Beberapa waktu lalu seorang user bertanya di Google Help Forum tentang link mencurigakan yang ia terima. Ia menerima pesan (mungkin melalui email atau SMS) yang memintanya mengkonfirmasi lokasi hotelnya dengan mengklik link berikut: https://accounts.googlemaps.com/signin/v2/identifier?zn=cc6&vi=a20cHM3421cuZ24vZ2xlLmsmapsYXBr
Dan saya pun ikut tertipu sodara-sodara.
Jadi, yang pertama saya lakukan adalah mengecek domain googlemaps.com di Whois, dan hasilnya name servernya adalah Google.com. Kemudian saya klik link tersebut, dan terbukalah tampilan halaman login Google account seperti di bawah ini:
Awalnya, tampilannya seperti asli halaman akun Google kan ya. Jadi saya memberanikan diri mencoba login, dengan memasukkan password saya (DON’T TRY THIS AT HOME). Ketika saya klik lanjut, ada peringatan dari browser Chrome bahwa tindakan saya berbahaya. Situs ini tidak dapat dipercaya, atau semacam itulah. Saya lupa kalimat tepatnya. Lalu tidak terjadi apa-apa. Halamannya kosong. Saya masih santai.
Sekitar satu jam kemudian, tiba-tiba saya mendapat email peringatan bertubi-tubi dari Gmail bahwa seseorang berusaha login ke akun saya. Dan orang itu lokasinya di Cardiff, UK. Wah, saya langsung siaga satu. Ini belum pernah terjadi sebelumnya soalnya.
Tapi untungnya, saya sudah mengaktifkan verifikasi 2 langkah di Gmail saya, dan pakai kunci keamanan segala. Tapi meskipun begitu, saat itu saya langsung ganti password seketika. Pakai password yang lebih kuat lagi dari sebelumnya.
Karena insiden tersebut, saya kembali membuka thread di forum tadi dan mengamati linknya. Barulah saya sadari ternyata link tersebut hanya teks anchor. Kalau kita mengarahkan kursor di link tersebut atau mencoba klik kanan lalu copy link address, maka akan terlihat link aslinya:
https://accounts.maps.google.com.session-timeout-relogin-account.tk/BZzjmGCO
Session-timeout-relogin-account.tk jelas bukan domain Google. Ini adalah phishing –atau pengelabuan, istilah yang digunakan di Wikipedia– yang berkedok domain Google.
Jadi begitulah, pelajaran moralnya: berhati-hatilah ketika mengklik link, karena belum tentu link tersebut adalah link yang kita kira link. 🙂
Kalau mau latihan menebak mana phishing mana bukan, ini ada permainan kuis yang lumayan bermanfaat: https://phishingquiz.withgoogle.com (ehm, jangan khawatir, ini link asli dari situs Google kok :))
