Panggilan dan email yang menyamar sebagai Google menyebabkan kerugian phishing US$130 ribu lewat sinkronisasi kode autentikasi

 (bewildered.substack.com)
1 poin oleh GN⁺ 2025-09-18 | 1 komentar | Bagikan ke WhatsApp
  • Seorang pengguna membagikan pengalamannya menjadi korban phishing akibat telepon yang menyamar sebagai tim dukungan Google dan email yang menyamar sebagai legal@google.com
  • Karena fitur sinkronisasi cloud Google Authenticator, penyerang juga berhasil mencuri kode autentikasi dua faktor, membobol akun Coinbase, dan mencuri aset kripto
  • Dalam sekitar 40 menit, aset kripto senilai US$80 ribu dicuri (nilai saat ini sekitar US$130 ribu)
  • Celah keamanan Gmail dan pengaturan sinkronisasi bawaan di Authenticator disebut memperparah dampak serangan
  • Disarankan mematuhi aturan dasar keamanan seperti mengganti kata sandi secara berkala dan tidak pernah membagikan kode verifikasi, serta berhati-hati saat mengaktifkan sinkronisasi cloud

Penipuan yang dimulai dari satu panggilan telepon

  • Pada 19 Juni, korban menerima telepon dari nomor area (650) dengan asal 'Pacifica, CA'
  • Penelepon mengaku berasal dari tim dukungan Google dan menyebut adanya permintaan pengalihan akun yang telah dilaporkan, bahkan disertai akta kematian dan ID
  • Mereka juga mengirim email dari alamat yang tampak asli, legal@google.com (atas nama pengirim Norman Zhu), sehingga terlihat seperti email resmi dan membangun kepercayaan
  • Di aplikasi Gmail pada iOS, tampilan pengirim @google.com, branding, dan nomor kasus membuat penyamaran terlihat sangat meyakinkan
  • Dengan alasan memverifikasi apakah korban benar-benar telah meninggal, mereka meminta konfirmasi kode verifikasi sementara, dan dalam kepanikan sesaat korban memberikannya

Akses penyerang ke akun Coinbase

  • Menjelang akhir percakapan, penyerang menenangkan korban dengan arahan seperti mendaftarkan Google Advanced Security
  • Korban mengira keamanannya telah diperkuat, padahal penyerang sudah memperoleh akses ke Gmail, Drive, Photos, dan kode Authenticator yang tersinkronisasi
  • Faktor penentu utamanya adalah sinkronisasi cloud di Google Authenticator, yang memungkinkan kode 2FA ikut dicuri
  • Tak lama kemudian, penyerang masuk ke akun Coinbase dan mulai mencuri aset kripto

Detail pencurian kripto dan kerugian

  • Selama sekitar 40 menit, penyerang melakukan beberapa transaksi untuk memindahkan ETH dan token lain secara terpisah lalu mencuri seluruh dana
  • Nilai kerugian saat itu sekitar US$80 ribu, atau sekitar US$130 ribu berdasarkan harga saat ini
  • Dua jam kemudian, saat memeriksa saldo Coinbase, korban terkejut mendapati saldo hampir menjadi nol
  • Korban juga menemukan riwayat login dari perangkat baru di akun Google serta perubahan nomor telepon pemulihan

Mengapa bahkan profesional keamanan bisa tertipu

  • Korban mengatakan dirinya bekerja di industri TI dan juga seorang perancang pengalaman autentikasi
  • Meski memiliki kesadaran keamanan yang tinggi, ia tetap gagal menghadapi phishing karena email palsu yang meyakinkan dan skenario darurat yang diciptakan penyerang

