Kedua, mekanisme verifikasi email Google yang tidak sepenuhnya aman dapat dimanipulasi untuk melewati pengamanan yang seharusnya mencegah email phishing. Akibatnya, email yang tampaknya sah dan lolos dari verifikasi dapat diterima oleh pengguna tanpa peringatan apapun, membuat mereka lebih rentan terhadap serangan.
Tindakan Google dan Perlindungan Pengguna
Google segera merespons masalah ini dengan memberikan peringatan kepada pengguna dan mengambil langkah-langkah untuk menutup celah yang dimanfaatkan dalam serangan ini. Dalam keterangan resmi, Google mengungkapkan bahwa mereka sudah menyadari adanya serangan dari aktor ancaman bernama Rockfoils yang menggunakan metode phishing ini, dan telah menerapkan proteksi tambahan untuk mengamankan pengguna Gmail. Proteksi ini dijadwalkan untuk sepenuhnya aktif dalam waktu dekat, sehingga celah yang ada akan tertutup dan serangan serupa tidak dapat terjadi lagi.
Namun, hingga perbaikan lengkap diterapkan, Google mengimbau para penggunanya untuk segera mengaktifkan multi-factor authentication (MFA) dan menggunakan passkeys untuk memperkuat keamanan akun mereka. Pengguna yang sudah melindungi akun mereka dengan MFA atau passkeys akan lebih sulit menjadi korban serangan seperti ini, karena selain kata sandi, penyerang membutuhkan faktor kedua untuk bisa mengakses akun.
Apa yang Harus Dilakukan Pengguna Gmail?
Peringatan ini datang di tengah meningkatnya jumlah serangan phishing di dunia maya, termasuk insiden yang menimpa Troy Hunt, seorang pakar keamanan dunia maya dan pencipta situs HaveIBeenPwned.com, yang baru-baru ini juga menjadi korban phishing meskipun ia adalah ahli di bidang keamanan. Oleh karena itu, meskipun serangan ini terlihat sangat meyakinkan, penting bagi setiap pengguna Gmail untuk selalu waspada dan berhati-hati dalam menerima email atau pesan yang menyertakan link.
Google juga memberikan kesempatan bagi pengguna yang menjadi korban serangan ini untuk memulihkan akun mereka, asalkan mereka telah mengaitkan nomor telepon dan email pemulihan ke akun Gmail mereka. Pengguna yang memenuhi syarat dapat memulihkan akun mereka dalam waktu maksimal tujuh hari setelah akun mereka terkompromi.
