Berita Terbaru

Modus Baru Peretas Rusia: Bobol Gmail Tanpa Lewati MFA

Ilustrasi Google Gmail

Ilustrasi Google Gmail

Dunia keamanan siber kembali dikejutkan oleh laporan Google dan Citizen Lab tentang keberhasilan sekelompok peretas Rusia melewati sistem autentikasi dua faktor (multi-factor authentication/MFA) pada akun Gmail. Serangan ini tidak dilakukan melalui metode teknis biasa, melainkan lewat skenario rekayasa sosial tingkat lanjut yang sangat terencana dan meyakinkan. Yang menjadi sorotan, para peretas menyamar sebagai pejabat resmi dari Departemen Luar Negeri Amerika Serikat dan menargetkan individu-individu dengan profil tinggi, seperti akademisi serta pengkritik kebijakan Rusia.

Serangan ini menjadi bukti bahwa teknologi keamanan, sekuat apapun, masih bisa ditembus melalui kelemahan paling dasar: psikologis dan kepercayaan manusia.

 

Modus Operandi: Peretas Gunakan Password Aplikasi untuk Bobol Gmail

Dalam laporan yang dirilis oleh Google Threat Intelligence Group (GTIG) dan organisasi riset independen The Citizen Lab, terungkap bahwa para pelaku menggunakan metode phishing bertarget (spear-phishing) untuk memperoleh password khusus aplikasi (app-specific password) dari korban.

Password ini sejatinya merupakan fitur yang disediakan Google agar aplikasi pihak ketiga tetap dapat mengakses akun pengguna ketika autentikasi dua faktor diaktifkan. Namun, fitur ini ternyata menjadi celah fatal ketika berada di tangan yang salah.

Dengan menyamar sebagai pejabat Departemen Luar Negeri AS, para peretas meyakinkan targetnya untuk membuat dan memberikan password aplikasi, yang kemudian digunakan untuk mengakses akun Gmail target secara langsung – tanpa perlu kode verifikasi MFA.

 

Profil Target: Akademisi, Peneliti, dan Pengkritik Rusia

Laporan tersebut menyebutkan bahwa serangan berlangsung dari April hingga awal Juni, dan diduga dilakukan oleh kelompok peretas yang diidentifikasi sebagai UNC6293, yang kemungkinan berafiliasi dengan APT29 – sebuah unit yang diduga merupakan bagian dari badan intelijen Rusia, SVR (Foreign Intelligence Service).

APT29, juga dikenal dengan berbagai alias seperti Nobelium, Cozy Bear, dan Midnight Blizzard, sudah dikenal lama sebagai aktor siber negara yang menyasar institusi pemerintahan, lembaga riset, serta think tank di berbagai negara.

Salah satu target yang teridentifikasi adalah Keir Giles, seorang penulis dan pakar Rusia, yang kerap bersuara kritis terhadap kebijakan Kremlin.

 

Strategi Serangan: Canggih, Bertahap, dan Tidak Terburu-buru

Berbeda dari serangan phishing konvensional yang biasanya mendesak korban untuk segera bertindak, serangan ini berlangsung secara perlahan dan sangat personal.

Langkah pertama dilakukan dengan pengiriman email dari seseorang bernama Claudie S. Weber, yang mengaku sebagai pejabat dari Departemen Luar Negeri AS. Dalam email tersebut, Giles diundang untuk mengikuti diskusi pribadi secara daring. Agar lebih meyakinkan, pengirim email juga mencantumkan beberapa alamat resmi Departemen Luar Negeri di kolom CC.

Walaupun alamat email pengirim menggunakan domain Gmail biasa, penyisipan alamat @state.gov di CC membuat email tampak seolah berasal dari saluran resmi pemerintah AS. Padahal, alamat @state.gov tersebut tidak valid.

Citizen Lab mencurigai bahwa pelaku sengaja menambahkan alamat palsu karena mengetahui sistem email Departemen Luar Negeri AS tidak memverifikasi keabsahan alamat dalam kolom CC dan tidak memantulkan pesan error (bounce) kembali.

