JAKARTA: Google baru saja mengeluarkan peringatan darurat kepada lebih dari dua miliar pengguna Gmail di seluruh dunia. Ini menyusul terungkapnya skema phishing terbaru yang berhasil menyusup ke sistem keamanan Gmail dengan metode yang sangat canggih — menggunakan layanan Google sendiri untuk menipu korbannya.
Dalam serangan ini, pelaku memanfaatkan Google Sites untuk membuat tautan palsu yang tampak seperti domain resmi Google. Akibatnya, pengguna yang tidak waspada bisa dengan mudah terkecoh, memasukkan kredensial mereka, dan tanpa sadar menyerahkan data pribadi kepada penipu.
Phishing Menggunakan Infrastruktur Google
Modus berbahaya ini pertama kali diungkapkan oleh Nick Johnson, seorang pengembang dan influencer di dunia kripto. Lewat sebuah utas di platform X (sebelumnya Twitter), Johnson menceritakan pengalamannya nyaris menjadi korban.
Ia menerima e-mail dari “no-reply@google.com“, alamat resmi yang biasa dipakai Google untuk mengirimkan notifikasi penting seperti verifikasi login atau perubahan sandi. E-mail itu mengklaim bahwa akun Johnson terlibat dalam masalah hukum dan memintanya untuk mengklik tautan guna memperoleh informasi lebih lanjut.
Namun, tautan tersebut justru mengarahkan ke laman login palsu yang di-hosting di Google Sites — bukan domain resmi accounts.google.com. Karena tampak begitu meyakinkan dan menggunakan infrastruktur Google, banyak pengguna mungkin tak menyadari perbedaan kecil ini.
Yang membuat serangan ini lebih berbahaya, pesan e-mail berhasil lolos dari sistem keamanan Gmail seperti DKIM (DomainKeys Identified Mail), yang seharusnya menyaring e-mail palsu. Karena dikirim melalui platform Google sendiri, e-mail ini dianggap sah dan masuk ke kotak masuk utama pengguna, bersanding dengan notifikasi resmi lainnya.
Google Bergerak Cepat
Dalam pernyataannya kepada Newsweek, Google mengaku sudah mengetahui adanya serangan ini. Mereka mengungkapkan bahwa serangan ini dilancarkan oleh kelompok peretas bernama Rockfoils.
“Kami telah meluncurkan perlindungan untuk menutup celah ini selama seminggu terakhir,” kata juru bicara Google. Mereka juga memastikan bahwa perlindungan penuh akan segera diterapkan.
Google menegaskan kembali bahwa mereka tidak pernah meminta kata sandi, kode OTP, atau informasi verifikasi melalui e-mail maupun telepon. Jika Anda menerima permintaan seperti itu, besar kemungkinan itu adalah upaya phishing.
Lindungi Akun Anda Sekarang
Google sangat menyarankan semua pengguna untuk segera mengaktifkan autentikasi dua langkah (2FA) atau menggunakan passkey. Ini adalah lapisan perlindungan tambahan yang sangat efektif untuk mengamankan akun, bahkan jika kata sandi Anda sempat dicuri.
Selain itu, berikut beberapa tips penting untuk menghindari phishing:
Waspadai e-mail dengan nada mendesak atau mengintimidasi, seperti “Akun Anda akan diblokir segera.”
Periksa alamat situs dengan cermat. Situs resmi Google selalu memakai domain accounts.google.com.
Jangan langsung klik tautan dari e-mail mencurigakan. Ketik alamat situs secara manual di browser.
Gunakan 2FA atau passkey untuk keamanan ekstra.
Dengan maraknya skema penipuan yang semakin canggih, kewaspadaan pengguna menjadi pertahanan utama. Jangan biarkan data pribadi Anda jatuh ke tangan yang salah!
