Tekniknya cukup rumit: mereka mendaftarkan domain baru, membuat akun Google dengan alamat mirip (contoh: me@domain.com), lalu menciptakan aplikasi OAuth berisi pesan phishing tersembunyi.
Ketika Google mengirimkan notifikasi keamanan ke alamat palsu tersebut, email tampak sah secara teknis.
Dari situ, email ini diteruskan ke target sasaran — sehingga korban melihat email yang seolah-olah benar-benar dikirim oleh Google.
Yang perlu dipahami, validasi DKIM hanya memeriksa isi dan header email, bukan amplop atau jalur pengiriman sebenarnya.
Itulah sebabnya email palsu ini bisa lolos sebagai pesan valid di sistem keamanan Gmail.
Bukan hanya Gmail yang rentan.
Teknik serupa telah digunakan untuk menyerang akun PayPal, dengan pelaku mengandalkan fitur ‘gift address’ guna mengirimkan email konfirmasi palsu yang juga sukses menipu pemeriksaan DKIM.
Ahli keamanan dari EasyDMARC memperingatkan, metode ini sangat berbahaya.
Banyak korban tidak menyadari bahwa mereka diarahkan ke situs palsu yang nyaris sama persis dengan tampilan resmi.
Oleh sebab itu, pengguna Gmail dan platform digital lainnya diimbau untuk selalu waspada. Jangan mudah percaya pada email, sekalipun tampilannya tampak resmi dan sempurna.
Ingat: selalu verifikasi ulang semua permintaan akses akun atau informasi keuangan, terutama jika berasal dari email yang tidak biasa.
