Google baru-baru ini mengeluarkan peringatan darurat kepada lebih dari dua miliar pengguna layanan Gmail di seluruh dunia. Keputusan ini diambil setelah terungkapnya skema phishing baru yang menargetkan pengguna Gmail, yang berhasil membobol sistem keamanan yang telah dibangun dengan cermat oleh raksasa teknologi ini.
Dalam metode penipuan ini, para pelaku memanfaatkan layanan Google Sites untuk membuat tautan palsu yang sangat mirip dengan domain resmi milik Google. Tautan tersebut dirancang sedemikian rupa sehingga dapat menipu pengguna agar percaya bahwa mereka sedang mengakses situs resmi Google.
Sebagai langkah pencegahan, pengguna Gmail disarankan untuk segera mengaktifkan verifikasi dua langkah (2FA) atau menggunakan passkey. Dengan menerapkan metode ini, pengguna akan mendapatkan perlindungan tambahan yang signifikan pada akun mereka.
Modus phishing yang meniru Google ini pertama kali diumumkan oleh Nick Johnson, seorang pengembang serta influencer di bidang kripto. Ia berbagi pengalamannya melalui utas di platform X, yang sebelumnya dikenal sebagai Twitter. Johnson hampir menjadi korban setelah menerima email yang tampak resmi dan dikirim dari alamat "no-reply@google.com."
Perlu dicatat bahwa alamat ini biasa digunakan oleh Google untuk mengirimkan notifikasi penting, seperti verifikasi login, perubahan kata sandi, atau pemberitahuan lainnya mengenai aktivitas yang mencurigakan. Di dalam situasi ini, Johnson menerima email yang mengklaim ada masalah hukum terkait akun Google-nya, dan ia diarahkan untuk membuka tautan dalam email tersebut guna mendapatkan informasi lebih lanjut.
Ketika tautan tersebut diklik, pengguna akan diarahkan ke halaman yang meniru laman login Google. Namun, laman itu sebenarnya adalah palsu dan di-hosting melalui Google Sites (sites.google.com), bukan di domain resmi accounts.google.com. Perbedaan yang sangat kecil ini sering kali tidak disadari oleh pengguna, dan akibatnya, mereka bisa termakan bujuk rayu untuk memasukkan kredensial akun mereka ke situs palsu tersebut.
