Jakarta – Waspada terhadap email yang datang dari Microsoft. Para pelaku kejahatan siber dilaporkan berhasil mencatut alamat email resmi Microsoft untuk menyebarkan tautan berbahaya yang mengarah pada penipuan phishing. Modus ini sangat mengkhawatirkan karena menargetkan kepercayaan pengguna terhadap komunikasi dari perusahaan teknologi raksasa tersebut.
Banyak pengguna media sosial belakangan ini melaporkan menerima email yang tampak resmi dari Microsoft. Namun, setelah diperiksa lebih teliti, email tersebut ternyata merupakan jebakan. Alamat pengirim yang digunakan adalah [email protected], sebuah alamat yang memang lazim digunakan oleh Microsoft untuk berbagai notifikasi penting.
Keberhasilan penipu dalam menyalahgunakan alamat email resmi ini sangat meresahkan. Hal ini karena email yang dikirim sering kali menggunakan templat standar Microsoft, membuatnya sulit dibedakan dari komunikasi yang sah. Pengguna awam yang tidak curiga bisa dengan mudah terperdaya oleh tampilan yang meyakinkan ini.
Modus Penipuan yang Semakin Canggih
Penipuan ini bekerja dengan memanfaatkan celah dalam sistem notifikasi email Microsoft. Pelaku kejahatan membuat akun Microsoft 365 sekali pakai, lalu mengeksploitasi konfigurasi “Tenant Branding” di dalam Microsoft Entra ID. Mereka memodifikasi kolom ‘Nama’ pada properti tenant untuk menyertakan pesan peringatan keuangan palsu atau tawaran menarik.
Selanjutnya, pelaku memperdayai Microsoft untuk mengirimkan email kode verifikasi ke alamat email target. Cara ini dilakukan dengan cara meminta Microsoft untuk menambahkan alamat email korban ke dalam akun Microsoft milik pelaku. Ketika email dikirimkan oleh sistem Microsoft, nama yang tertera di baris subjek akan menampilkan pesan palsu yang telah disiapkan oleh penipu, bukan nama layanan resmi.
Akibatnya, email penipuan ini berhasil lolos dari filter spam dan pendeteksi penipuan yang biasanya terpasang di kotak masuk pengguna. Alamat email resmi yang digunakan memberikan kesan kredibilitas, membuat korban lebih mungkin untuk mengklik tautan yang mencurigakan.
Ciri-ciri Email Phishing yang Perlu Diwaspadai
Meskipun menggunakan alamat pengirim resmi, ada beberapa ciri yang patut dicurigai pada email phishing semacam ini. Subjek email sering kali berisi kata kunci yang tidak biasa, seperti promosi Bitcoin atau tawaran untuk mengunjungi situs web pihak ketiga yang tidak berhubungan dengan layanan Microsoft.
Selain itu, subjek email juga terkadang mencantumkan nomor telepon yang tidak dikenal atau tautan situs web yang tidak terafiliasi dengan Microsoft. Penting untuk diingat bahwa meskipun alamat email tampak resmi, isi dan tujuan email yang menyimpang dari komunikasi normal Microsoft adalah indikator kuat adanya penipuan.
Alamat email [email protected] sendiri biasanya digunakan untuk mengirimkan notifikasi penting. Ini termasuk kode autentikasi dua faktor (2FA) yang krusial untuk keamanan akun, serta peringatan mendesak lainnya yang berkaitan dengan aktivitas akun pengguna. Penggunaan alamat ini oleh penipu menjadi sangat berbahaya karena menargetkan momen ketika pengguna paling rentan.
Laporan Keamanan Siber Ungkap Detail Modus
Masalah ini tampaknya telah berlangsung selama beberapa bulan, meskipun baru dilaporkan secara luas di media sosial belakangan ini. Sebuah laporan dari perusahaan keamanan siber Abnormal yang dirilis pada Januari 2026 memberikan gambaran rinci mengenai bagaimana penipu menyalahgunakan sistem notifikasi email Microsoft.
Laporan tersebut, yang dikutip dari Mashable pada Jumat (22/5/2026), menjelaskan bahwa serangan dimulai dengan pelaku membuat akun Microsoft 365 palsu. “Eksploitasi intinya terletak pada konfigurasi Tenant Branding di dalam Microsoft Entra ID,” tulis Abnormal dalam laporannya.
“Penipu mengarah ke Tenant Properties dan memodifikasi kolom ‘Nama’ untuk memuat pesan peringatan keuangan palsu,” sambung laporan tersebut. Dengan memanfaatkan fitur ini, penipu berhasil mengelabui Microsoft untuk mengirimkan email yang berisi pesan berbahaya kepada korban.
Teknik ini menunjukkan betapa cerdiknya para pelaku kejahatan siber dalam mencari dan mengeksploitasi celah keamanan. Mereka tidak hanya mengincar informasi pribadi, tetapi juga berusaha mengelabui sistem resmi agar pesan penipuan mereka terlihat sah.
Tips Menjaga Keamanan dari Serangan Phishing
Menghadapi ancaman yang semakin canggih ini, kesadaran dan kewaspadaan pengguna internet menjadi garda terdepan. Penting untuk selalu membaca setiap email dengan seksama, bahkan jika pengirimnya tampak terpercaya. Periksa kembali alamat email pengirim, subjek, dan isi pesan untuk mencari ketidakwajaran.
Jika Anda menerima email yang mencurigakan yang mengaku dari Microsoft atau perusahaan lain, jangan pernah mengklik tautan atau mengunduh lampiran. Segera hapus email tersebut dan jika perlu, laporkan sebagai spam atau email penipuan kepada penyedia layanan email Anda.
Pastikan juga Anda telah mengaktifkan autentikasi dua faktor (2FA) untuk semua akun online penting Anda, termasuk akun Microsoft. Fitur ini memberikan lapisan keamanan tambahan yang sangat efektif dalam mencegah akses tidak sah, meskipun kata sandi Anda bocor.
Perusahaan seperti Microsoft terus berupaya meningkatkan sistem keamanan mereka untuk melawan ancaman phishing. Namun, peran pengguna dalam menjaga kewaspadaan tetap menjadi kunci utama dalam melindungi diri dari kerugian finansial dan pencurian identitas yang dapat disebabkan oleh serangan siber.
Tinggalkan komentar