Kaspersky menemukan kampanye phishing baru yang memanfaatkan notifikasi Google Tasks untuk mencuri kredensial perusahaan, dengan memanfaatkan domain resmi dan teknik rekayasa sosial canggih.
Transportasi Media - Perusahaan keamanan siber global Kaspersky mengungkap kampanye phishing baru yang memanfaatkan notifikasi resmi Google Tasks untuk mencuri kredensial login perusahaan. Serangan ini dinilai berbahaya karena menggunakan sistem notifikasi sah dari Google, sehingga mampu melewati filter keamanan email tradisional.
Dalam skema tersebut, korban menerima notifikasi dengan subjek “Anda memiliki tugas baru” yang tampak berasal dari domain resmi @google.com. Pesan ini dirancang untuk menciptakan kesan bahwa organisasi telah mengadopsi layanan Google Tasks, sekaligus mendorong korban untuk segera mengambil tindakan melalui pesan yang menampilkan prioritas tinggi dan tenggat waktu tertentu.
Setelah korban mengklik tautan dalam notifikasi, mereka diarahkan ke halaman palsu yang menyerupai formulir verifikasi karyawan. Di halaman tersebut, korban diminta memasukkan kredensial perusahaan dengan dalih konfirmasi identitas. Informasi yang diperoleh kemudian dapat digunakan pelaku untuk mengakses sistem internal perusahaan, mencuri data, atau melancarkan serangan lanjutan.
Pakar Anti-Spam Kaspersky, Roman Dedenok, mengatakan pelaku memanfaatkan kepercayaan pengguna terhadap layanan Google untuk meningkatkan efektivitas serangan. Menurutnya, penyalahgunaan platform sah menjadi tren yang semakin meningkat dalam lanskap ancaman siber global.
“Ekosistem layanan Google yang luas dieksploitasi oleh penipu. Notifikasi dari domain sah secara alami dapat menghindari banyak filter spam dan phishing, sementara rekayasa sosial membuatnya tampak seperti proses internal perusahaan,” ujar Roman Dedenok.
Kaspersky menyatakan kampanye ini merupakan bagian dari tren yang terus berkembang hingga 2026, di mana pelaku kejahatan siber memanfaatkan platform tepercaya untuk meningkatkan keberhasilan serangan phishing. Metode ini menggabungkan manipulasi psikologis dengan teknik teknis untuk menurunkan kewaspadaan korban.
Untuk mengurangi risiko, Kaspersky merekomendasikan agar pengguna waspada terhadap undangan atau notifikasi yang tidak diminta, memeriksa alamat URL sebelum mengklik tautan, serta menghindari menghubungi nomor kontak yang tertera dalam email mencurigakan. Selain itu, penggunaan autentikasi multi-faktor dan pelaporan email mencurigakan kepada penyedia layanan juga menjadi langkah penting dalam memperkuat keamanan akun.
Kaspersky juga menekankan pentingnya penggunaan solusi keamanan email berbasis pembelajaran mesin untuk mendeteksi ancaman yang terus berkembang, baik bagi pengguna korporat maupun individu, guna meminimalkan risiko kebocoran data dan serangan siber lanjutan.
Temuan ini menegaskan meningkatnya kompleksitas ancaman phishing global, sekaligus menjadi pengingat bagi perusahaan untuk memperkuat sistem keamanan siber dan meningkatkan kesadaran karyawan terhadap potensi serangan digital. (*)
