BANDUNG, TEROPONGMEDIA.ID — Google melalui Google Threat Intelligence, memberikan peringatan akan kejahatan penipuan siber nyata, yang memanfaatkan telepon sebagai jalur utama.
Modusnya menggunakan teknik vishing (voice phishing) ini menyasar pengguna smartphone, baik Android maupun iOS, dan kini menjadi metode serangan sosial engineering yang kian canggih.
Pada laporan yang terbit Rabu, 11 Juni 2025, perusahaan teknologi asal Amerika Serikat (AS0 tersebut menekankan, serangan vishing kerap dilakukan oleh pelaku yang berpura-pura menjadi pihak tepercaya, seperti tim IT perusahaan atau penyedia layanan dengan tujuan mengelabui korban agar memberikan akses ke perangkat atau membocorkan informasi sensitif seperti username, password, atau akses sistem.
Cara Kerja Penipuan Modus Telepon
Pengguna diimbau untuk tidak menjawab panggilan dari nomor tidak dikenal, apalagi jika nada bicara terdengar mendesak dan menciptakan suasana darurat. Berdasarkan temuan Google, pola umum serangan vishing melibatkan:
-
Penelepon mengaku sebagai staf IT dari perusahaan ternama, seperti Salesforce atau platform kerja lainnya.
-
Korban diminta menginstal aplikasi atau membuka tautan yang dikirim lewat SMS atau e-mail.
-
Penelepon kerap menyebut nama kolega atau informasi internal agar terdengar meyakinkan.
-
Nada suara yang digunakan terdengar profesional, bahkan agresif dan mendesak.
BACA JUGA:
Serangan Siber Semakin Marak, Ini Metode Phising yang Perlu Diwaspadai!
Sindikat Penipuan Online di Sidrap Terbongkar, 40 Pelaku Ditangkap Kodam XIV/Hasanuddin
“Pelaku menggunakan teknik manipulasi psikologis, bukan celah teknis,” tulis Google dalam laporannya.
Komplotan Siber
Google mengidentifikasi kelompok peretas UNC6040 sebagai dalang di balik serangan vishing yang terstruktur ini. Kelompok tersebut sudah aktif sejak awal tahun dan kini mulai menargetkan perusahaan besar di sektor ritel, perhotelan, dan pendidikan, khususnya di wilayah Amerika Serikat dan Eropa.
Alih-alih meretas secara langsung, UNC6040 menjebak korban agar secara sukarela menginstal aplikasi palsu, seperti “Data Loader” tiruan milik Salesforce yang sebenarnya berfungsi sebagai pintu masuk bagi pelaku untuk mencuri data dan mengakses sistem internal.
Setelah aplikasi terpasang, pelaku bisa menembus sistem perusahaan, mencuri data sensitif, hingga menyebar ke layanan cloud lain yang terhubung, termasuk dokumen penting, email perusahaan, dan bahkan rekaman rapat virtual.
Peringatan dari Kepolisian AS
Badan Investigasi Federal Amerika Serikat (FBI) turut mengeluarkan peringatan. Dalam pernyataannya, FBI mengungkapkan bahwa sejak April 2025, terjadi lonjakan signifikan kasus vishing yang juga disertai dengan smishing (SMS phishing) dan penggunaan suara buatan AI.
Beberapa kasus bahkan melibatkan suara palsu yang mengaku sebagai pejabat pemerintah, yang kemudian memancing korban untuk membuka tautan berisi malware atau memberikan data pribadi.
“Modusnya berpindah-pindah — dari SMS, ke panggilan suara, lalu ke tautan berbahaya di situs palsu. Ini bentuk baru dari serangan lintas platform,” kata juru bicara FBI.
Untuk membantu pengguna dan perusahaan meminimalkan risiko, Google memberikan beberapa langkah pencegahan yang perlu diterapkan:
-
Gunakan prinsip least privilege: Berikan akses hanya sesuai kebutuhan masing-masing individu.
-
Batasi aplikasi pihak ketiga: Kendalikan dengan ketat aplikasi eksternal yang terhubung ke sistem internal.
-
Pembatasan berbasis IP: Hanya izinkan akses sistem dari alamat IP yang tepercaya.
-
Aktifkan Salesforce Shield: Gunakan fitur keamanan tambahan untuk mendeteksi aktivitas abnormal.
-
Aktifkan Multi-Factor Authentication (MFA): Terapkan MFA di semua akun untuk perlindungan ekstra.
-
Jangan jawab panggilan mencurigakan: Jika ada penelepon yang mengaku dari tim IT dan meminta akses atau instalasi aplikasi, segera akhiri panggilan dan lakukan verifikasi melalui jalur resmi.
Google menekankan bahwa serangan ini tidak memandang target, baik karyawan biasa, eksekutif, maupun pengguna individu, semuanya rentan.
Karena sifatnya mengandalkan rekayasa sosial, bukan celah perangkat lunak, maka kesadaran dan kewaspadaan menjadi pertahanan utama.
(Saepul)
