Modus Baru Penipuan Gmail Terbongkar: Email Palsu Lolos Sistem Google dan Siap Curi Akunmu!

Tampang.com | Di era digital seperti sekarang, penipuan siber semakin berkembang dan canggih. Pengguna internet—terutama mereka yang aktif menggunakan email—harus waspada terhadap berbagai trik licik para pelaku kejahatan siber. Salah satu modus baru yang tengah marak adalah penipuan melalui platform Gmail, dengan skema yang bahkan berhasil menipu sistem keamanan Google.

Modus ini mengeksploitasi celah dalam sistem email Google, memungkinkan para penjahat siber mengirim email palsu yang terlihat sah dan resmi. Yang mengejutkan, email ini bisa lolos dari berbagai lapisan pemeriksaan keamanan, termasuk DomainKeys Identified Mail (DKIM)—sebuah sistem autentikasi email yang biasanya ampuh menangkal penipuan.

Target Utama: Akun Google dan Rekening Bank

Tujuan utama dari aksi ini adalah mencuri akun Google korban, yang bisa berujung pada pencurian data pribadi, informasi keuangan, bahkan pengurasan rekening bank. Dalam laporan dari situs keamanan teknologi Bleeping Computer, diketahui bahwa Nick Johnson, salah satu pengembang utama dari Ethereum Name Service (ENS), hampir menjadi korban penipuan ini.

Johnson menerima email mencurigakan dari alamat “no-reply@google.com”, yang tampak sangat resmi dan profesional. Isinya berupa pemberitahuan hukum terkait akun Google miliknya, lengkap dengan logo dan format standar email Google. Parahnya lagi, email tersebut muncul bersamaan dengan peringatan keamanan asli dari Google, sehingga makin sulit dibedakan oleh pengguna awam sekalipun yang sudah hati-hati.

Penipuan di Balik “Dukungan Resmi” Google

Saat ditelusuri lebih dalam, tautan "dukungan" dalam email ternyata tidak mengarah ke domain resmi Google, seperti accounts.google.com, melainkan ke situs yang dibuat menggunakan platform Google Sites. Karena masih berada dalam ekosistem Google, banyak orang tertipu dan menganggapnya sebagai bagian dari layanan resmi.

Inilah kecerdikan para pelaku kejahatan siber: mereka memanfaatkan kepercayaan pengguna terhadap platform besar dan menggunakan celah teknis untuk menghindari deteksi. Email palsu itu memang dikirim dari lingkungan Google, tetapi bukan dari sistem yang sah. Ini membuat email tersebut tetap melewati filter keamanan dengan mudah.

Teknik DKIM Replay Phishing: Senjata Baru Penjahat Siber

Dalam teknik yang digunakan—yang dikenal sebagai DKIM Replay Phishing—penjahat siber pertama-tama mendaftarkan domain baru, lalu membuat akun Google menggunakan alamat seperti me@domainbaru.com. Selanjutnya, mereka menciptakan aplikasi OAuth dengan nama menyerupai pesan phishing.

Ketika Google mengirimkan notifikasi keamanan ke alamat email palsu ini, sistem membaca pesan tersebut sebagai autentik secara teknis. Lalu, pesan itu diteruskan ke target sesungguhnya—korban—dan muncul di kotak masuk mereka tanpa memicu alarm sistem keamanan.

Salah satu celah utama dalam metode ini adalah bahwa DKIM hanya memverifikasi isi pesan dan header, bukan “amplop” email atau lapisan pengantar yang biasanya memuat pengirim sebenarnya. Artinya, selama isi dan header sah, maka sistem Google akan menganggap email tersebut valid dan mengizinkannya masuk ke inbox korban tanpa tanda peringatan.

Tak Hanya Gmail, Platform Lain Juga Rawan

Metode serupa ternyata pernah digunakan dalam platform besar lainnya seperti PayPal. Pelaku memanfaatkan fitur “gift address” untuk mengirim email konfirmasi palsu yang juga berhasil melewati sistem verifikasi DKIM. Ini menandakan bahwa ancaman penipuan dengan teknik manipulasi teknis ini dapat menyasar berbagai platform digital yang menggunakan sistem autentikasi email serupa.

Menurut pakar keamanan dari EasyDMARC, metode ini sangat berbahaya karena tampilan email yang diterima oleh korban sangat menyerupai email resmi, bahkan kadang sulit dibedakan oleh pengguna berpengalaman. Dalam banyak kasus, korban tidak sadar bahwa mereka sudah diarahkan ke situs phishing—alias situs penipuan—yang meniru halaman login resmi.

Langkah Pencegahan Agar Tak Jadi Korban

Dengan semakin canggihnya teknik penipuan siber seperti ini, pengguna Gmail dan platform digital lainnya wajib meningkatkan kewaspadaan. Berikut adalah beberapa langkah praktis yang bisa dilakukan:



Jangan langsung percaya dengan email yang mengaku dari perusahaan besar, termasuk Google, PayPal, dan lainnya—terutama jika email tersebut meminta tindakan mendesak atau informasi pribadi.


Selalu periksa URL yang tercantum dalam email. Situs resmi Google akan menggunakan domain seperti google.com atau accounts.google.com. Jika ada URL yang sedikit berbeda, segera curigai.


Perhatikan tanda-tanda mencurigakan, seperti ejaan yang aneh, logo yang tidak proporsional, atau bahasa yang terlalu mendesak dan menakut-nakuti.


Aktifkan verifikasi dua langkah (2FA) pada akun Google dan akun digital lainnya. Ini adalah salah satu bentuk pertahanan paling efektif terhadap akses ilegal.


Laporkan email mencurigakan langsung ke pihak Google atau penyedia layanan terkait, agar bisa ditindaklanjuti dan mencegah korban lainnya.



Dunia Digital Semakin Rawan, Kesadaran Adalah Kunci

Fenomena penipuan siber yang menyamar sebagai komunikasi resmi dari Google menunjukkan bahwa tidak ada sistem yang benar-benar kebal terhadap serangan. Bahkan perusahaan teknologi terbesar dunia pun bisa dimanfaatkan celahnya oleh pihak tak bertanggung jawab.

Untuk itu, edukasi dan literasi digital menjadi hal yang mutlak dimiliki setiap pengguna internet. Dengan memahami pola-pola baru penipuan dan cara mendeteksinya sejak awal, kita bisa terhindar dari kerugian besar dan melindungi data pribadi kita dari pencurian.

Jadi, meskipun tampilan email terlihat sempurna dan resmi, jangan pernah menurunkan kewaspadaan. Dunia maya penuh jebakan tersembunyi, dan hanya pengguna cerdas yang mampu bertahan.