Waspada! Kampanye Phishing Baru Manfaatkan Notifikasi Google Tasks untuk Incar Kredensial Perusahaan

PERUSAHAAN keamanan siber global, Kaspersky, mengungkap skema phishing baru yang menargetkan pengguna korporat dengan menyalahgunakan layanan sah Google Tasks. Serangan ini dirancang untuk mencuri kredensial login perusahaan dengan mengeksploitasi kepercayaan pengguna terhadap ekosistem Google.

Modus Operandi: Memanfaatkan Kepercayaan dan Urgensi

Penyerang memanfaatkan domain email resmi `@google.com` dan sistem notifikasi tepercaya untuk melewati filter keamanan email tradisional.

Dalam kampanye ini, korban menerima email dengan subjek "Anda memiliki tugas baru" yang tampak sangat otentik.

Baca juga : Google Uji Coba Aplikasi Gemini macOS: Fitur Desktop Intelligence Terungkap

Pesan tersebut dirancang sedemikian rupa untuk menciptakan ilusi bahwa perusahaan penerima telah mengadopsi alat manajemen tugas Google. 

Untuk memicu respons cepat, pelaku menyertakan unsur urgensi seperti bendera "prioritas tinggi" dan tenggat waktu yang ketat.

Apabila pengguna mengklik tautan yang disematkan, mereka akan diarahkan ke formulir palsu yang menyamar sebagai halaman "verifikasi karyawan"

Baca juga : MA Tolak Kasasi Google, Raksasa Teknologi Itu Wajib Bayar Denda Rp202,5 Miliar

Di sana, karyawan diminta memasukkan kredensial perusahaan dengan dalih konfirmasi status pekerjaan

Kredensial yang berhasil dicuri kemudian digunakan pelaku untuk akses tidak sah ke sistem internal, pencurian data, hingga serangan lanjutan yang lebih masif.

Tren Penyalahgunaan Platform Sah

Roman Dedenok, Pakar Anti-Spam di Kaspersky, menyoroti bahwa taktik ini merupakan bagian dari tren yang lebih luas di mana penjahat siber menyalahgunakan platform populer untuk mengelabui korban.

“Ekosistem layanan Google yang luas dieksploitasi oleh penipu. Skema dengan Google Tasks adalah bagian dari tren lebih luas yang diamati sebelumnya dan berlanjut hingga tahun 2026, di mana pelaku kejahatan siber menyalahgunakan platform sah untuk menyebarkan penipuan dan phishing. Notifikasi yang berasal dari domain yang sah secara alami menghindari banyak filter spam dan phishing, sementara aspek rekayasa sosial – membuatnya tampak seperti proses internal perusahaan sehingga berpotensi menurunkan kewaspadaan korban,” ujar Roman.

Langkah Pencegahan dan Perlindungan

Untuk memitigasi risiko dari serangan serupa, Kaspersky memberikan beberapa rekomendasi keamanan bagi pengguna:

• Waspadai undangan atau tugas yang tidak diminta dari platform mana pun, meski tampak berasal dari sumber tepercaya.
• Periksa URL dengan teliti sebelum melakukan klik.
• Gunakan otentikasi multi-faktor (MFA) untuk seluruh akun perusahaan maupun pribadi.
• Jangan menghubungi nomor telepon yang tertera dalam email mencurigakan; carilah kontak resmi melalui situs web layanan terkait.
• Laporkan segera email mencurigakan kepada penyedia platform.

Bagi sektor korporasi, penggunaan solusi keamanan dengan mekanisme pertahanan berlapis dan algoritma machine learning sangat disarankan untuk menghadapi ancaman siber yang terus berevolusi. (Z-1)