“`html
Ilham My Id – – Kabar mendesak bagi para pengguna Gmail di seluruh dunia! Google telah mengeluarkan peringatan penting kepada lebih dari dua miliar penggunanya terkait ancaman phishing yang semakin canggih. Peringatan ini dikeluarkan setelah ditemukannya celah keamanan yang dimanfaatkan oleh pelaku kejahatan siber untuk membobol akun Gmail.
Modus operandi kejahatan ini melibatkan penggunaan layanan Google Sites untuk membuat tautan-tautan palsu. Tautan-tautan ini dirancang sedemikian rupa agar menyerupai domain resmi Google, sehingga mengecoh para pengguna.
Untuk meningkatkan keamanan akun Gmail Anda, sangat disarankan untuk segera mengaktifkan verifikasi dua langkah (2FA) atau memanfaatkan passkey. Kedua metode ini menawarkan lapisan perlindungan ekstra yang signifikan.
Baca juga: Modus Baru Penipuan di Gmail, Bisa Kuras Saldo Rekening Bank
Modus phishing: meniru Google dengan memanfaatkan infrastruktur Google
Nick Johnson, seorang pengembang dan tokoh berpengaruh di dunia kripto, menjadi orang pertama yang mengungkap modus phishing berbahaya ini. Ia membagikan pengalamannya melalui serangkaian cuitan di platform X (dahulu Twitter).
Johnson nyaris menjadi korban setelah menerima sebuah e-mail yang tampak meyakinkan dan resmi. E-mail tersebut dikirimkan dari alamat “no-reply@google.com”.
Penting untuk diketahui bahwa alamat “no-reply@google.com” memang sering digunakan oleh Google untuk menyampaikan notifikasi penting, seperti verifikasi login, perubahan kata sandi, atau pemberitahuan aktivitas yang mencurigakan.
Dalam kasus Johnson, ia menerima e-mail yang menginformasikan adanya masalah hukum yang terkait dengan akun Google-nya. E-mail tersebut kemudian mengarahkannya untuk mengklik sebuah tautan guna mendapatkan informasi lebih lanjut.
Baca juga: 2,5 Miliar Akun Gmail Terancam AI Hack
Ketika tautan tersebut diklik, pengguna akan diarahkan ke sebuah halaman yang sangat mirip dengan halaman login Google. Namun, halaman tersebut ternyata palsu dan di-hosting melalui Google Sites (sites.google.com), bukan melalui domain resmi accounts.google.com.
Perbedaan yang sangat halus pada alamat situs inilah yang sering kali luput dari perhatian pengguna. Akibatnya, mereka dapat dengan mudah terkecoh dan tanpa sadar memasukkan kredensial akun mereka ke dalam situs phishing tersebut.
Setelah korban memasukkan alamat e-mail dan kata sandinya, data tersebut akan langsung dicuri oleh pelaku. Inilah inti dari phishing, yaitu upaya pencurian data dengan menyamar sebagai entitas yang tepercaya.
Serangan ini menjadi semakin berbahaya karena berhasil melewati sistem keamanan DKIM (DomainKeys Identified Mail). Sistem DKIM biasanya digunakan oleh Gmail untuk memverifikasi keaslian e-mail dan memfilter pesan-pesan yang mencurigakan ke dalam folder spam.
Baca juga: Hati-hati Dapat E-mail dari no-reply@google.com
Namun, karena e-mail dalam kasus ini dikirim menggunakan infrastruktur Google, sistem keamanan menganggapnya sebagai pesan yang sah. Akibatnya, e-mail phishing tersebut berhasil masuk ke kotak masuk pengguna, sejajar dengan notifikasi resmi dari Google.
Pengguna diimbau aktifkan 2FA
Dalam pernyataan resminya kepada Newsweek, Google mengonfirmasi bahwa mereka telah menyadari jenis serangan ini dan sedang mengambil langkah-langkah untuk menanganinya.
Serangan ini diketahui berasal dari kelompok peretas yang dikenal dengan nama Rockfoils.
“Kami telah mengetahui jenis serangan yang ditargetkan ini dari pelaku ancaman Rockfoils dan telah meluncurkan perlindungan selama seminggu terakhir,” ujar seorang juru bicara Google.
“Perlindungan ini akan segera diterapkan sepenuhnya untuk menutup celah penyalahgunaan ini,” tambahnya.
Google juga mengimbau para pengguna untuk selalu waspada terhadap e-mail yang meminta informasi pribadi.
“Google tidak akan pernah meminta kata sandi, kode OTP, atau permintaan verifikasi akun melalui e-mail maupun telepon,” tegas juru bicara Google, seperti yang dilansir KompasTekno dari The New York Post, Senin (28/4/2025).
Baca juga: Apa Arti “Re” di Gmail dan Mengapa Muncul saat Membalas Pesan?
Selain itu, Google terus mendorong para pengguna untuk mengaktifkan autentikasi dua langkah (2FA) atau menggunakan passkey. Langkah ini dinilai dapat memberikan perlindungan tambahan terhadap upaya peretasan akun.
Tips menghindari phishing
Untuk menghindari menjadi korban penipuan phishing melalui e-mail, pengguna disarankan untuk menerapkan langkah-langkah berikut:
- Berhati-hatilah terhadap e-mail yang menggunakan nada mendesak atau mengintimidasi. Contohnya, “Akun Anda akan dibekukan jika tidak segera dikonfirmasi.”
- Perhatikan alamat situs dengan cermat. Situs login resmi Google selalu menggunakan domain accounts.google.com.
- Hindari mengklik tautan secara langsung dari e-mail yang mencurigakan. Lebih aman jika Anda mengetikkan alamat situs secara manual di peramban (browser).
- Gunakan autentikasi dua langkah (2FA) atau passkey. Fitur ini memberikan lapisan keamanan tambahan yang sangat penting jika kata sandi Anda berhasil dicuri.
“`
