security-advisory
Waspadai Email Penipuan Phishing Cloud Storage
Panduan mengenali email phishing yang menyamar sebagai notifikasi cloud storage seperti Google Drive, OneDrive, SharePoint, Dropbox, dan file sharing bisnis.
Email penipuan yang menyamar sebagai notifikasi cloud storage semakin sering terlihat karena pola kerjanya dekat dengan kebiasaan sehari-hari. User sudah terbiasa menerima file dari Google Drive, OneDrive, SharePoint, Dropbox, WeTransfer, atau platform file sharing lain. Penyerang memanfaatkan kebiasaan itu: membuat email seolah-olah ada dokumen penting yang dibagikan, lalu mengarahkan korban ke halaman login palsu atau file berbahaya.
Artikel lama JABETTO mengingatkan pembaca untuk mewaspadai email penipuan phishing cloud storage. Versi refresh ini memperbarui konteksnya untuk 2026: modusnya lebih rapi, bisa memakai QR code, halaman login yang mirip asli, link redirect berlapis, dan pesan yang disesuaikan dengan proses bisnis seperti invoice, kontrak, HR, pajak, atau dokumen tender.
Mengapa cloud storage sering dipakai sebagai umpan?
Cloud storage punya kredibilitas alami. Ketika email mengatakan “file telah dibagikan kepada Anda”, user sering merasa itu bagian dari pekerjaan normal. Selain itu, banyak organisasi memang bekerja lintas perusahaan, sehingga file dari luar domain tidak selalu mencurigakan.
Penyerang juga tahu bahwa akses ke cloud storage biasanya terkait dengan akun email bisnis. Jika korban memasukkan password Microsoft 365 atau Google Workspace ke halaman palsu, akun tersebut bisa dipakai untuk membaca email, mengambil file, membuat forwarding rule, mengirim phishing lanjutan, atau memulai Business Email Compromise.
Contoh modus yang sering muncul
- File sharing palsu: email mengaku ada dokumen Google Drive, OneDrive, SharePoint, atau Dropbox yang harus dibuka.
- Invoice atau PO palsu: link bertema tagihan, purchase order, quotation, atau bukti pembayaran.
- Storage penuh: pesan mengancam akun akan dibatasi jika user tidak login.
- Dokumen kedaluwarsa: user diminta membuka link sebelum akses file dicabut.
- QR phishing: email berisi QR code yang mengarah ke halaman login palsu.
- Lampiran HTML: file HTML lokal membuka form login palsu atau redirect ke situs phishing.
- Notifikasi dari akun kompromi: email datang dari akun vendor atau rekan bisnis yang benar-benar sudah diambil alih.
Tanda bahaya pada email cloud storage
| Tanda | Mengapa berbahaya | Respons aman |
|---|---|---|
| Link meminta login ulang di halaman yang tidak dikenal | Bisa menjadi credential phishing. | Buka layanan dari bookmark atau portal resmi, bukan dari link email. |
| Pengirim tidak sesuai konteks pekerjaan | Bisa spam, scam, atau akun pihak ketiga yang disalahgunakan. | Verifikasi ke pengirim lewat kanal lain. |
| Dokumen bertema urgent, invoice, pembayaran, atau HR | Tema ini sering memancing klik cepat tanpa verifikasi. | Periksa domain, konteks, dan proses approval internal. |
| QR code untuk membuka file | QR dapat melewati kebiasaan pemeriksaan link di desktop. | Jangan scan QR dari email bisnis tanpa konfirmasi. |
| Lampiran HTML atau archive | Sering dipakai untuk form login palsu atau malware. | Laporkan ke IT/security sebelum membuka. |
| Bahasa email menekan atau mengancam | Urgency palsu membuat user melewati proses normal. | Berhenti, verifikasi, lalu laporkan bila mencurigakan. |
Dampak untuk bisnis
Risiko utamanya bukan hanya satu user terkena scam. Jika kredensial email bisnis bocor, penyerang dapat masuk ke mailbox, mempelajari percakapan invoice, membuat rule forwarding, mencari file sensitif, dan mengirim email lanjutan dari akun yang dipercaya. FBI menjelaskan Business Email Compromise sebagai penipuan ketika pesan tampak berasal dari sumber yang dikenal dan meminta aksi yang terlihat sah.
