Google mengatakan pihaknya sedang meluncurkan perbaikan untuk bug yang memungkinkan penipu mengirim email yang tampak meyakinkan kepada pengembang Nick Johnson tentang permintaan panggilan pengadilan.
Email phishing menjadi semakin sulit dibedakan dari email yang sah, seperti yang disorot oleh pengembang Nick Johnson, yang mengatakan bahwa ia "menjadi sasaran serangan phishing yang sangat canggih [yang] mengeksploitasi kerentanan dalam infrastruktur Google."
Email yang diterimanya berasal dari no-reply@accounts.google.com , yang "lulus pemeriksaan tanda tangan DKIM [DomainKeys Identified Mail]," katanya. Gmail tidak menampilkan peringatan apa pun, dan "bahkan menempatkannya dalam percakapan yang sama dengan peringatan keamanan sah lainnya."
Recently I was targeted by an extremely sophisticated phishing attack, and I want to highlight it here. It exploits a vulnerability in Google's infrastructure, and given their refusal to fix it, we're likely to see it a lot more. Here's the email I got: pic.twitter.com/tScmxj3um6
— nick.eth (@nicksdjohnson) April 16, 2025
Email tersebut memperingatkan Johnson bahwa Google telah menerima panggilan pengadilan untuk menunjukkan salinan akun Google miliknya. Dengan mengeklik tautan di dalam email tersebut, "Anda akan diarahkan ke halaman 'portal dukungan' yang sangat meyakinkan" yang dihosting di sites.google.com. Taktik ini "cerdik," kata Johnson, karena "orang akan melihat domain tersebut adalah http://google.com dan menganggapnya sah."
Dengan mengeklik "Unggah dokumen tambahan" atau "Lihat kasus", Anda akan diarahkan ke halaman masuk; jika Anda memasukkan data Anda, para penipu "mungkin...akan mengambil data login Anda dan menggunakannya untuk membahayakan akun Anda," katanya.
Bagaimana para peretas memalsukan email yang valid? Johnson menyalahkan "dua kerentanan dalam [infrastruktur] Google yang tidak mereka perbaiki." Pertama, produk lama sites.google.com sudah ada sejak "sebelum Google serius soal keamanan." Orang-orang dapat menghosting konten di subdomain google.com, "dan yang terpenting, produk ini mendukung skrip dan sematan yang sembarangan," katanya.
"Jelas, hal ini membuat pembuatan situs pengumpulan kredensial menjadi mudah; mereka hanya perlu bersiap untuk mengunggah versi baru karena versi lama dihapus oleh tim penyalahgunaan Google," kata Johnson. "Hal ini membantu para penyerang karena tidak ada cara untuk melaporkan penyalahgunaan dari antarmuka Sites." Ia meminta Google untuk menonaktifkan skrip dan sematan sembarangan di Sites karena "itu merupakan vektor phishing yang terlalu kuat."
Sementara itu, email itu sendiri, yang memanfaatkan Google OAuth dan praktik Google menggunakan kata "saya" saat merujuk ke email Anda sendiri, "jauh lebih canggih, dan menurut pendapat saya jelas merupakan masalah keamanan di pihak Google," katanya.
Johnson mengatakan bahwa ia telah melaporkan masalah tersebut ke Google, yang menyatakan bahwa itu bukan bug. Akan tetapi, Google kemudian mengakui adanya bug tersebut dan berjanji akan segera memperbaikinya.
"Kami menyadari adanya serangan bertarget semacam ini dari pelaku ancaman, Rockfoils, dan telah meluncurkan perlindungan selama seminggu terakhir," kata juru bicara Google kepada Newsweek. "Perlindungan ini akan segera diterapkan sepenuhnya, yang akan menutup celah penyalahgunaan ini."
Hingga perbaikannya tiba, Google menyarankan penerapan autentikasi multifaktor dan kunci sandi untuk perlindungan yang lebih kuat terhadap serangan phishing.
Dan tetaplah waspada karena siapa pun dapat tertipu. Penipuan Gmail ini terjadi setelah seorang peretas berhasil menipu Troy Hunt, pencipta HaveIBeenPwned.com, dengan mengelabui pakar keamanan agar mengklik email berbahaya saat ia sedang jetlag.
sumber: PCMag