Dua kesalahan keamanan inti dari Google

  1. Gagal memfilter email pengirim palsu dengan alamat ‘@google.com’
    • Pemalsuan kolom From pada email membuatnya tampak seperti email resmi, dan di aplikasi Gmail iOS tidak mudah memverifikasi seluruh header secara langsung
  2. Sinkronisasi cloud Google Authenticator aktif secara bawaan
    • Penyerang memperoleh kode 2FA yang tersinkronisasi, sehingga efektivitas autentikasi dua langkah menjadi lumpuh
    • Akibatnya, email, 2FA, dokumen, foto, dan seluruh aset digital bisa terekspos sekaligus
  • Catatan: ada peringatan bahwa bagi pengguna yang memakai Gmail dan Google Authenticator secara bersamaan, 2FA pada dasarnya mungkin tidak cukup aman

Aturan dan saran keamanan

  • Ganti kata sandi hari ini juga dan perbarui secara berkala (insiden kebocoran lebih dari 1,6 miliar kata sandi terus terjadi)

  • Jangan pernah membagikan kode verifikasi (penyerang memanipulasi psikologi lewat rasa darurat dan cemas)

  • Gunakan sinkronisasi cloud Google Authenticator dengan sangat hati-hati

    • Kemudahan pemulihan memang meningkat, tetapi risikonya dalam pengelolaan juga ikut bertambah

  • Selalu waspada terhadap panggilan telepon yang mencurigakan

    • Jika merasa tidak yakin, segera tutup panggilan dan akses kembali melalui jalur resmi

  • Korban berharap kejadian ini bisa menjadi peringatan dan membantu mencegah kasus serupa

Penjelasan tambahan dan konteks

  • Ada kemungkinan penyerang sudah memiliki kata sandi korban dari daftar kebocoran 1,6 miliar kata sandi yang baru-baru ini beredar
  • Korban menyatakan tidak memakai kata sandi yang sama di banyak tempat dan merahasiakannya, tetapi kata sandi tersebut memang sudah lama tidak diganti
  • Diduga penyerang menerima kode pemulihan dan dengan itu berhasil melewati 2FA

Terkait email phishing

  • Korban menerima banyak email atas nama legal@google.com, tetapi penyerang menghapus seluruh jejak email, termasuk sampah dan catatan pemulihan
  • Namun, sebagian email sempat diteruskan ke phishing@google.com, dan lewat email pantulan saat proses pengambilalihan kembali akun, korban berhasil menyimpan salinan aslinya
  • Alamat email phishing@google.com sebenarnya tidak ada atau tidak dapat diakses dari luar
  • Email asli menggunakan subjek ‘Google Recent Case Status’, dengan format dan penamaan resmi, panduan peninjauan internal, serta instruksi seperti penyimpanan kata sandi sementara
  • Tercantum nama tim dukungan ‘Norman Zhu’, nomor kasus, dan informasi departemen

Ringkasan keseluruhan

  • Ini adalah kasus pembobolan akun dan pencurian aset kripto dalam skala besar yang terjadi karena kombinasi serangan penyamaran yang sangat canggih dan cacat struktural pada platform
  • Kasus ini mengingatkan bahwa autentikasi dua faktor pun bukan zona aman mutlak
  • Selain pengetahuan keamanan tradisional, kasus ini juga menyoroti perlunya peninjauan kebijakan di level platform dan pengaturan keamanan yang dibedakan untuk tiap layanan

Bacaan terkait

1 komentar

 
GN⁺ 2025-09-18
Komentar Hacker News

  • Jumat lalu saya juga menerima telepon serupa, terdengar meyakinkan. Trik yang saya pakai adalah meminta nomor tiket dan nomor resmi untuk menelepon balik agar bisa memverifikasi apakah itu benar nomor perusahaan. Kalau memang asli, percakapan bisa dilanjutkan; kalau tidak, ya sudah jelas aman untuk diabaikan. Penelepon bilang mereka bisa mengirim email yang membuktikan bahwa ini resmi, tetapi mereka tidak mau memberikan nomor untuk ditelepon balik, jadi saya langsung tahu itu penipuan. Alamat email atau nomor telepon bisa dipalsukan kapan saja. Meski nomor penelepon terlihat normal, jangan pernah percaya begitu saja; selalu telepon kembali ke nomor resmi untuk memastikan.