Dalam kasus yang lebih serius, akun cloud storage atau email yang kompromi dapat menjadi jalan menuju kebocoran data, fraud pembayaran, atau akses awal ke serangan ransomware.
Kontrol teknis yang disarankan
- MFA: wajibkan MFA untuk email, cloud storage, admin console, dan aplikasi bisnis.
- Phishing-resistant MFA: untuk admin dan user berisiko tinggi, pertimbangkan FIDO2/WebAuthn/security key.
- Email filtering: gunakan proteksi terhadap URL berbahaya, attachment, spoofing, impersonation, dan QR phishing.
- SPF, DKIM, DMARC: bantu mengurangi spoofing domain perusahaan.
- Safe Links/Safe Attachments atau sandboxing: periksa link dan file sebelum sampai ke user atau saat diklik.
- External sender warning: beri tanda pada email dari luar organisasi.
- Cloud sharing policy: batasi sharing eksternal, anonymous link, download, dan permission edit bila tidak diperlukan.
- Mailbox monitoring: pantau forwarding rule, inbox rule baru, login anomali, dan consent aplikasi mencurigakan.
Kebiasaan aman untuk user
- Jangan login dari link file sharing yang tidak diharapkan.
- Buka Google Drive, OneDrive, atau SharePoint dari aplikasi resmi atau bookmark, lalu cek file dari sana.
- Periksa domain login. Halaman Microsoft atau Google palsu sering memakai domain yang mirip tetapi bukan domain resmi.
- Konfirmasi ke pengirim jika dokumen berhubungan dengan pembayaran, kontrak, pajak, atau data sensitif.
- Jangan scan QR code dari email tanpa verifikasi.
- Laporkan email mencurigakan ke IT/security, jangan hanya dihapus.
- Jika sudah terlanjur memasukkan password, segera lapor agar session, password, MFA, dan mailbox rule bisa diperiksa.
Jika sudah terlanjur klik atau login
Respons cepat lebih penting daripada rasa malu. Semakin cepat user melapor, semakin besar peluang mencegah account takeover berkembang menjadi insiden bisnis.
- Ganti password dari perangkat yang bersih.
- Cabut session aktif dan token aplikasi jika platform mendukung.
- Reset MFA jika ada indikasi MFA ikut disalahgunakan.
- Periksa inbox rule, forwarding, delegated access, app password, dan consent aplikasi.
- Review login log dan aktivitas cloud storage.
- Beritahu kontak terkait bila email phishing sudah terkirim dari akun korban.
Kesimpulan
Email phishing cloud storage efektif karena terlihat seperti pekerjaan sehari-hari. File sharing, invoice, dokumen kontrak, dan link OneDrive atau Google Drive adalah konteks yang akrab bagi user. Justru karena itulah organisasi perlu membuat kebiasaan verifikasi yang sederhana dan kontrol teknis yang kuat.
Perlindungan terbaik menggabungkan edukasi user, MFA, email filtering, URL/attachment protection, DMARC, cloud sharing policy, dan monitoring mailbox. Jangan hanya bertanya apakah email terlihat rapi; tanyakan apakah konteksnya masuk akal, domainnya benar, dan proses bisnisnya sesuai.
Sumber rujukan
- CISA: Phishing Guidance - Stopping the Attack Cycle at Phase One
- FBI: Business Email Compromise
- Microsoft Support: Protect yourself from phishing
- Microsoft Learn: Safe Attachments for SharePoint, OneDrive, and Teams
- Google Drive Help: Learn how Google Drive helps keep files secure
- Microsoft Learn: Cloud data security measures in SharePoint and OneDrive