer Nick Johnson, salah satu korban serangan ini, mengungkapkan bahwa ia menerima email dari alamat sah [email protected].

Email tersebut bahkan lolos verifikasi DKIM (DomainKeys Identified Mail), sehingga Gmail tidak memberikan tanda peringatan apa pun, dan justru menggabungkannya dalam percakapan yang berisi notifikasi keamanan asli.

Serangan ini makin berbahaya karena email itu mengklaim bahwa Google telah menerima surat perintah pengadilan untuk menyerahkan data akunnya.

Pengguna kemudian diarahkan untuk mengklik link yang membawa mereka ke halaman "support portal" palsu yang di host di situs resmi Google, yakni sites.google.com.

Jika pengguna mengklik tombol "Upload additional documents" atau "View case" di halaman palsu tersebut, mereka akan dibawa ke halaman login palsu. Di sinilah data kredensial dicuri dan digunakan untuk mengambil alih akun korban.

Mengutip PC Mag, Selasa (29/4/2025), Johnson menyebut ada dua celah di sistem Google yang dimanfaatkan dalam serangan ini.

Google yang memperbolehkan penyisipan skrip bebas, serta mekanisme verifikasi email Google yang bisa dimanipulasi untuk melewati pengamanan

" Pertama, produk lawas sites.google.com sudah ada sejak sebelum Google serius dengan keamanan. Orang-orang dapat meng-host konten pada subdomain google.com. Yang terpenting, ini mendukung skrip dan embed yang sewenang-wenang," katanya.

Dalam keterangan kepada Newsweek, juru bicara Google mengatakan, bahwa mereka sudah mengetahui jenis serangan ini. Dan mereka telah mengambil tindakan proteksi bagi pengguna Gmail.

"Kami sadar akan jenis serangan ini dari aktor ancaman bernama Rockfoils, dan telah menerapkan proteksi tambahan selama sepekan terakhir. Proteksi ini akan segera sepenuhnya aktif dan menutup celah penyalahgunaan ini," kata pihak Google.

Sembari menunggu perbaikan total, Google mengimbau pengguna untuk mengaktifkan multi-factor authentication (MFA) dan menggunakan passkeys untuk memperkuat keamanan akun.

Peringatan ini datang di tengah meningkatnya kasus phishing, termasuk insiden di mana Troy Hunt, pakar keamanan dunia maya dan pencipta situs HaveIBeenPwned.com, juga berhasil dikelabui oleh email phishing saat mengalami jetlag.

Bagi pengguna yang terlanjur menjadi korban, Google mengatakan masih ada kesempatan untuk memulihkan akun dalam waktu maksimal tujuh hari, asal sudah mengaitkan nomor telepon dan email pemulihan ke akun tersebut.

(dem/dem)

Next Article Modus Penipuan Baru Muncul di Gmail, Awas Terjebak AI