Keamanan berinternet adalah hal kompleks. Penyedia layanan serta pengembang sistem operasi tidak pernah lelah untuk menyempurnakan sistem mereka. Tapi celahnya selalu saja ada, dan dengan memanfaatkan ketidaktahuan atau kelalaian pengguna, pihak-pihak tak bertanggung jawab terus mencoba mencuri data-data pribadi kita.

Ada insiden baru terjadi di hari Rabu kemarin. Sebuah usaha phishing sempat dilakukan dengan menggunakan sistem pengesahan OAuth punya Google buat menginstal aplikasi-aplikasi web jahat. Tidak seperti upaya phishing (‘memancing’ informasi dengan menyamar jadi entitas terpercaya) biasa yang memanfaatkan alamat internet palsu, serangan ini muncul sebagai permintaan otorisasi app.

Usaha peretasan tersebut memakai teknik yang berbeda. Ia memperdaya user untuk memberikan informasi sensitif tanpa meminta password. Caranya adalah mengelabui melalui Google Docs.

Prosesnya sangat simpel, dan hal inilah yang membuatnya berbahaya. Pertama, calon korban menerima email yang menawarkan akses sharing file Google Docs. Dengan mengklik ‘Open in Docs’, akan muncul layar seleksi akun Google asli, dan diikuti oleh permintaan otorisasi buat mengakses informasi kontak Gmail dan Google. Anda telah jatuh dalam perangkap jika menekan link yang ada di sana.

Kecanggihan dari teknik ini adalah ada banyak orang mudah mempercayai permintaan share file Google Docs. Dan jika kebetulan Anda sudah jadi korbannya, Anda perlu memutus akses app tersebut. Caranya adalah dengan pergi ke security page Google, pilih Manage App, lalu buang Google Docs dari daftar itu. Ada baiknya ada mengecek hal ini sekarang juga.

Menurut penjelasan CTO PhishMe Inc. via Reuters, metode ini merupakan ‘masa depan’ dari kegiatan phishing. Sang peretas bisa mendapatkan apa yang ia inginkan tanpa perlu repot-repot membubuhkan malware pada device.

Alphabet merespons serangan tersebut dengan segera memberikan peringatan dan panduan buat menanggulanginya. Google juga meyakinkan para pengguna bahwa mereka telah mengambil langkah serius – mematikan akun, menghapus laman palsu, memberikan update, dan tim bekerja keras supaya hal ini tidak terjadi lagi. Mereka juga menyarankan Anda untuk melaporkan alamat-alamat email phishing.

Pelajaran yang bisa kita ambil dari kejadian ini adalah, jika Anda tidak menantikan pemberian akses ke dokumen di Google Docs, maka jangan dibuka. Lalu seandainya tidak yakin siapa pengirimnya, langsung cek identitasnya dan pastikan email dikirm oleh orang-orang yang Anda kenal.

Sumber: Reuters & Ars Technica.