Kaspersky Bongkar Modus Phishing Google Tasks 2026: Pakai Notifikasi Resmi, Curi Akun Perusahaan

Suara.com - Peneliti dari Kaspersky mengungkap kampanye phishing terbaru yang memanfaatkan notifikasi resmi Google Tasks untuk mencuri kredensial login perusahaan.

Modus ini terbilang berbahaya karena memanfaatkan domain email @google.com dan sistem notifikasi sah milik Google. 

Alhasil, email berbahaya tersebut mampu melewati banyak filter keamanan tradisional dan tampil seolah-olah sebagai komunikasi internal yang valid.

Notifikasi “Anda Memiliki Tugas Baru” Jadi Umpan

Dalam kampanye yang terdeteksi pada Februari 2026 ini, korban menerima email dengan subjek “Anda memiliki tugas baru”. 

Notifikasi terlihat sepenuhnya autentik, lengkap dengan format khas Google.

Pesan tersebut menciptakan kesan bahwa perusahaan telah mengadopsi sistem manajemen tugas berbasis Google. 

Untuk memperkuat tekanan psikologis, penyerang menyematkan elemen urgensi seperti tanda prioritas tinggi dan tenggat waktu ketat.

Skema ini dirancang untuk membuat korban bertindak cepat tanpa sempat memverifikasi keaslian pesan.

Baca Juga: Serangan Email Berbahaya di Tahun 2025 Naik 15 Persen

Dialihkan ke Halaman “Verifikasi Karyawan” Palsu

Ketika tautan dalam notifikasi diklik, korban diarahkan ke halaman palsu yang menyamar sebagai formulir “employee verification” atau verifikasi karyawan.

Di halaman tersebut, karyawan diminta memasukkan kredensial perusahaan dengan alasan untuk mengonfirmasi status internal mereka. Padahal, data login yang dimasukkan langsung jatuh ke tangan pelaku.

Kredensial yang dicuri ini dapat dimanfaatkan untuk akses ilegal ke sistem internal perusahaan, pencurian data sensitif, serangan lanjutan seperti Business Email Compromise (BEC), dan penyebaran malware ke jaringan korporat.

Roman Dedenok, Pakar Anti-Spam di Kaspersky, menegaskan bahwa kampanye ini merupakan bagian dari tren yang terus berkembang.

“Ekosistem layanan Google yang luas dieksploitasi oleh penipu. Skema dengan Google Tasks adalah bagian dari tren lebih luas yang diamati sebelumnya dan berlanjut hingga tahun 2026, di mana pelaku kejahatan siber menyalahgunakan platform sah untuk menyebarkan penipuan dan phishing,” ujarnya.

Ia menambahkan bahwa penggunaan domain resmi menjadi senjata utama pelaku.

“Notifikasi yang berasal dari domain yang sah secara alami menghindari banyak filter spam dan phishing, sementara aspek rekayasa sosial, membuatnya tampak seperti proses internal perusahaan sehingga berpotensi menurunkan kewaspadaan korban,” jelasnya.

Kenapa Serangan Ini Berbahaya?

Berbeda dengan phishing konvensional yang menggunakan domain mencurigakan, metode ini memanfaatkan infrastruktur terpercaya. Artinya, sistem keamanan berbasis reputasi domain bisa saja menganggap email tersebut aman.

Serangan ini juga menunjukkan pergeseran strategi pelaku dari teknik teknis ke manipulasi psikologis (social engineering) yang lebih halus.

Dengan meningkatnya adopsi layanan berbasis cloud di lingkungan kerja, serangan yang memanfaatkan platform populer diprediksi akan semakin sering terjadi sepanjang 2026.