JAKARTA, KANALBERITACOM – Peretas (hacker) semakin canggih dalam melancarkan serangan phishing. Baru-baru ini, peneliti keamanan siber dari KnowBe4 menemukan kampanye phishing berbahaya yang memanfaatkan layanan Google AppSheet untuk mengirimkan email phishing langsung ke kotak masuk pengguna, melewati mekanisme perlindungan email yang ada. Serangan ini menargetkan akun Facebook, mencuri kredensial login, dan bahkan kode 2FA (Two-Factor Authentication).
Cara kerja serangan ini cukup licik. Para pelaku kejahatan siber memanfaatkan Google AppSheet, platform pengembangan aplikasi *no-code* untuk aplikasi seluler dan web. Melalui fitur otomatisasi alur kerjanya, mereka mampu mengirimkan email menggunakan alamat “noreply@appsheet.com”, yang tampak sah dan mudah dipercaya. Email-email ini dirancang untuk meniru tampilan dan nuansa pesan resmi dari Facebook.
Pesan phishing tersebut dibuat seolah-olah pengguna telah melanggar hak kekayaan intelektual seseorang dan akun Facebook mereka akan dihapus dalam waktu 24 jam. Untuk mencegah penghapusan akun, korban diminta untuk mengajukan banding melalui tombol “Ajukan Banding” yang ditempatkan secara strategis dalam email tersebut.
Jika korban mengklik tombol tersebut, mereka akan diarahkan ke halaman arahan yang meniru tampilan login Facebook. Di sinilah korban diminta untuk memasukkan kredensial login dan kode 2FA mereka. Informasi ini kemudian dikirim ke penyerang.
Yang lebih mengkhawatirkan, serangan ini memiliki beberapa langkah tambahan untuk memastikan keberhasilannya. Percobaan login pertama akan menghasilkan pesan “kata sandi salah,” bukan karena kredensial yang salah dimasukkan, tetapi untuk mengkonfirmasi pengiriman data. Kode 2FA yang diberikan juga langsung dikirimkan ke Facebook, dan para peretas akan mengambil *session token*. Ini memungkinkan mereka untuk mempertahankan akses ke akun bahkan setelah korban mengganti kata sandinya.
Keberhasilan serangan ini juga disebabkan oleh kemampuan Google AppSheet dalam menghasilkan ID unik. Setiap email yang dikirim sedikit berbeda, sehingga mampu menghindari sistem deteksi tradisional yang mencari pola berulang. Email-email tersebut berhasil melewati Microsoft dan Secure Email Gateways (SEG) yang mengandalkan reputasi domain dan pemeriksaan autentikasi (SPF, DKIM, DMARC). Hal ini memperlihatkan bahwa peretas mampu memanfaatkan celah keamanan pada platform yang ternama sekalipun.
Lebih lanjut, halaman login palsu tersebut dihosting di Vercel, platform terkemuka yang dikenal karena menjadi tempat aplikasi web modern. Hal ini semakin memperkuat kredibilitas kampanye phishing dan membuat korban lebih mudah tertipu.
Bagaimana melindungi diri dari serangan ini?
Serangan phishing seperti ini menyoroti pentingnya kewaspadaan dan tindakan pencegahan yang tepat. Berikut beberapa langkah yang dapat Anda ambil untuk melindungi diri:
- Verifikasi pengirim : Selalu periksa alamat email pengirim dengan teliti. Jangan pernah mengklik tautan atau membuka lampiran dari pengirim yang tidak dikenal atau mencurigakan.
- Periksa URL: Sebelum memasukkan informasi pribadi apa pun, verifikasi keaslian URL situs web. Perhatikan dengan cermat apakah ada kesalahan ejaan atau karakter yang tidak biasa.
- Gunakan autentikasi dua faktor (2FA): 2FA memberikan lapisan keamanan tambahan untuk akun Anda. Meskipun dalam kasus ini peretas berhasil mendapatkan kode 2FA, mempersulit akses mereka.
- Jaga perangkat lunak Anda tetap diperbarui: Pastikan sistem operasi dan aplikasi Anda selalu diperbarui dengan patch keamanan terbaru.
- Tingkatkan kesadaran: Latih diri dan keluarga Anda untuk mengenali tanda-tanda phishing, seperti email yang mendesak, bahasa yang buruk, atau permintaan informasi pribadi yang tidak biasa.
- Gunakan pengelola kata sandi yang andal: Pengelola kata sandi yang bagus dapat membantu Anda membuat kata sandi yang kuat dan unik untuk setiap akun online Anda, sehingga mengurangi risiko jika satu akun diretas.
Serangan phishing yang memanfaatkan Google AppSheet ini membuktikan betapa pentingnya terus beradaptasi dengan taktik peretas yang semakin canggih. Kewaspadaan dan pemahaman akan teknik-teknik phishing adalah kunci untuk melindungi diri dan data pribadi Anda di dunia digital yang semakin rentan. Jangan ragu untuk melaporkan email yang mencurigakan kepada penyedia layanan email Anda atau pihak berwenang yang terkait.
Sumber : techradar.com
