Kaspersky Ungkap Skema Phishing Baru yang Menyamar sebagai Notifikasi Google Tasks

Para pengguna korporat kembali jadi sasaran. Kali ini, lewat cara yang cerdik dan sulit dicurigai. Kaspersky, perusahaan keamanan siber, baru-baru ini membongkar skema phishing yang memanfaatkan notifikasi resmi dari Google Tasks. Tujuannya jelas: mencuri kredensial login perusahaan.

Yang bikin trik ini berbahaya adalah penyamarannya. Para penyerang menggunakan domain email @google.com yang sah dan sistem notifikasi Google yang sudah kita percayai. Akibatnya, banyak filter keamanan email tradisional tertipu. Mereka berhasil mengeksploitasi kepercayaan buta kita terhadap layanan besar seperti Google.

Bayangkan Anda di kantor, sibuk dengan pekerjaan, lalu muncul notifikasi email: "Anda memiliki tugas baru". Itulah subjek yang dikirim. Pesannya dirancang sempurna untuk menciptakan kesan bahwa perusahaan Anda baru mengadopsi Google Tasks untuk manajemen kerja. Agar makin meyakinkan, seringkali ada bendera prioritas tinggi dan tenggat waktu yang mepet. Semua itu cuma satu tujuan: mendesak korban agar segera bertindak tanpa berpikir panjang.

Kalau sudah diklik, tautan dalam notifikasi palsu itu akan membawa Anda ke jebakan berikutnya: sebuah formulir yang menyamar sebagai halaman verifikasi karyawan. Di situlah karyawan diminta memasukkan data login perusahaan mereka dengan dalih konfirmasi status.

Konsekuensinya bisa parah. Begitu kredensial berhasil dicuri, penyerang punya pintu masuk ke sistem perusahaan. Dari sana, pencurian data atau serangan lebih luas bisa saja terjadi.

Roman Dedenok, Pakar Anti-Spam di Kaspersky, memberikan komentarnya.

"Ekosistem layanan Google yang luas kini dieksploitasi oleh para penipu. Ini bagian dari tren yang kami amati sejak lama dan diprediksi masih berlanjut," ujarnya.

Ia melanjutkan, notifikasi yang datang dari domain sah secara alami bisa mengelabui filter spam. Di sisi lain, trik rekayasa sosial dengan membuatnya terlihat seperti urusan internal perusahaan berpotensi besar menurunkan kewaspadaan korban.

Lalu, bagaimana cara menghindarinya? Kaspersky punya sejumlah saran.

Pertama, selalu curiga pada undangan tak terduga, sekalipun dari sumber yang tampak terpercaya. Kedua, periksa URL dengan teliti sebelum mengklik lihat ada yang aneh atau tidak.

Jangan pernah menghubungi nomor telepon yang tercantum dalam email mencurigakan. Cari sendiri kontak resminya di situs web sah. Laporkan email phishing ke penyedia platform. Dan yang tak kalah penting: aktifkan otentikasi multi-faktor untuk semua akun penting.

Bagi bisnis, solusi seperti Kaspersky Security for Mail Server bisa dipertimbangkan. Produk ini menawarkan pertahanan berlapis dengan dukungan machine learning.

Sementara untuk pengguna perorangan, Kaspersky Premium dilengkapi fitur anti-phishing berbasis AI. Fungsinya membantu mendeteksi dan menangkis serangan semacam ini sebelum menyebabkan kerugian.

Intinya, selalu waspada. Sekarang, penipu tidak lagi mengandalkan email buru-buru dari pangeran Nigeria. Mereka pakai alat yang kita gunakan sehari-hari.