2025-07-17T20:08:57Z

---

Bayangkan jika setiap email yang Anda terima bisa jadi jebakan untuk mencuri informasi pribadi Anda! Baru-baru ini, Google mengeluarkan peringatan mendesak untuk lebih dari satu miliar pengguna Gmail mengenai ancaman baru yang mengintai di balik layar.

Dengan lebih dari 1,8 miliar akun Gmail di seluruh dunia, serangan ini telah menyelinap tanpa terdeteksi oleh pengguna, meninggalkan jejak yang samar namun berbahaya. Menurut laporan dari The Sun, para hacker telah menemukan cara cerdik untuk memanfaatkan alat AI yang dimiliki Google, yaitu Gemini, untuk mencuri kredensial pengguna.

Para penjahat siber ini mengirimkan email dengan instruksi tersembunyi yang mengelabui Gemini untuk menghasilkan peringatan phishing palsu. Dalam situasi ini, pengguna yang tidak curiga akan diarahkan untuk memberikan informasi akun pribadi mereka atau bahkan mengunjungi situs web berbahaya. Email-email tersebut sering kali dirancang untuk terdengar mendesak, sering kali tampak seolah berasal dari perusahaan terpercaya.

Menurut laporan, hacker akan membuat email dengan mengatur ukuran font menjadi nol dan warna teks menjadi putih, sehingga instruksi yang dapat dibaca oleh Gemini tetap tersembunyi dari pandangan pengguna. Marco Figueroa, manajer GenAI bounty, menunjukkan bagaimana perintah berbahaya bisa memicu peringatan palsu yang mengklaim bahwa akun email pengguna telah disusupi. Hal ini bisa membuat korban menghubungi nomor telepon "dukungan Google" palsu untuk memperbaiki masalah yang sebenarnya tidak ada.

Para ahli keamanan telah memberikan beberapa rekomendasi untuk membantu pengguna melawan serangan injeksi perintah ini. Saran pertama adalah bagi perusahaan untuk mengonfigurasi klien email agar dapat mendeteksi dan menetralkan konten tersembunyi dalam badan pesan. Langkah ini dapat membantu melawan upaya hacker yang mengirimkan teks tak terlihat di dalam email.

Para ahli juga menyarankan pengguna untuk menggunakan filter pasca-pemrosesan untuk memindai kotak masuk mereka mencari hal-hal seperti 'pesan mendesak,' URL, atau nomor telepon. Langkah ini dapat memperkuat pertahanan terhadap ancaman yang semakin berkembang.

Skema penipuan ini terungkap berkat penelitian yang dipimpin oleh tim keamanan Mozilla 0Din, yang menunjukkan bukti salah satu serangan berbahaya minggu lalu. Laporan tersebut menjelaskan bagaimana hacker menipu Gemini untuk menampilkan peringatan keamanan palsu. Mereka memperingatkan pengguna bahwa kata sandi mereka telah dicuri, padahal pesan itu sepenuhnya palsu dan dirancang untuk mencuri informasi penting.

Trik ini bekerja dengan menyembunyikan perintah dengan ukuran font nol dalam teks putih yang sesuai dengan latar belakang email. Ketika seseorang mengklik 'ringkasan email ini' menggunakan Gemini, alat tersebut membaca pesan tersembunyi, bukan hanya bagian yang terlihat. Manipulasi ini disebut 'injeksi perintah tidak langsung,' dan memanfaatkan ketidakmampuan AI untuk membedakan antara pertanyaan pengguna dan pesan yang disisipkan oleh hacker.

AI tidak dapat membedakan antara keduanya, karena keduanya hanya terlihat seperti teks, dan biasanya akan mengikuti mana yang muncul terlebih dahulu, bahkan jika itu berbahaya. Sayangnya, karena Google belum memperbaiki cara penipuan ini, para hacker masih dapat memanfaatkan teknik ini secara efektif. Menyusupkan perintah yang mungkin diikuti oleh AI akan tetap menjadi cara yang berhasil untuk membocorkan data sensitif hingga pengguna benar-benar terlindungi dari ancaman ini.

AI juga terintegrasi ke dalam Google Docs, Calendar, dan aplikasi pihak ketiga, yang meningkatkan risiko potensi. Selama krisis penipuan ini, Google mengingatkan pengguna bahwa mereka tidak mengirimkan peringatan keamanan melalui ringkasan Gemini.