    • Saya bahkan tidak pernah menerima nomor telepon yang diberikan langsung. Saya selalu menanyakan nama perusahaan dan cabangnya, lalu mencari sendiri nomornya di situs resmi perusahaan (misalnya https://amazon.com) dan menelepon ke sana. Memang sedikit merepotkan, tetapi jauh lebih aman.

    • Bahkan saat memeriksa nomor resmi lewat pencarian pun tetap harus hati-hati. Nomor palsu bisa bercampur di hasil pencarian lewat situs yang dibuat agar terlihat asli. Benar-benar seperti medan perang tanpa senjata.

    • Soal "meskipun nomornya benar, caller ID tidak berarti apa-apa", saya juga pernah mengatakan hal yang sama beberapa tahun lalu ketika bank menelepon dan meminta data pribadi untuk verifikasi identitas saya.

    • "Nomor telepon resmi" memang ide yang bagus, tetapi kalau penyerang punya akses ke SS7, cara itu juga tidak berguna.

  • Hal-hal yang perlu terus diingat:

    • Tim dukungan pelanggan dari perusahaan besar tidak akan pernah menelepon lebih dulu.

    • Jika seseorang meminta kode lewat telepon atau email, jangan pernah membacakan kode verifikasi yang diterima lewat SMS. Biasanya pesan itu sendiri juga sudah menuliskan larangan tersebut.

    • Jangan lindungi informasi pribadi penting hanya dengan satu kata sandi. Jangan gunakan Google Authenticator yang terhubung ke akun Google sebagai pengelola autentikasi utama; lebih baik pakai pihak ketiga seperti 1Password.

    • Pisahkan email untuk bank/investasi dari email yang diketahui publik. Profil Chrome juga sebaiknya dipisah per email, dan ekstensi cukup sisakan pengelola kata sandi saja.

    • Tetapi beberapa minggu lalu saya pernah menerima telepon dari seseorang yang mengaku tim dukungan bank dari nomor yang tidak muncul di pencarian. Mereka meminta saya membacakan kode verifikasi dari SMS, dan saya menolak. Akibatnya perbankan online saya diblokir, lalu saya menerima surat fisik yang tegas, isinya bahwa karena saya tidak berkomunikasi dengan petugas dukungan maka akun tidak bisa ditingkatkan secara otomatis. Akhirnya saya membuat akun baru lewat aplikasi dan menelepon mereka. Lalu saya benar-benar membacakan lagi kode SMS itu kepada mereka (!), dan ternyata itulah satu-satunya prosedur verifikasi akun baru. Ini dilakukan oleh salah satu dari 100 bank terbesar di dunia. Rasanya perusahaan justru melatih orang untuk tertipu. Itu bank asal Jerman, tetapi Chase juga punya kebiasaan yang sama meminta kode OTP lewat telepon.

    • Dukungan pelanggan Google Nest Thermostat pernah meminta kode verifikasi saat saya meminta mereka mematikan pengaturan penghematan energi (fitur yang memungkinkan perusahaan listrik mengatur suhu demi penghematan). Saya menolak karena di pesannya tertulis agar tidak membagikannya, dan mereka akhirnya menawarkan cara lain. Permintaannya sendiri terasa aneh.

    • Sampai baru-baru ini, Chase juga masih meminta kode seperti ini saat menelepon terkait peringatan penipuan. Itu bagian yang sangat menjengkelkan.

    • Saya biasanya menaruh ponsel saya di mode jangan ganggu. Hanya lima anggota keluarga inti yang boleh membuat telepon berdering. Nomor tak dikenal tidak pernah saya angkat, dan kalau memang mendesak mereka bisa meninggalkan pesan suara. Saat menerima telepon, saya rasa kita sering tidak bisa langsung berpikir jernih. Mirip trik di jalan ketika seseorang bertanya arah lalu mencuri jam tangan Anda. Awalnya ini bukan terutama demi keamanan, tetapi ternyata bagus karena menghindarkan saya dari tips bank dan paparan terhadap peretas.

