Google baru-baru ini mengeluarkan peringatan darurat kepada lebih dari dua miliar pengguna Gmail di seluruh dunia terkait terungkapnya skema phishing (penipuan online) baru yang berpotensi menembus sistem keamanan Gmail. Serangan ini bisa berakibat fatal, menyebabkan pengguna kehilangan akses ke akun-akun penting, bahkan berujung pada terkurasnya saldo rekening bank.
Gmail, bagi banyak orang, telah menjadi pintu gerbang utama menuju berbagai layanan finansial seperti mobile banking, dompet digital, hingga akun e-commerce. Jika akun Gmail berhasil dibajak, peretas memiliki kemampuan untuk mereset kata sandi berbagai aplikasi keuangan tersebut, memungkinkan mereka menguras saldo rekening dalam waktu singkat.
Modus operandi serangan ini terbilang cerdik, yaitu dengan memanfaatkan layanan Google Sites untuk menyamarkan tautan palsu, sehingga tampilannya sangat meyakinkan dan seolah-olah berasal dari domain resmi Google.
Pengembang dan influencer kripto, Nick Johnson, menjadi salah satu orang yang pertama kali mengungkap modus ini melalui sebuah utas di platform X (sebelumnya dikenal sebagai Twitter). Ia nyaris menjadi korban setelah menerima e-mail yang tampak resmi, dikirim dari alamat no-reply@google.com. Alamat ini memang lazim digunakan oleh Google untuk mengirimkan notifikasi penting, seperti verifikasi login atau perubahan kata sandi.
Isi e-mail tersebut mengklaim bahwa ada permasalahan hukum terkait akun Google miliknya dan meminta Johnson untuk segera membuka tautan yang disediakan untuk melihat detailnya. Kecurigaan Johnson muncul karena tautan tersebut, jika diklik, mengarahkannya ke halaman login Google yang tampak normal. Namun, setelah diperiksa lebih teliti, laman tersebut ternyata palsu dan di-hosting di Google Sites (sites.google.com), bukan di accounts.google.com—alamat login resmi Google. Perbedaan yang sangat halus ini seringkali luput dari perhatian pengguna.
Ketika pengguna tanpa sadar memasukkan alamat e-mail dan kata sandi mereka pada halaman palsu tersebut, informasi sensitif itu langsung jatuh ke tangan penipu. Inilah esensi dari phishing—tindakan penipuan yang dilakukan dengan menyamar sebagai pihak terpercaya untuk mencuri informasi penting.
Salah satu aspek yang membuat serangan ini sangat berbahaya adalah kemampuannya untuk melewati sistem keamanan Gmail yang biasanya andal, seperti DKIM (DomainKeys Identified Mail). DKIM berfungsi untuk memverifikasi keaslian e-mail dan menyaring pesan-pesan yang mencurigakan ke folder spam. Namun, karena e-mail palsu ini benar-benar dikirim dari infrastruktur Google dan lolos dari tanda tangan digital, sistem menganggapnya sah dan menampilkannya di kotak masuk pengguna, bahkan disatukan dengan notifikasi keamanan asli dari Google.
Google, dalam pernyataan resminya kepada Newsweek, menyatakan bahwa mereka telah mengetahui serangan ini dan sedang mengambil langkah-langkah penanganan yang diperlukan. Serangan tersebut diyakini berasal dari kelompok peretas yang dikenal dengan nama Rockfoils.
“Kami telah mengetahui jenis serangan yang ditargetkan ini dari pelaku ancaman Rockfoils dan telah meluncurkan perlindungan selama seminggu terakhir,” ujar seorang juru bicara Google.
Perlindungan ini diharapkan dapat segera diterapkan sepenuhnya untuk menutup celah penyalahgunaan yang ada. Google juga kembali mengingatkan para pengguna untuk selalu waspada terhadap pesan e-mail yang meminta data pribadi.
“Google tidak akan pernah meminta kata sandi, kode OTP (One-Time Password), atau verifikasi akun melalui email atau telepon,” tegas Google, seperti dikutip dari The New York Post.
Google mengimbau semua pengguna Gmail untuk mengaktifkan autentikasi dua langkah (2FA) atau passkey sebagai lapisan keamanan tambahan. Kedua metode ini akan membuat akun tetap terlindungi meskipun kata sandi diketahui oleh pihak lain.
Mengingat betapa pentingnya akun Gmail sebagai pusat akses ke berbagai layanan digital, termasuk layanan finansial, pengguna sangat disarankan untuk meningkatkan kewaspadaan. Satu celah keamanan yang berhasil ditembus dapat menjalar ke akun-akun lain dan berujung pada kerugian materi yang signifikan.
Berikut adalah beberapa tips praktis yang dapat Kamu lakukan untuk mengenali dan menghindari jebakan phishing:
- Waspadai e-mail yang Memberi Tekanan Waktu atau Menciptakan Rasa Panik: Contohnya, e-mail dengan kalimat seperti: “Akun Kamu akan dibekukan jika tidak segera dikonfirmasi.” Pesan-pesan semacam ini seringkali dirancang untuk membuat Kamu bertindak tanpa berpikir panjang.
- Periksa dengan Teliti Alamat Situs pada Tautan: Situs login resmi Google hanya menggunakan domain accounts.google.com. Jika Kamu melihat domain lain, berhati-hatilah.
- Hindari Mengklik Tautan dari E-mail yang Mencurigakan: Lebih aman untuk mengetik alamat situs secara manual di browser. Ini akan memastikan Kamu sampai ke situs yang benar.
- Aktifkan 2FA atau Passkey sebagai Perlindungan Ekstra: Ini akan memberikan lapisan keamanan tambahan pada akun Kamu.
Dengan semakin banyaknya akun keuangan digital yang terhubung ke Gmail, menjaga keamanan e-mail bukan lagi sekadar pilihan, melainkan sebuah keharusan untuk melindungi data pribadi dan isi rekening kita.