 

Panduan Palsu: Korban Diminta Buat dan Kirim Password Aplikasi

Dalam fase berikutnya, Giles menerima file PDF yang berisi panduan teknis palsu untuk mendaftarkan dirinya ke dalam platform virtual bernama “MS DoS Guest Tenant”, yang diklaim dimiliki Departemen Luar Negeri AS.

PDF tersebut memberikan instruksi langkah demi langkah kepada Giles untuk:

  • Membuka pengaturan akun Google.
  • Membuat app-specific password.
  • Mengirimkan password tersebut ke “administrator” platform sebagai bagian dari proses pendaftaran.
  • Tertulis bahwa cara ini merupakan “solusi aman” untuk memastikan komunikasi rahasia antara pemerintah AS dan pengguna eksternal yang memakai Gmail.

Pada kenyataannya, password aplikasi tersebutlah yang digunakan para peretas untuk mengambil alih akun Gmail milik korban secara penuh, tanpa menimbulkan kecurigaan karena semuanya tampak berjalan sesuai prosedur.

 

Infrastruktur Serangan: Proxy Residensial dan VPS

Google GTIG mencatat bahwa pelaku menggunakan infrastruktur yang rapi dan tersembunyi, termasuk:

  • Proxy residensial (alamat IP dari perangkat rumahan biasa) untuk menyamarkan identitas saat mengakses akun korban.
  • Server VPS (Virtual Private Server) dengan IP seperti 91.190.191[.]117 sebagai titik perantara untuk mengakses data.

Taktik ini memungkinkan peretas menghindari deteksi sistem keamanan berbasis lokasi atau login tidak biasa dari perangkat asing.

Dua tema utama yang dipakai dalam kampanye spear-phishing ini adalah:

  • Undangan dari Departemen Luar Negeri AS.
  • Isu-isu sensitif seperti Ukraina dan perusahaan besar seperti Microsoft.

 

Tindakan Pencegahan: Program Perlindungan Tingkat Lanjut

Google menyarankan individu berisiko tinggi untuk bergabung dengan Advanced Protection Program (APP). Program ini dirancang khusus untuk:

  • Mencegah penggunaan password aplikasi.
  • Mengharuskan verifikasi perangkat keras (seperti kunci keamanan USB) untuk login.
  • Meningkatkan deteksi dan pemblokiran phishing dan malware.

APP sudah digunakan oleh jurnalis, aktivis, peneliti kebijakan, dan tokoh publik lainnya yang rawan menjadi target operasi siber.

Serangan ini kembali menegaskan bahwa keamanan tidak hanya soal teknologi, tapi juga soal psikologi dan kehati-hatian. Sekalipun MFA diterapkan, jika pengguna bersedia memberikan akses secara sukarela, maka keamanan bisa runtuh seketika.

Berikut beberapa tips pencegahan bagi pengguna umum maupun tokoh publik:

  • Selalu curiga terhadap permintaan informasi sensitif melalui email, terutama jika melibatkan password atau pengaturan akun.
  • Verifikasi ulang identitas pengirim secara independen, misalnya melalui nomor telepon resmi atau alamat email institusi yang sah.
  • Jangan pernah membagikan password dalam bentuk apa pun, apalagi app-specific password.
  • Aktifkan fitur keamanan tambahan seperti verifikasi dua langkah dan login dengan passkey.


Serangan ini menjadi cermin nyata dari bagaimana aktor negara bisa menyusun strategi kompleks untuk menyusup ke sistem informasi yang paling pribadi – akun email.

Ketika dunia semakin digital, maka medan perangnya pun berpindah ke ranah siber. Email bukan hanya alat komunikasi biasa, tapi juga menjadi pusat kendali identitas, informasi keuangan, bahkan akses ke dokumen rahasia.

Kasus peretasan ini bukan hanya peringatan bagi individu tertentu, tapi juga bagi masyarakat luas: ketika kepercayaan dapat dimanipulasi, maka tidak ada sistem yang benar-benar kebal.

Lindungi akunmu. Verifikasi setiap pesan. Jangan biarkan rekayasa sosial menjadi celah terbesar dalam sistem keamanan digital kita.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait