TEMPO.CO, Jakarta - Sebuah skema penipuan phishing terbaru menyamar sebagai email resmi dari Google (Gmail). Modusnya, memanfaatkan layanan resmi milik Google dan PayPal untuk mengirim email palsu yang terlihat sah secara teknis sehingga lolos dari sistem keamanan Gmail.
Seperti dikutip dari laporan The Verge, pelaku mengirim email dari alamat “[email protected]” dengan isi yang menakut-nakuti korban, mengklaim bahwa penegak hukum sedang meminta data. Email tersebut menyerupai pemberitahuan resmi yang dikirimkan langsung oleh Google, lengkap dengan tautan yang mengarah ke situs palsu di platform Google Sites, bukan ke domain resmi seperti accounts.google.com.
Baca berita dengan sedikit iklan, klik di sini
Menurut laporan Bleeping Computer, email ini dibuat menggunakan aplikasi Google Sites, yang memungkinkan pelaku membuat tampilan email dan situs phishing yang sangat meyakinkan. Karena dikirim dari sistem Google sendiri, proses autentikasi seperti DomainKeys Identified Mail (DKIM) tidak menandainya sebagai spam email atau email berbahaya.
EasyDMARC, perusahaan yang bergerak di bidang autentikasi email, menjelaskan bahwa para pelaku cukup memasukkan seluruh isi email sebagai nama dari aplikasi palsu mereka, yang kemudian secara otomatis dimasukkan ke dalam email yang dikirim Google ke alamat tujuan mereka sendiri. Hal ini membuat email tersebut tampak sah di mata sistem keamanan Gmail.
Juru bicara Keamanan Komunikasi Gmail Ross Richendrfer menyatakan bahwa pihaknya menyadari kelas serangan yang ditargetkan dari pelaku ancaman tersebut, dan telah meluncurkan perlindungan untuk menutup celah penyalahgunaan ini. “Sementara itu, kami mendorong pengguna untuk mengaktifkan autentikasi dua faktor dan passkeys, yang memberikan perlindungan kuat terhadap kampanye phishing semacam ini,” katanya.
Penipuan modus serupa juga menargetkan pengguna PayPal bulan lalu dengan metode yang sama. Email yang dikirim tetap tampak valid karena sistem DKIM hanya memverifikasi isi dan header pesan, bukan asal tautan yang dikandungnya.
Pengembang Ethereum Name Service Nick Johnson mengaku turut menjadi korban skema ini. Ia melaporkan penyalahgunaan aplikasi OAuth milik Google sebagai celah keamanan. Pada awalnya, Google menyatakan bahwa sistem tersebut berfungsi sebagaimana mestinya, namun setelah mendapat laporan lebih lanjut, perusahaan mengakui adanya masalah dan kini tengah mengupayakan perbaikan.
