SURABAYA (Lentera) -Google baru-baru ini mengeluarkan peringatan darurat kepada lebih dari dua miliar pengguna Gmail di seluruh dunia.
Langkah ini diambil setelah terungkap adanya skema phishing (penipuan online) baru yang berhasil membobol sistem keamanan Gmail.
Dalam skema ini, pelaku memanfaatkan layanan Google Sites untuk membuat tautan palsu yang menyerupai domain resmi Google.
Oleh karena itu, pengguna disarankan segera mengaktifkan verifikasi dua langkah (2FA) atau menggunakan passkey. Cara ini dapat menambah perlindungan ekstra pada akun Gmail mereka.
Modus phishing: tiru Google dengan manfaatkan infrastruktur Google
Modus phishing ini pertama kali diungkap oleh Nick Johnson, seorang pengembang dan influencer di bidang kripto. Ia membagikan pengalamannya melalui sebuah utas di platform X (sebelumnya dikenal sebagai Twitter).
Johnson hampir menjadi korban setelah menerima e-mail yang terlihat resmi. E-mail tersebut dikirim dari alamat "no-reply@google.com".
Perlu diketahui, alamat "no-reply@google.com" memang biasa digunakan Google untuk mengirimkan notifikasi penting. Misalnya, untuk verifikasi login, perubahan sandi, atau pemberitahuan aktivitas mencurigakan.
Dalam kasus ini, Johnson menerima e-mail yang memberitahukan adanya masalah hukum yang melibatkan akun Google miliknya. Ia kemudian diarahkan untuk membuka sebuah tautan guna mendapatkan informasi lebih lanjut.
Saat tautan diklik, pengguna akan dibawa ke laman yang menyerupai halaman login Google. Namun, laman tersebut ternyata palsu. Halaman itu di-hosting melalui Google Sites (sites.google.com), bukan melalui domain resmi accounts.google.com.
Perbedaan kecil pada alamat situs ini sering kali tidak disadari pengguna. Akibatnya, pengguna bisa saja terkecoh dan memasukkan kredensial akun mereka ke situs phishing.
Setelah korban mengetikkan alamat e-mail dan kata sandinya, data tersebut langsung dicuri oleh pelaku. Inilah yang disebut dengan phishing, yakni upaya pencurian data dengan menyamar sebagai pihak yang dipercaya.
Serangan ini menjadi lebih berbahaya karena berhasil mengelabui sistem keamanan DKIM (DomainKeys Identified Mail). Sistem DKIM biasanya digunakan Gmail untuk memverifikasi keaslian e-mail dan menyaring pesan mencurigakan ke dalam folder spam.
Namun, karena e-mail dalam kasus ini dikirim menggunakan infrastruktur Google, sistem keamanan menganggapnya sah. Akibatnya, e-mail phishing tersebut tetap masuk ke kotak masuk pengguna, berdampingan dengan notifikasi resmi dari Google.
Pengguna diimbau aktifkan 2FA
Dalam keterangan resminya kepada Newsweek, Google menyatakan sudah mengetahui jenis serangan ini.
Google juga menegaskan bahwa pihaknya tengah mengambil langkah untuk menanganinya. Serangan ini diketahui berasal dari kelompok peretas yang bernama Rockfoils.
“Kami telah mengetahui jenis serangan yang ditargetkan ini dari pelaku ancaman Rockfoils dan telah meluncurkan perlindungan selama seminggu terakhir,” kata juru bicara Google, mengutip Kompas.
“Perlindungan ini akan segera diterapkan sepenuhnya untuk menutup celah penyalahgunaan ini,” lanjutnya.
Google juga mengingatkan agar pengguna selalu berhati-hati terhadap e-mail yang meminta informasi pribadi.
“Google tidak akan pernah meminta kata sandi, kode OTP, atau permintaan verifikasi akun melalui e-mail maupun telepon,” tegas juru bicara Google, sebagaimana dihimpun dari The New York Post, Senin (28/4/2025).
Selain itu, Google tetap mendorong pengguna untuk mengaktifkan autentikasi dua langkah (2FA) atau menggunakan passkey. Langkah ini dinilai dapat memberikan perlindungan tambahan terhadap upaya peretasan akun.
Tips menghindari phishing
Untuk menghindari penipuan phishing melalui e-mail, pengguna disarankan menerapkan langkah-langkah berikut:
- Waspadai e-mail yang menggunakan nada mendesak atau mengintimidasi. Contohnya,
- Perhatikan alamat situs dengan saksama. Situs login resmi Google selalu menggunakan domain accounts.google.com.
- Hindari mengklik tautan secara langsung dari e-mail yang mencurigakan. Lebih aman jika Anda mengetikkan alamat situs secara manual di browser.
- Gunakan autentikasi dua langkah (2FA) atau passkey. Fitur ini memberikan lapisan keamanan tambahan yang penting apabila kata sandi Anda berhasil dicuri (*)
Editor: Arifin BH