    • Sayangnya, beberapa call center memang benar-benar menjalankan metode verifikasi seperti ini: mereka menelepon Anda, mengirim kode lewat SMS/email, lalu meminta Anda membacakannya kembali.

  • Serangan kali ini tampaknya murni social engineering, dan sepertinya tidak ada spoofing email. Sangat mungkin email itu benar-benar dikirim resmi oleh Google. Dugaan saya, penyerang memicu prosedur pemulihan akun Google resmi, lalu Google mengirim email berisi kode sebagai bagian dari proses itu. Karena korban membacakan kodenya, penyerang tampaknya mendapat akses penuh ke akun Google korban (dan juga Gmail, serta aplikasi autentikasi yang dicadangkan ke Google Drive). Saya ingin sekali melihat header mentah emailnya.

    • Email yang dikirim dari legal@google.com tampaknya tidak asli. Di awal paragraf pertama dan kalimat pembuka paragraf kedua ada kesalahan tata bahasa. Email dari tim legal tidak mungkin berisi typo dasar dan kesalahan tanda baca seperti itu. Kalau itu email resmi sungguhan, pasti sudah dikoreksi. Jadi itu palsu.

    • Kalau email itu memang dikirim oleh penyerang, saya tidak paham mengapa korban masih perlu membacakan kodenya.

    • "Reset kata sandi Coinbase"? Menggunakan Gmail yang sama untuk layanan penting seperti bank, kripto, domain, dan lain-lain itu benar-benar berbahaya. Saya juga sedang dalam situasi tahu kata sandi Google saya sendiri tetapi tetap tidak bisa masuk karena autentikasi kedua menghalangi.

  • Untuk nomor yang tidak dikenal, memang sebaiknya selalu curiga. Saya setuju dengan saran bahwa jika ada hal yang terasa aneh, lebih baik tutup telepon dan hubungi perusahaan itu sendiri untuk memulai ulang percakapan. Kalau dipikir-pikir, saya hampir tidak pernah mengangkat telepon jika saya tidak memang sedang menunggu panggilan, dan mungkin karena itu saya lolos dari banyak penipuan. Mengecewakan sekali bahwa Google menyinkronkan kode Authenticator ke cloud, sehingga pada akhirnya penyerang bisa mengakses Gmail, Drive, Photos, dan aplikasi autentikasi sekaligus.

    • Biasanya saya juga tidak mengangkat telepon dari nomor tak dikenal, tetapi beberapa hari lalu ada yang menelepon mengaku pegawai Amazon dan bilang akun saya dipakai membeli iPhone seharga 600 ribu won. Saat saya bilang akan memverifikasi identitas mereka dan menanyakan "barang apa yang terakhir saya pesan", mereka terus mengelak. Setelah berbicara sekitar 20 menit, akhirnya mereka memaki lalu menutup telepon. Di saat yang sama, saya bisa mendengar kebisingan keras di sekitar mereka, seolah mereka juga sedang menelepon calon korban lain. Saya benar-benar tidak tahu mengapa saya membuang waktu selama itu.

    • Dalam penipuan seperti ini, tanda bahaya paling jelas adalah "tim dukungan yang lebih dulu menghubungi Anda". Padahal kalau kita benar-benar butuh menghubungi dukungan untuk hal mendesak, justru hampir tidak mungkin tersambung.

    • Aturan saya sekarang: semua nomor tak dikenal langsung masuk ke voicemail. Kalau penting, mereka bisa meninggalkan pesan dan nomor. Kalau memang perlu, saya yang menelepon balik. Pengecualian hanya untuk hal-hal seperti fasilitas medis atau pengiriman barang yang memang kadang harus diangkat. Dengan cara ini saya bisa menyaringnya.

