Telko.id – Para ahli Kaspersky telah mendeteksi banyak kasus penipuan canggih yang menargetkan pengguna melalui pemberitahuan Google Calendar yang tidak diminta dan berupaya memikat mereka untuk memberikan informasi pribadi.
Serangan seperti ini terjadi di sepanjang bulan Mei. Penipuan ini menyalahgunakan fitur spesifik dari layanan kalender online gratis yang berisikan undangan dan acara tertentu ke kalender pengguna secara otomatis.
Spam dan phishing yang mengeksploitasi vektor serangan non-tradisional dapat menguntungkan bagi para pelaku kejahatan siber, karena mereka dapat menjebak pengguna berpengalaman yang mungkin tidak tertarik pada ancaman yang lebih umum. Kasus ini khususnya terjadi ketika menyangkut layanan sah dan terpercaya, seperti fitur kalender email default yang dieksploitasi dan disebut “calendar phishing”.
Beberepa deteksi notifikasi kalender yang muncul secara tiba-tiba sepanjang bulan Mei ini ternyata merupakan hasil ledakan email spam canggih yang dikirim oleh para scammers. Email ini mengeksploitasi fitur standar umum bagi orang-orang yang menggunakan Gmail di smartphone mereka: berupa penambahan otomatis dan pemberitahuan undangan kalender. Penipuan ini terjadi ketika pelaku mengirim undangan kalender tanpa diminta yang akan membawa Anda ke tautan URL phishing. Pemberitahuan undangan akan muncul di layar awal ponsel cerdas dimana penerima didorong untuk mengklik tautan tersebut.
Dalam sebagian besar kasus yang diamati, pengguna dialihkan ke situs web yang menampilkan kuesioner sederhana dengan penawaran hadiah berupa uang. Untuk menerima hadiah, pengguna diminta melakukan pembayaran “perbaikan” yang perlu memasukkan rincian kartu kredit dan menambahkan beberapa informasi pribadi, seperti nama, nomor telepon dan alamat. Data ini akan langsung menuju para scammers yang mengeksploitasinya untuk mencuri uang ataupun informasi identitas.
“Scam kalendar”, adalah skema yang sangat efektif, karena saat ini orang-orang lebih kurang terbiasa menerima pesan spam dari email atau messenger dan tidak langsung mempercayainya. Tapi ini mungkin tidak terjadi ketika datangnya dari aplikasi kalender, yang memiliki tujuan utama untuk mengatur informasi dibandingkan mentransfernya,” kata Maria Vergelis, peneliti keamanan di Kaspersky.
Vergelis menambahkan bahwa “Sejauh ini, sampel yang terlihat berisi teks yang menampilkan tawaran sangat aneh dan seiring ini terjadi, setiap skema sederhana menjadi lebih rumit dan rumit. Berita baiknya adalah – ancaman ini tidak memerlukan tindakan pencegahan canggih untuk menghindarinya. Dengan fitur yang dimiliki, memungkinkannya dapat dengan mudah dimatikan dalam pengaturan kalender”.
Google sendiri tidak tinggal diam. Google menyatakan bahwa mereka memiliki ketentuan layanan dan kebijakan produk yang melarang penyebaran konten berbahaya pada layanannya, dan sudah bekerja dengan seksama untuk mencegah dan secara proaktif menangani penyalahgunaan.
Bahkan untuk memerangi spam, menurut Google sebagai pertempuran yang tidak akan pernah berakhir, bahkan ketika sudah membuat kemajuan besar, tetapi tetap saja spam berhasil menemukan cara nya sendiri untuk melakukan kejahatan.
Namun, Google berkomitmen akan melindungi semua pengguna dari ancaman spam. Mulai dari memindai konten di Foto untuk spam dan memberikan pengguna kemampuan untuk melaporkan spam di Kalender, Formulir, Google Drive, dan Google Photo, serta memblokir pengirim spam untuk menghubungi mereka melalui Hangouts. Selain itu, Google juga menawarkan perlindungan keamanan bagi pengguna dengan memperingatkan mereka tentang URL berbahaya yang dapat diketahui melalui filter penjelajahan aman Google Chrome.
Untuk menghindari menjadi korban spam berbahaya, peneliti Kaspersky menyarankan pengguna
Matikan fitur penambahan undangan otomatis ke kalender Anda: untuk melakukannya, buka Google Kalender, klik ikon roda pengaturan, lalu klik Pengaturan Acara. Untuk opsi ‘automatically add invitations’, klik pada menu dropdown dan pilih ‘No, only show invitations to which I’ve responded’. Di bawahnya, pada bagian opsi tampilan, pastikan ‘Show declined events’ TIDAK dicentang, kecuali jika Anda secara khusus ingin melihatnya.
Jika tidak yakin apakah situs web yang Anda akses dalah nyata dan aman, jangan pernah memasukkan informasi pribadi. (Icha)
