Jakarta, Satuju.com - Modus penipuan baru ada di Gmail yang bisa menguras saldo rekening. Bahkan email itu bisa lolos pemeriksaan keamanan Domain Keys Identified Mail (DKIM).

Intinya, para hacker ini berusaha mencuri akun Google yang berpotensi menguras rekening korban. Pasalnya, email memang merupakan salah satu cara memverifikasi akun keuangan.

Dikutip dari CNBC Indonesia, Kamis (24/4/2025) dalam laporan Bleeping Computer, seorang pengembang utama Ethereum Name Service (ENS) bernama Nick Johnson menjadi korban percobaan serangan ini.

Ia menerima email yang terlihat resmi dari 'no-reply@google.com'. Email tersebut berisi permintaan atas akun Google-nya. Parahnya, email ini lolos verifikasi dan ditempatkan bersamaan dengan peringatan keamanan asli Google, yang membuatnya seolah-olah email asli dan semakin sulit dikenali.

Setelah ditelusuri, portal 'dukungan' yang disebutkan dalam email tersebut ternyata dibuat melalui platform Situs Google, bukan domain resmi akun.google.com. Ini memperkecil sumber daya karena tetap berada di lingkungan Google.

Para penjahat siber juga menggunakan teknik yang dikenal sebagai DKIM Replay Phishing. Caranya, mereka mendaftarkan domain baru, membuat akun Google dengan alamat seperti me@domain, lalu membuat aplikasi OAuth dengan nama yang menyisipkan pesan phishing.

Ketika Google mengirimkan notifikasi keamanan ke alamat ini, email tersebut terbaca sah secara teknis, lalu diteruskan ke calon korban.

Lebih lanjutnya, DKIM hanya memvalidasi isi pesan dan header, bukan amplop email. Karenanya pesan palsu ini tetap dianggap valid oleh sistem Google dan terlihat meyakinkan di kotak masuk korban.

Akan tetapi, bukan hanya Gmail yang jadi sasaran. Metode serupa pernah digunakan di PayPal, di mana pelaku menggunakan opsi 'alamat hadiah' untuk mengirim konfirmasi palsu yang juga lolos pemeriksaan DKIM.

Pakar keamanan dari EasyDMARC menyatakan bahwa metode ini sangat berbahaya karena korban tidak sadar bahwa mereka sedang diarahkan ke situs penipuan yang hampir identik dengan halaman resmi. Untuk itu imbauan bagi pengguna Gmail dan platform digital lainnya agar tetap waspada.

Pesannya satu: jangan mudah percaya dengan email yang mengatasnamakan perusahaan besar, bahkan bila tampilannya tampak meyakinkan 100%.