TRIBUNSHOPPING.COM - Google melalui tim keamanan sibernya, Google Threat Intelligence, baru-baru ini mengeluarkan peringatan serius terkait peningkatan serangan siber yang dilakukan melalui panggilan telepon.
Teknik ini dikenal sebagai vishing atau voice phishing, yakni bentuk rekayasa sosial di mana pelaku menyamar sebagai pihak yang terpercaya dan menghubungi korban melalui telepon.
Tujuannya adalah untuk mendapatkan akses ke perangkat atau informasi pribadi seperti username dan password.
Dilansir dari Kompas.com, Google menjelaskan bahwa para pelaku sering berpura-pura sebagai tim IT dari perusahaan besar, misalnya Salesforce atau platform kerja lainnya.
Mereka kemudian mengarahkan korban untuk mengunduh aplikasi tertentu atau mengakses tautan yang dikirim via SMS atau e-mail.
Nada bicara pelaku dibuat meyakinkan, bahkan terkadang mendesak, agar korban merasa terdesak dan mengikuti instruksi tanpa berpikir panjang.
Google mengidentifikasi bahwa kelompok peretas yang terlibat dalam serangan ini adalah UNC6040.
Kelompok ini tidak secara langsung meretas perangkat korban, melainkan menipu mereka agar menginstal aplikasi palsu yang diklaim sebagai alat resmi, seperti “Data Loader” milik Salesforce.
Setelah aplikasi terpasang, pelaku dapat mengakses sistem internal perusahaan, mencuri data penting, bahkan meluaskan serangan ke layanan cloud yang terhubung.
Menurut laporan yang dihimpun KompasTekno dari The Economic Times (11/6/2025), sasaran utama kelompok ini adalah perusahaan di sektor ritel, pendidikan, dan perhotelan, khususnya yang beroperasi di Amerika Serikat dan Eropa.
Baca juga: 3 Cara Menghapus Cache Google Drive di Handphone Android
Meskipun target utamanya adalah perusahaan, Google menegaskan bahwa siapa pun bisa menjadi korban, termasuk pengguna individu.
Serangan ini tidak bergantung pada kerentanan teknis, tetapi sepenuhnya memanfaatkan manipulasi psikologis.
Selain Google, FBI juga memberikan peringatan serupa. Sejak April 2025, FBI mencatat adanya lonjakan kasus vishing yang semakin canggih.
Beberapa modus yang ditemukan mencakup penggunaan suara buatan berbasis AI dan SMS phising (smishing) yang menyamar sebagai pejabat penting.
Serangan ini kerap berpindah platform, dari pesan teks, panggilan telepon, hingga tautan ke situs palsu yang berisi malware.
Untuk melindungi diri dari serangan vishing, Google menyarankan beberapa langkah pencegahan, sebagaimana dikutip KompasTekno:
- Terapkan prinsip least privilege, yakni hanya memberikan akses sesuai kebutuhan pengguna.
- Batasi integrasi aplikasi pihak ketiga ke sistem internal.
- Gunakan kontrol akses berbasis IP.
- Aktifkan fitur keamanan tambahan seperti Salesforce Shield.
- Selalu gunakan otentikasi multi-faktor (MFA) pada setiap akun.
- Jangan mudah percaya dengan panggilan dari nomor asing, apalagi jika meminta instalasi aplikasi atau akses ke sistem.
Apabila menerima telepon mencurigakan yang mengaku dari pihak IT, Google menganjurkan untuk segera menutup panggilan tersebut dan melakukan verifikasi langsung melalui jalur resmi perusahaan. (*)
(Andrakp/TribunShopping.com)