Penipuan Gmail Libatkan AI, 2,5 Miliar Pengguna Diminta Waspada

Melansir laman Forbes, semuanya bermula seminggu sebelum Sam Mitrovic menyadari kecanggihan serangan yang menargetkannya.

"Saya menerima pemberitahuan untuk menyetujui upaya pemulihan akun Gmail," tulis Mitrovic, menceritakan dalam sebuah posting blog yang memperingatkan pengguna Gmail lainnya tentang ancaman tersebut.

Kebutuhan untuk mengonfirmasi pemulihan akun atau pengaturan ulang kata sandi adalah metodologi serangan phishing terkenal yang dimaksudkan untuk mengarahkan pengguna ke portal login palsu tempat mereka perlu memasukkan kredensial untuk melaporkan permintaan.

Tidak mengherankan jika Mitrovic tidak tertipu dan mengabaikan pemberitahuan yang tampaknya berasal dari Amerika Serikat dan panggilan telepon tak terjawab, berasal dari Google di Sydney, Australia, sekitar 40 menit kemudian.

Sejauh ini, semuanya relatif mudah dan dapat dihindari. Kemudian, hampir seminggu kemudian, terdapat permintaan pemberitahuan lain untuk persetujuan pemulihan akun diikuti oleh panggilan telepon 40 menit kemudian.

Kali ini, Mitrovic tidak mengabaikan panggilan tersebut dan malah mengangkatnya. Menurutnya ada suara orang Amerika, yang mengaku dari dukungan Google, mengonfirmasi bahwa ada aktivitas mencurigakan di akun Gmail.

"Dia bertanya apakah saya sedang bepergian, ketika saya menjawab tidak, dia bertanya apakah saya masuk dari Jerman, dan saya menjawab tidak," ujarnya.

Semua ini dilakukan untuk menumbuhkan kepercayaan pada penelepon dan rasa takut pada penerima. Saat itulah keadaan menjadi gelap dengan cepat dan benar-benar cukup cerdik dalam keseluruhan skema penipuan.

Orang yang mengaku sebagai staf dukungan Google memberi tahu Mitrovic bahwa hacker telah mengakses akun Gmail-nya selama 7 hari terakhir, dan telah mengunduh data akun. Mitrovic kemudian langsung mengingat pemberitahuan pemulihan dan panggilan tak terjawab dari seminggu sebelumnya.

Saat mencari nomor telepon yang meneleponnya, dia menemukan bahwa nomor itu memang mengarah ke halaman bisnis Google. Ini merupakan taktik cerdas yang mungkin dapat mengelabui banyak pengguna yang tidak menaruh curiga, yang terjebak dalam kepanikan saat itu, karena itu bukan nomor dukungan Google, melainkan panggilan dari Asisten Google. 

"Pada awal panggilan, kamu akan mendengar alasan panggilan tersebut dan bahwa panggilan itu dari Google. Kamu dapat memperkirakan panggilan itu berasal dari sistem otomatis atau, dalam beberapa kasus, operator manual," jelasnya.

Dalam kasus penipuan yang menargetkan Garry Tan, Founder Y Combinator, menceritakan bahwa orang yang diduga sebagai staf dukungan Google tersebut mengklaim bahwa perusahaan telah menerima surat kematian dan seorang anggota keluarga tengah berupaya memulihkan akunnya.

Dengan kata lain, si penelepon (AI), tengah memeriksa apakah orang yang menjawab masih hidup. Menurutnya, ini taktik yang cukup rumit untuk membuat target mengizinkan pemulihan kata sandi.

Layar pemulihan akun yang ditunjukkan kepadanya memiliki bidang perangkat yang menampilkan nama seorang staf dukungan Google, bukan perangkat sebenarnya yang digunakan untuk mengakses akun tersebut.

Tan menyarankan bahwa siapa pun yang merancang antarmuka untuk pemulihan harus menggunakan beberapa pemeriksaan ekspresi reguler yang cukup mendasar atau bahkan deteksi penipuan berbasis AI, pada bidang teks yang dimaksud.

Bagian dari penipuan tersebut melibatkan upaya agar Tan menambahkan kembali nomor ponselnya sebagai bagian dari proses verifikasi untuk pemulihan akun.

Penipu juga terlihat menyalahgunakan Google Forms, alat daring gratis yang merupakan bagian dari Google Workspace, untuk membuat dokumen yang tampak sah yang dikirim sebagai bagian dari penipuan.

Dengan mengirimkan salinan formulir ke alamat target, menggunakan opsi tanda terima respons Google Forms, dokumen tersebut dikirim melalui server Google asli yang menambah legitimasi penipuan.

Memeriksa email menjadi salah satu cara untuk menghindari penipuan, misalnya workspacesupport@google.com, yang berfungsi untuk menurunkan tanda bahaya yang mungkin dimiliki penerima.

Salah satu penipuan tersebut menggunakan formulir tersebut untuk meniru formulir pengaturan ulang kata sandi pemulihan akun, memberi tahu target bahwa mereka akan mendapatkan pemberitahuan SMS dari agen dukungan dan memberi mereka nomor untuk diperiksa.

Metode legitimasi ganda ini cukup untuk menipu banyak orang. Dalam kasus ini, jika orang di pihak penerima cukup pintar untuk menyadarinya, adalah proses pengaturan ulang kata sandi yang sangat rumit dan terlalu lama.

Mitrovic melakukan hal yang benar atau setidaknya hal terbaik kedua setelah menutup telepon, dan meminta petugas dukungan untuk mengirim email konfirmasi—email yang tiba segera setelahnya, dari domain Google dan tampaknya asli.

Pada titik ini, ia melihat kolom berisi alamat yang disamarkan dengan cerdik yang sebenarnya bukan domain Google, tetapi dapat dengan mudah mengelabui mereka yang tidak memiliki keahlian teknis.

Namun, tanda yang sebenarnya bagi Mitrovic adalah ketika si penelepon menyapa dan setelah tidak ada tanggapan, dia menyapa lagi. Dia menganggapnya sebagai suara AI karena pengucapan dan spasinya terlalu sempurna.

Hampir dapat dipastikan bahwa hacker akan terus melanjutkan ke titik di mana proses pemulihan akan dimulai, di mana ini akan menjadi portal masuk kloning yang menangkap kredensial pengguna dan mungkin penggunaan semacam malware pencuri cookie untuk menerobos autentikasi dua faktor jika digunakan pengguna.

Deepfake AI tidak hanya digunakan untuk pornografi dan politik, tetapi juga digunakan pengambilalihan akun yang tampaknya mudah seperti dalam kasus ini. Tetaplah tenang jika didekati oleh seseorang yang mengaku dari dukungan Google, karena perusahaan resminya tidak akan menelepon. Sehingga lebih baik untuk menutup telepon.

Kamu juga bisa mencari nomor telepon untuk melihat dari mana asalnya. Kemudian periksa aktivitas Gmail untuk melihat perangkatnya. Perhatikan apa yang dikatakan Google tentang cara tetap aman dari penyerang yang menggunakan penipuan phishing Gmail.

Hal terpenting yakni jangan pernah terburu-buru membuat reaksi spontan, tidak peduli seberapa mendesaknya percakapan. Rasa mendesak itulah yang diandalkan para penyerang agar calon korbannya mengeklik tautan atau menyerahkan kredensial.