Waspada! Email Palsu dari Google Serang Pengguna Gmail: Jangan Asal Klik

VIVATechno Gmail dihebohkan dengan kampanye phishing yang berhasil menyamar sebagai email resmi dari Google. Yang membuatnya makin berbahaya, email ini lolos dari sistem autentikasi email Gmail sendiri dan bahkan dikirim dari alamat sah: no-reply@google.com.

Serangan ini menunjukkan bahwa meskipun protokol autentikasi seperti SPF, DKIM, dan DMARC telah digunakan, celah keamanan tetap bisa ditemukan dan dimanfaatkan oleh aktor jahat. Berikut adalah rangkuman dan analisismendalam mengenai insiden ini bersumber dari (Majalah USA, Forbes, 20/4/25)

1. Email Palsu yang Terlihat Sangat Resmi

Serangan pertama kali terungkap pada 16 April melalui unggahan di media sosial X (sebelumnya Twitter) oleh pengembang perangkat lunak Nick Johnson.

Ia menerima email bertanda resmi dari Google, dengan pesan bahwa akun Google-nya sedang dalam proses hukum dan "telah diterbitkan surat panggilan (subpoena)".

Dalam email tersebut, disertakan tautan untuk melihat detail atau mengajukan protes atas permintaan hukum tersebut.

2. Lolos Autentikasi dan Menggunakan Domain Google

Email tersebut menggunakan alamat resmi no-reply@google.com.

Lebih berbahaya lagi, email ini lulus pengecekan SPF, DKIM, dan DMARC, tiga lapisan utama perlindungan autentikasi email.

Gmail bahkan mengelompokkan email tersebut ke dalam percakapan yang sama dengan notifikasi keamanan Google asli, membuatnya sangat sulit dibedakan oleh pengguna awam.

3. Tautan Phishing di Situs Google Sendiri

Tautan di dalam email mengarah ke halaman Google Support palsu yang dibuat di domain sah milik Google: sites.google.com.

Tampilan halaman login pun merupakan tiruan sempurna dari halaman login Google, namun tetap berada di domain sites.google.com, bukan accounts.google.com.

4. Jika Terjebak, Akun Gmail Anda Bisa Diambil Alih

Begitu pengguna memasukkan kredensial mereka di situs palsu tersebut, peretas langsung mendapatkan akses penuh ke akun Gmail dan semua data di dalamnya.

Ini termasuk email, dokumen, informasi pribadi, hingga data sinkronisasi lainnya.

5. Celah dalam DKIM dan OAuth Dimanfaatkan

Menurut Melissa Bischoping, Kepala Penelitian Keamanan di Tanium, serangan ini menggabungkan manipulasi aplikasi OAuth dengan celah DKIM untuk mengelabui sistem autentikasi Gmail.

Meskipun teknik ini baru, penggunaan infrastruktur sah seperti sites.google.com dalam serangan phishing bukanlah hal yang benar-benar baru, namun tetap efektif.

6. Peran SPF, DKIM, dan DMARC dalam Keamanan Email

SPF (Sender Policy Framework): Memverifikasi apakah email dari suatu domain dikirim oleh server yang diotorisasi.

DKIM (DomainKeys Identified Mail): Menambahkan tanda tangan digital untuk memastikan keaslian pesan.

DMARC (Domain-based Message Authentication, Reporting & Conformance): Mengatur kebijakan penerimaan email berdasarkan hasil autentikasi SPF dan DKIM.

Namun, seperti yang terlihat pada kasus ini, meskipun protokol ini diterapkan, jika infrastruktur yang sah berhasil dimanfaatkan, maka serangan tetap bisa dilakukan dengan tingkat keberhasilan yang tinggi.

7. Langkah Tanggap Google

Google telah mengonfirmasi bahwa mereka sedang menggulirkan perlindungan tambahan untuk menutup celah yang dimanfaatkan dalam serangan ini. Seorang juru bicara menyatakan, “Perlindungan ini akan segera sepenuhnya diterapkan dan akan menutup jalan bagi penyalahgunaan lebih lanjut," ujarnya.

8. Tips Perlindungan bagi Pengguna Gmail

Agar tidak menjadi korban serangan phishing serupa, pengguna disarankan untuk:

Aktifkan autentikasi dua faktor (2FA) di akun Google Anda.

Gunakan passkey sebagai metode masuk yang lebih aman dan tahan terhadap serangan phishing.

Selalu periksa URL dengan saksama, terutama sebelum memasukkan informasi sensitif.

Waspadai email yang tampak terlalu mendesak atau menakut-nakuti.

Jangan langsung percaya pada alamat pengirim, bahkan jika terlihat resmi seperti dari Google.

Insiden ini menjadi pengingat keras bahwa tidak semua yang terlihat resmi itu aman. Peretas semakin pandai mengeksploitasi kepercayaan pengguna terhadap merek besar seperti Google. Oleh karena itu, kewaspadaan, edukasi, dan penerapan sistem keamanan berlapis menjadi kunci utama dalam menjaga keamanan data digital kita.(*)