Peneliti dari Kaspersky baru saja nemuin skema phishing licik yang pakai Google Tasks buat nyolong data login karyawan. Modus ini bahaya banget soalnya mereka pakai domain resmi @google.com, yang ngebuat filter keamanan sering kebobolan. Kalian harus waspada karena serangan ini kelihatan kayak urusan internal kantor yang beneran penting.
Belakangan ini, ancaman siber nggak cuma datang dari link-link aneh yang nggak jelas asal-usulnya. Para pelaku kejahatan makin pinter dengan ngeksploitasi layanan cloud yang sering kami pakai sehari-hari, salah satunya Google Tasks. Dalam kampanye yang terdeteksi di awal tahun 2026 ini, mereka menggunakan notifikasi otomatis yang asalnya beneran dari sistem Google. Hal ini ngebuat sistem keamanan email perusahaan kayak kewalahan buat ngebedain mana instruksi kerja yang bener dan mana yang cuma jebakan Batman.
Skemanya terbilang sangat rapi. Kalian mungkin bakal dapet email dengan subjek “Anda memiliki tugas baru”. Karena email ini dikirim lewat infrastruktur Google yang sah, secara teknis email tersebut punya sertifikat digital dan reputasi domain yang bersih. Alhasil, sistem filter spam yang biasanya galak banget ngeblokir email luar, malah ngasih “lampu hijau”. Penyerang ngebangun rasa percaya korban dengan nampilin format email yang identik banget sama notifikasi Google Workspace yang biasa kalian terima pas lagi kerja.
Nggak cuma modal tampilan doang, mereka juga mainin sisi psikologis atau yang biasa disebut social engineering. Di dalam pesan tersebut, mereka nyelipin elemen urgensi. Misalnya, tugas itu dikasih label “Prioritas Tinggi” dengan tenggat waktu yang mepet banget. Rasanya pasti panik kan kalau dapet notifikasi tugas mendadak dari sistem resmi? Nah, kepanikan inilah yang mereka incar supaya korban langsung klik link di dalamnya tanpa sempat mikir panjang atau ngecek keaslian instruksinya ke atasan.
Begitu link diklik, kalian nggak bakal dibawa ke dashboard Google Tasks yang asli. Sebaliknya, kalian bakal dialihkan ke sebuah halaman web palsu yang tampilannya didesain mirip banget sama portal internal perusahaan atau halaman “Verifikasi Karyawan”. Di sana, kalian diminta buat masukin kredensial login, kayak username dan password email kantor, dengan alasan buat konfirmasi status pegawai. Padahal, begitu tombol “Submit” ditekan, data rahasia kalian langsung terkirim ke server milik pelaku.
Roman Dedenok, seorang pakar Anti-Spam di Kaspersky, ngomong kalau tren ini bakal terus berlanjut sepanjang tahun 2026. Menurut dia, ekosistem Google yang luas banget emang jadi sasaran empuk karena hampir semua perusahaan pakai layanan ini. Penggunaan domain resmi @google.com itu kayak “senjata pamungkas” mereka buat nembus pertahanan paling canggih sekalipun. Kalau data login kalian udah bocor, dampaknya nggak main-main. Mereka bisa akses data sensitif perusahaan, ngebajak komunikasi bisnis (Business Email Compromise), atau bahkan nyebarin malware ke seluruh jaringan kantor lewat akun kalian yang sudah dikuasai.
Buat ngelindungin diri dan perusahaan dari serangan kayak gini, ada beberapa langkah teknis dan praktis yang harus kalian terapin:
- Periksa Detail Pengirim Secara Manual
Meskipun domainnya kelihatan dari google.com, kalian harus cek apakah instruksi tugas tersebut relevan sama job desk kalian. Kalau rasanya aneh karena nggak pernah ada pembicaraan sebelumnya soal tugas itu di platform komunikasi internal (seperti Slack atau Teams), jangan langsung percaya. - Jangan Pernah Masukin Kredensial di Link Luar
Inget, layanan resmi Google nggak bakal minta kalian buat verifikasi ulang password lewat halaman web yang asalnya dari link email secara tiba-tiba. Kalau kalian diarahkan ke form “Employee Verification” di luar portal resmi perusahaan yang biasanya kalian pakai, itu udah pasti tanda bahaya. - Gunakan Autentikasi Dua Faktor (2FA/MFA)
Ngeaktifin 2FA itu wajib banget di jaman sekarang. Kalaupun pelaku berhasil nyolong password kalian, mereka tetep nggak bakal bisa masuk ke akun tanpa kode verifikasi tambahan yang ada di HP kalian. Ini bener-bener ngebantu ngebatasin ruang gerak mereka. - Lapor ke Tim IT atau Security
Kalau kalian nemuin email yang mencurigakan, jangan cuma dihapus. Kasih tahu tim IT di kantor kalian supaya mereka bisa ngeblokir alamat pengirim atau URL tersebut di seluruh jaringan perusahaan. Tindakan kecil ini bisa nyelametin temen kerja lainnya supaya nggak kena tipu juga. - Edukasi Diri dan Rekan Kerja
Serangan siber itu terus berkembang. Sering-seringlah baca update soal tren keamanan siber terbaru. Jangan sampai kalian ngerasa aman cuma karena kantor udah pakai sistem cloud yang terkenal. Penjahat selalu nyari celah di titik terlemah, yaitu kelalaian manusia itu sendiri.
Ngelihat fenomena ini, kayaknya kita emang harus makin skeptis sama setiap notifikasi yang masuk, walaupun kelihatannya resmi. Serangan yang manfaatin kepercayaan kita terhadap brand besar kayak Google emang licik banget karena mereka ngebuat batasan antara “aman” dan “bahaya” jadi makin tipis. Tetap waspada, selalu verifikasi ulang setiap ada permintaan data sensitif, dan jangan biarkan rasa panik ngebikin kalian ngambil keputusan yang salah. Keamanan data perusahaan adalah tanggung jawab kita bareng-bareng.
Semoga penjelasan ini bermanfaat buat menjaga keamanan akun dan data kalian di tempat kerja. Tetap hati-hati saat berselancar di dunia digital ya, rekan-rekanita. Terimakasih sudah membaca sampai selesai!