Waspada! Modus Baru Kejahatan Siber Manfaatkan Celah Google untuk Curi Akun
Modus kejahatan siber semakin berkembang. Terbaru, pelaku memanfaatkan celah pada sistem Google untuk mengirim email palsu yang tampak resmi dan mampu lolos pemeriksaan keamanan, termasuk DomainKeys Identified Mail (DKIM).
Serangan ini menargetkan akun Google korban—yang kerap digunakan untuk otentikasi layanan keuangan—sehingga berisiko tinggi terhadap pencurian data hingga pengurasan rekening.
Salah satu korban percobaan serangan adalah pengembang utama Ethereum Name Service (ENS), Nick Johnson.
Ia menerima email dari alamat “email protected” yang tampak seperti peringatan hukum resmi dari Google.
Parahnya, email tersebut lolos semua verifikasi dan muncul di kotak masuk bersamaan dengan notifikasi keamanan asli dari Google, sehingga sulit dibedakan.
Setelah ditelusuri, link dalam email mengarah ke situs palsu yang dibangun melalui platform Google Sites.
Meskipun bukan domain resmi Google (seperti accounts.google.com), tampilannya tetap berada dalam lingkungan Google, sehingga tak mudah menimbulkan kecurigaan.
Modus ini dikenal sebagai DKIM Replay Phishing. Pelaku membuat domain baru, lalu mendaftarkan akun Google dengan email menyerupai resmi (misalnya me@domain), dan menciptakan aplikasi OAuth yang menyisipkan pesan phishing.
Ketika Google mengirimkan notifikasi keamanan kepada akun tersebut, email itu secara teknis sah dan dapat diteruskan kepada korban tanpa dicurigai sebagai spam.
DKIM hanya memverifikasi isi pesan dan header, bukan amplop email.
Itu sebabnya pesan palsu tetap dianggap valid oleh sistem dan tampak asli di kotak masuk.
Serangan serupa juga pernah digunakan pada platform PayPal, di mana pelaku memanfaatkan fitur “gift address” untuk mengirimkan konfirmasi palsu yang berhasil lolos sistem verifikasi DKIM.
Pakar keamanan dari EasyDMARC menyebut teknik ini sangat berbahaya karena korban sering kali tidak sadar telah diarahkan ke situs penipuan yang nyaris identik dengan halaman resmi.
Tips agar terhindar dari serangan ini:
- Selalu periksa alamat URL situs sebelum mengklik atau mengisi data.
- Waspadai email yang meminta data pribadi, meski tampak resmi.
- Aktifkan verifikasi dua langkah (2FA) untuk menambah lapisan keamanan.
- Jangan klik tautan mencurigakan dan hindari mengisi data dari email yang tidak bisa diverifikasi keasliannya.
