Hati-hati! Modus Penipuan Telepon Baru Mengincar Data Rahasia Lewat Aplikasi Palsu

Google kembali mengingatkan masyarakat dunia akan ancaman baru dari serangan siber yang kini semakin canggih dan menyasar siapa saja. Kali ini, peringatan datang terkait skema penipuan telepon atau vishing (voice phishing) yang dilakukan oleh kelompok peretas bernama UNC6040.

Serangan ini menyamar dalam bentuk panggilan telepon yang terdengar profesional. Pelaku berpura-pura menjadi bagian dari tim IT perusahaan, lalu mengelabui korban agar mau menginstal aplikasi tertentu yang ternyata palsu. Target mereka tidak terbatas, baik pengguna Android maupun iPhone, dan yang paling banyak disasar adalah karyawan perusahaan-perusahaan besar di sektor perhotelan, pendidikan, dan ritel—terutama di wilayah Amerika Serikat dan Eropa.


Modus Penipuan: Mengaku Staf IT dan Minta Instal Aplikasi Palsu

Dalam laporan yang disampaikan Google melalui divisi Threat Intelligence Group, para pelaku menggunakan identitas palsu sebagai staf IT perusahaan, kemudian meminta korban untuk menginstal aplikasi yang diklaim sebagai alat pendukung kerja, seperti versi palsu dari Salesforce Data Loader.

Begitu korban menuruti permintaan tersebut, pelaku mendapatkan akses ke sistem internal perusahaan dan mulai mencuri informasi rahasia, termasuk kredensial login, data pelanggan, dan dokumen sensitif lainnya. Data curian ini kemudian dijual atau dimanfaatkan oleh jaringan kriminal siber untuk keuntungan finansial.

Google menyebut bahwa kejahatan ini sering kali merupakan bagian dari operasi siber yang lebih luas. Data yang dicuri tidak langsung dijual, melainkan disimpan untuk dimonetisasi di kemudian hari, sering kali melibatkan kelompok siber lain yang punya spesialisasi dalam menjual akses atau data.


Koneksi ke Komunitas Siber Kriminal

Google mencurigai bahwa kelompok UNC6040 punya kaitan erat dengan The Com, sebuah komunitas peretas yang aktif di Telegram dan Discord. Komunitas ini dikenal sebagai tempat berkumpulnya pelaku kejahatan digital yang membagikan teknik peretasan, saling bertukar alat serangan, hingga membual tentang serangan yang berhasil mereka lakukan.

Dengan semakin maraknya komunitas semacam ini, ancaman kejahatan siber menjadi semakin kompleks dan sulit ditangkal hanya dengan sistem keamanan biasa.


Tips dari Google untuk Mencegah Akses Ilegal ke Sistem

Sebagai langkah mitigasi, Google memberikan serangkaian saran teknis dan kebijakan keamanan yang dapat diterapkan oleh perusahaan maupun pengguna individu:



Terapkan prinsip least privilege – berikan akses sistem seminimal mungkin untuk tiap pengguna.


Batasi akses aplikasi pihak ketiga yang terhubung ke sistem perusahaan.


Gunakan pembatasan berbasis alamat IP agar hanya perangkat terpercaya yang bisa mengakses.


Manfaatkan Salesforce Shield atau alat monitoring serupa untuk mendeteksi aktivitas mencurigakan.


Aktifkan autentikasi multi-faktor (MFA) untuk semua akun penting.


Abaikan panggilan telepon dari nomor asing, apalagi yang mengaku sebagai staf IT perusahaan.



Langkah-langkah ini terbukti efektif mengurangi potensi kebocoran data dan mempersempit celah yang bisa dimanfaatkan oleh pelaku.


FBI Ikut Mengeluarkan Peringatan

Peringatan serupa juga datang dari badan penegak hukum Amerika Serikat, yakni FBI, yang sejak April 2025 telah memantau peningkatan signifikan dalam kasus penipuan lewat panggilan suara dan pesan teks.

Pelaku penipuan kini menggunakan kecerdasan buatan (AI) untuk meniru suara dan gaya bicara tokoh-tokoh penting. Mereka mengirim pesan seolah berasal dari pejabat tinggi pemerintahan, yang kemudian meminta korban untuk mengikuti tautan atau memberikan informasi pribadi.

Teknik yang digunakan meliputi:



Smishing: pengiriman SMS berisi tautan berbahaya


Vishing: panggilan telepon dengan maksud penipuan


Spear phishing: serangan email atau pesan tertarget kepada individu tertentu



Setelah kontak awal berhasil, pelaku biasanya akan mengalihkan korban ke situs palsu atau menyebarkan malware melalui aplikasi tiruan.

Akun resmi seperti FBI Cleveland, FBI Nashville, hingga Kepolisian Negara Bagian New York telah menyuarakan peringatan ini melalui platform media sosial seperti X (sebelumnya Twitter), mengimbau masyarakat untuk waspada terhadap komunikasi mencurigakan yang mengaku dari instansi resmi.


Ancaman Semakin Nyata, Perlindungan Harus Lebih Cerdas

Serangan siber kini tidak hanya dilakukan oleh individu di balik layar komputer, melainkan mulai melibatkan interaksi langsung lewat telepon, dengan suara yang terdengar profesional dan meyakinkan. Ini membuat banyak orang terjebak dan mengikuti instruksi yang sebenarnya merugikan mereka sendiri.

Dalam dunia yang semakin terhubung dan cepat ini, kesadaran dan kewaspadaan digital adalah kunci utama untuk tetap aman. Jangan pernah tergesa-gesa dalam merespons panggilan atau pesan, bahkan jika itu terdengar seperti dari perusahaan tempat Anda bekerja.


Kesimpulan: Lindungi Data Anda, Jangan Mudah Percaya Panggilan IT

Google dan FBI telah memberikan peringatan yang sangat serius soal vishing dan serangan sosial lainnya yang menyasar pengguna dari berbagai kalangan. Saat teknologi semakin maju, begitu pula dengan metode yang digunakan para penjahat siber. Jangan tertipu oleh panggilan yang terdengar sopan atau pesan yang terlihat profesional. Selalu cek ulang, tanyakan ke tim IT resmi perusahaan, dan pastikan bahwa Anda tidak pernah mengunduh aplikasi dari sumber yang tidak terpercaya.

Langkah sederhana seperti tidak menjawab nomor asing, mengaktifkan MFA, dan memeriksa kredibilitas pengirim bisa menyelamatkan Anda dari kerugian besar.