    • Saya memakai aturan 1–2 detik. Saya angkat telepon, bilang halo, lalu kalau dalam 1–2 detik tidak ada respons, saya tutup. Penipu biasanya tersambung dari antrean panggilan, jadi ada sedikit jeda. Mereka juga harus menyesuaikan diri dengan skrip, sehingga reaksinya lambat. Tidak seperti percakapan biasa, mereka butuh waktu untuk siap. Jika penelepon tidak bisa merespons segera, kemungkinan besar itu spam.

    • Bukan hanya ponsel saya, ponsel orang tua saya juga saya atur agar memblokir nomor tak dikenal sepenuhnya. Saya terus mengingatkan mereka agar tidak percaya pada email penipuan, tetapi tetap saja tiap tahun satu atau dua kali ibu saya panik lalu menghubungi saya karena "email penipuan yang tampak asli".

  • Prinsip dasar saya adalah tidak mengangkat telepon. Saya benar-benar menyalakan mode jangan ganggu dan hanya mengizinkan nomor favorit untuk berdering. Orang yang benar-benar punya urusan mendesak, entah sah atau penipu, bisa meninggalkan voicemail. Jika mereka mengaku dari perusahaan tertentu, saya yang akan memverifikasinya sendiri. Kasus ini menunjukkan bahwa telepon yang tidak saya minta, seberapa meyakinkan pun terdengarnya, sebaiknya bahkan tidak usah mulai diladeni. Dan saya juga tidak pernah menaruh informasi sensitif di akun Google. Siapa pun yang berpengalaman di industri teknologi pasti paham betapa berbahayanya itu.

    • Saya paham betul risiko spam call, jadi itu tidak perlu dijelaskan lagi. Tetapi menurut saya orang terlalu mudah menyingkirkan kemungkinan bahwa tempat seperti "tim keamanan bank" memang kadang benar-benar menelepon untuk peringatan penipuan. Bisa saja saya tidak mengenali nomor bank saya, dan belum tentu juga itu pendekatan yang selalu benar.

    • Saya pernah menerima telepon yang benar-benar penting dari pemerintah atau bank (misalnya soal kesalahan pelaporan pajak), jadi menurut saya tidak selalu benar untuk tidak pernah mengangkat sama sekali. Sebagai catatan, di Eropa voicemail hampir tidak dipakai; itu tampaknya lebih merupakan budaya Amerika.

  • Tanpa spoofing alamat email pun, pencurian kripto tetap sangat mungkin terjadi. Penjahat bisa saja mengancam dengan senjata dan memaksa korban menyerahkan seed phrase. Kasus seperti itu benar-benar ada cukup banyak. Karena itu, bank tradisional jauh lebih aman daripada kripto. Penulis yang membagikan pengalaman ini sudah melakukan hal yang baik, tetapi semoga pelajaran utamanya juga adalah bahwa kripto bukan sarana penyimpanan aset yang aman.

    • Tetap saja, menelepon calon korban satu per satu jauh lebih scalable daripada datang ke rumah sambil menodongkan senjata.

    • Meski begitu, khas Hacker News juga ada pendapat bahwa ancaman dengan senjata sebenarnya bukan isu utama di sini.

    • Untuk keamanan kripto, multisig itu berguna. Misalnya dalam skema 2-of-2, Anda bisa berbagi hak tanda tangan dengan institusi tepercaya seperti bank, dan itu biasanya lebih aman daripada bank biasa. Dengan beberapa kunci seperti 3-of-5, Anda juga bisa mengantisipasi pemaksaan fisik, misalnya saat pin salah pada token perangkat keras menghapus kuncinya.

    • Solusinya adalah dompet multisig. Struktur yang mengharuskan beberapa pihak menyetujui penarikan juga memberi efek rem terhadap pengeluaran. Tetapi ketika banyak orang terlibat, itu justru bisa menambah risiko. Kalau memakai cold wallet offline, peretasan juga bisa memakan waktu berjam-jam sehingga setidaknya memberi waktu untuk bereaksi.

    • Komik https://xkcd.com/538/ juga relevan.

  • Pertanyaan paling menentukan adalah mengapa penyerang tidak menguras bank/dana pensiun/kartu kredit juga. Secara realistis, bank jauh lebih serius menangani pembobolan rekening nasabah.

