Google baru-baru ini mengeluarkan peringatan darurat kepada lebih dari dua miliar pengguna Gmail di seluruh dunia, setelah terungkapnya skema phishing (penipuan online) baru yang berhasil menembus sistem keamanan Gmail.

Modus phising: menyamar jadi Google, pakai infrastruktur Google

Seperti diketahui, alamat e-mail "[email protected]" biasa digunakan Google untuk mengirim notifikasi penting seperti verifikasi login, perubahan sandi, dan aktivitas mencurigakan.

Dalam kasus Johnson, ia menerima e-mail yang menyebutkan bahwa ada masalah hukum yang melibatkan akun Google miliknya, sehingga ia perlu segera membuka tautan untuk mengetahui detailnya.

Kalau diklik, tautan itu membuka halaman yang terlihat seperti halaman login Google. Namun, jika diperhatikan, laman login tersebut palsu karena di-hosting di Google Sites (sites.google.com). Padahal, domain resmi untuk login akun Google adalah accounts.google.com.

Begitu pengguna mengetik e-mail dan kata sandi mereka di situs palsu itu, datanya langsung dicuri oleh penipu. Ini yang disebut sebagai phishing, aksi pencurian data dengan menyamar sebagai pihak yang terpercaya.

The first thing to note is that this is a valid, signed email - it really was sent from [email protected]. It passes the DKIM signature check, and GMail displays it without any warnings - it even puts it in the same conversation as other, legitimate security alerts. pic.twitter.com/GxlFR6ccLG
— nick.eth (@nicksdjohnson) April 16, 2025

Yang membuat serangan ini berbahaya adalah kemampuannya melewati sistem keamanan DKIM (DomainKeys Identified Mail). Sistem DKIM ini biasanya digunakan Gmail untuk mengecek keaslian e-mail dan menyaring pesan mencurigakan ke folder spam.

Namun karena email dikirim dari infrastruktur Google sendiri, sistem mungkin melihatnya sebagai sah dan menempatkannya di kotak masuk bersama notifikasi asli dari Google.

Aktifkan 2FA untuk keamanan berlapis

Dalam pernyataan resmi kepada outlet Newsweek, Google menyatakan bahwa mereka sudah menyadari jenis serangan ini dan sedang mengatasinya. Serangan ini disebut dilakukan oleh kelompok peretas bernama Rockfoils.

“Kami telah mengetahui jenis serangan yang ditargetkan ini dari pelaku ancaman Rockfoils dan telah meluncurkan perlindungan selama seminggu terakhir,” kata juru bicara Google.

“Google tidak akan pernah meminta kata sandi, kode OTP, atau verifikasi akun lewat email atau telepon,” tegas juru bicara Google, sebagaimana dihimpun KompasTekno dari The New York Post, Kamis (24/4/2025).

Google juga tetap mengimbau pengguna untuk mengaktifkan autentikasi dua langkah (2FA) atau passkey (sistem login yang lebih aman dan tidak bisa dengan mudah diretas hanya dengan kata sandi).

Tips mengenali dan menghindari phishing

Waspadai e-mail yang bernada mendesak atau menakutkan. Misalnya: "Akun Anda akan dibekukan jika tidak segera dikonfirmasi."
Periksa alamat situs dengan teliti. Situs login Google selalu menggunakan domain accounts.google.com.
Jangan langsung klik tautan dari e-mail mencurigakan. Lebih baik ketik alamat situs secara manual di browser.
Gunakan autentikasi dua langkah (2FA) atau passkey. Ini adalah lapisan keamanan ekstra yang sangat penting saat kata sandi Anda dicuri.