Kaspersky Bongkar Modus Phishing Google Tasks 2026: Pakai Notifikasi Resmi, Curi Akun Perusahaan

Suara.com - Peneliti dari Kaspersky mengungkap kampanye phishing terbaru yang memanfaatkan notifikasi resmi Google Tasks untuk mencuri kredensial login perusahaan.

Modus ini terbilang berbahaya karena memanfaatkan domain email @google.com dan sistem notifikasi sah milik Google. 

Alhasil, email berbahaya tersebut mampu melewati banyak filter keamanan tradisional dan tampil seolah-olah sebagai komunikasi internal yang valid.

Notifikasi “Anda Memiliki Tugas Baru” Jadi Umpan

Dalam kampanye yang terdeteksi pada Februari 2026 ini, korban menerima email dengan subjek “Anda memiliki tugas baru”. 

Notifikasi terlihat sepenuhnya autentik, lengkap dengan format khas Google.

Pesan tersebut menciptakan kesan bahwa perusahaan telah mengadopsi sistem manajemen tugas berbasis Google. 

Untuk memperkuat tekanan psikologis, penyerang menyematkan elemen urgensi seperti tanda prioritas tinggi dan tenggat waktu ketat.

Skema ini dirancang untuk membuat korban bertindak cepat tanpa sempat memverifikasi keaslian pesan.

Baca Juga: Serangan Email Berbahaya di Tahun 2025 Naik 15 Persen

Dialihkan ke Halaman “Verifikasi Karyawan” Palsu

Ketika tautan dalam notifikasi diklik, korban diarahkan ke halaman palsu yang menyamar sebagai formulir “employee verification” atau verifikasi karyawan.

Di halaman tersebut, karyawan diminta memasukkan kredensial perusahaan dengan alasan untuk mengonfirmasi status internal mereka. Padahal, data login yang dimasukkan langsung jatuh ke tangan pelaku.

Kredensial yang dicuri ini dapat dimanfaatkan untuk akses ilegal ke sistem internal perusahaan, pencurian data sensitif, serangan lanjutan seperti Business Email Compromise (BEC), dan penyebaran malware ke jaringan korporat.

Roman Dedenok, Pakar Anti-Spam di Kaspersky, menegaskan bahwa kampanye ini merupakan bagian dari tren yang terus berkembang.

“Ekosistem layanan Google yang luas dieksploitasi oleh penipu. Skema dengan Google Tasks adalah bagian dari tren lebih luas yang diamati sebelumnya dan berlanjut hingga tahun 2026, di mana pelaku kejahatan siber menyalahgunakan platform sah untuk menyebarkan penipuan dan phishing,” ujarnya.