KSATRIA | Jakarta–Penelitian dari yang dilakukan oleh Zimperium baru-baru ini menemukan adanya serangan phishing yang menyalahgunakan Google Formulir. Mengatasnamakan 23 merek, perusahaan, dan lembaga pemerintah, pelaku membuat kesan seolah-olah formulir itu berasal dari institusi resmi. Jika terkecoh, pelaku akan mendapatkan kata sandi akun digitalnya.

Ketua Indonesia Cyber Security Forum (ICSF) Ardi Sutedja, meminta masyarakat harus teliti dan waspada setiap kali akan mengisi Google Formulir, terlebih jika pengisian formulir tersebut meminta data pribadi dan informasi sensitif.

“Sebenarnya Google Form-nya itu sendiri sih secure, hanya saja perlu ketelitian dan kewaspadaan dari pihak yang akan mengisi formulir tersebut,” ungkap Ardi seperti dilansir Cyberthreat.id, Sabtu (7/11/2020).

Menurut Ardi, yang menjadi persoalan saat ini, tidak semua pengguna yang memanfaatkan Google Formulir paham tentang sekuriti dan enkripsi. Sehingga masih kurang paham bagaimana cara mengamankan konten yang dibuat menggunakan Google Formulir.

“Seperti yang saya selalu katakan, banyak yang menggunakan teknologi tanpa benar-benar memahami teknologi itu seperti apa,” kata Ardi.

Untuk itu, Ardi meminta kepada masyarakat sebelum mengisi survey apapun melalui Foogle Formulir untuk memperhatikan informasi apa saja yang diminta. Jika meminta informasi pribadi dan juga kata sandi, sebaiknya tidak perlu diberikan, atau tidak perlu mengisi survei tersebut.

“Google Form ini bisa dijadikan sarana kejahatan siber, untuk pencurian informasi hingga phising,” ujarnya.

Sebelumnya diberitakan, penelitian oleh Zimperium menemukan penyalahgunaan Google Formulir menggunakan sejumlah merek seperti AT&T. Pelaku meminta pengguna mengisi formulir yang dibuat seolah berasal dari perusahaan tersebut. Pengguna diminta mengisi data pribadi termasuk kata sandi akun AT&T milik mereka.

“Dalam analisis kami, lebih dari 70 persen situs menargetkan AT&T (atau Yahoo dan AT&T bersama-sama)” tulis peneliti Zimperium, Senin (3/11/2020)

Selain AT&T, penyerang juga mengatasnamakan beberapa merek besar lainnya termasuk organisasi keuangan seperti Citibank dan Capital One, serta aplikasi kolaborasi seperti Microsoft OneDrive dan Outlook, serta lembaga pemerintah seperti IRS (Internal Revenue Service) dan Mexican Government .

Dalam contoh phising yang diperlihatkan Zimperium, penyerang meminta pengguna memasukkan kredensial seperti email dan kata sandinya, lalu mengklik “kirim”.

Meskipun di Google Formulir ada peringatan untuk tidak mengisikan kata sandi, menurut peneliti, korban banyak mengabaikan peringatan tersebut. [adm]