    • Yang sebenarnya dimaksud dengan "bank peduli" adalah misalnya mereka punya kebijakan mengganti kerugian jika rekening dibobol selama Anda telah mengambil langkah yang wajar. Karena itu, dari sudut pandang bank pun, penipuan bernilai besar jauh lebih diperhatikan. Sebagai referensi, bahkan 10 bulan lalu ada thread Reddit yang mengatakan kombinasi Coinbase-Google Authenticator adalah keamanan terbaik: thread Reddit kasus peretasan Coinbase

    • Di sisi lain, karena alasan inilah bank dan lembaga sejenis juga bermasalah saat memaksa orang hanya melakukan perbankan lewat aplikasi ponsel yang penuh fitur penguncian. Hampir tidak ada titik tengah antara sikap terlalu tidak percaya pada nasabah sendiri dan pemaksaan tanggung jawab kepada mereka.

    • Transfer dari rekening bank atau broker butuh waktu. Selama masa itu, jika korban menyadari penipuan dan melapor, rekening bisa dibekukan, jadi lebih mudah mencegah kerugian seketika.

    • Sebenarnya ada juga pendapat bahwa bank tidak terlalu peduli soal itu.

  • Kronologi kejadian ini terasa samar sehingga sulit dipahami. Kalau hanya dengan kode 2FA semua bisa dibobol, itu masalah yang sangat serius. Bisa jadi karena kata sandi yang sudah bocor, penggunaan ulang kata sandi, atau memang akun Google-nya sudah terekspos. Kalau benar hanya dengan kode 2FA lalu penyerang bisa menembus akun Google → aplikasi autentikasi → pengelola kata sandi, maka autentikasi kedua di layanan lain juga bisa runtuh berantai. Yang paling ingin saya ketahui adalah apakah ada penggunaan ulang kata sandi dalam proses ini. Catatan: saya bekerja di Google, tetapi bukan di tim keamanan.

    • Menurut saya penyerang kemungkinan sudah punya kata sandi saya, dan pada akhirnya hanya membutuhkan kode pemulihan yang saya bacakan lewat telepon. Saya tidak membagikan kata sandi itu dan juga tidak memakainya ulang, tetapi memang sudah lama tidak saya ganti.

    • Bahkan jika penyerang sudah memiliki kata sandi, dengan menguasai email dan kode 2FA mereka tetap bisa mengambil alih semua akun lewat reset kata sandi.

  • Tulisan aslinya kurang punya penjelasan teknis yang konkret, jadi cukup mengkhawatirkan bahwa bahkan pada 2025 Google masih belum bisa memblokir email @google.com yang "terlihat mirip" dengan benar. Tidak jelas apakah penyebabnya spoofing Unicode, ketiadaan autentikasi seperti DKIM, atau memang akun pengirimnya sendiri yang dibobol. Secara keseluruhan ceritanya terasa tidak konsisten.

    • Ide nama domain Unicode sendiri rasanya memang tidak pernah benar-benar berhasil. Secara realistis, pihak yang paling sering memanfaatkannya adalah penipu dan kriminal. Terima kasih, ICANN — tentu dalam nada sarkastik.

    • Aneh juga bahwa tidak dijelaskan bagaimana email itu bisa terlihat seolah dikirim dari domain google, padahal penulisnya mengaku bekerja di bidang keamanan. Tidak adanya penjelasan rinci itu sendiri terasa janggal.

  • Ada yang menyoroti bahwa tidak ada nasihat seperti "jangan simpan ratusan ribu dolar di akun Coinbase".

    • Saya sendiri dulu membagi kripto saya antara Coinbase dan hard disk yang rusak, dan sekarang hard disk itu tidak bisa dipulihkan.

    • Saya justru menyarankan untuk tidak berinvestasi di kripto sama sekali. Selain spekulasi dan pencucian uang, sulit melihat nilai praktis yang nyata, dan risikonya besar.