NOTIS.CO.ID - Modus penipuan online sekarang semakin beragam dan licik.
Salah satunya yang terbaru adalah email palsu dari "no-reply@google.com" yang terlihat sah dan berhasil menembus semua sistem keamanan, termasuk DomainKeys Identified Mail (DKIM).
Serangan ini bukan hanya tipuan biasa, risikonya bisa sampai ke pembobolan akun Google dan pencurian dana dari rekening korban.
Teknik DKIM Replay bikin email palsu tampak resmi
Ada trik canggih yang disebut DKIM Replay Phishing, di mana penjahat siber mendaftarkan domain baru dan membuat akun Google dengan alamat yang terkesan normal seperti me@domain.
Mereka juga membuat aplikasi OAuth dengan nama yang menyisipkan pesan penipuan.
Saat Google mengirim notifikasi keamanan, email ini terlihat legal karena lolos verifikasi DKIM, padahal isinya mengarahkan korban ke situs palsu.
Yang membuat semakin parah, header dan isi email ini tervalidasi, sehingga tampilannya seperti asli di inbox tanpa adanya peringatan mencurigakan.
Sehingga membuat email palsu ini bisa menyelip di antara notifikasi resmi dari Google sendiri.
Situs palsu dibuat lewat platform Google Sites
Penipu juga lihai memanfaatkan layanan internal Google seperti Google Sites untuk bikin halaman dukungan palsu.
Karena masih dalam lingkungan Google, banyak orang tak sadar bahwa mereka sedang diarahkan ke link yang berbahaya.
“Email tersebut berisi permintaan hukum atas akun Google-nya,” kata Nick Johnson, pengembang Ethereum Name Service (ENS) yang jadi target upaya penipuan ini.
Ia mengaku menerima email tersebut dari alamat yang kelihatan resmi, padahal isinya menjebak.
Parahnya lagi, email palsu tersebut berada ditempat notifikasi yang sama dengan keamanan asli dari Google.
Membuat peluang korban terkecoh semakin besar karena semua tampak 'legal'.
Serangan serupa pernah dipakai di PayPal juga
Bukan hanya Gmail yang menjadi sasaran.
Teknik serupa pernah digunakan buat penipuan pengguna PayPal dengan fitur "gift address" yang juga berhasil nembus sistem keamanan.
Artinya, trik ini bisa dipakai lintas platform, bukan hanya layanan Google saja.
Pakar dari EasyDMARC menyebut metode ini berbahaya karena “korban tidak sadar bahwa mereka sedang diarahkan ke situs penipuan yang nyaris identik dengan halaman resmi.” Bentuk dan tampilan Email Palsu ini benar-benar susah dibedakan dari yang asli.
Tips sederhana biar nggak jadi korban
Selalu waspada setiap kali menerima email dari perusahaan besar. Meskipun tampilannya terlihat 100 persen resmi, harus tetap waspada.
Jangan langsung klik link atau isi data pribadi. Pastikan dulu URL-nya benar, dan jangan lupa aktifkan verifikasi dua langkah untuk menambah lapisan keamanan akun.
Penipuan semakin rapi dan sistem keamanan terkadang bisa kecolongan, jadi perlindungan terbaik tetap datang dari kewaspadaan pribadi.
