Celah Google Gemini: Email Bisa Disusupi untuk Serangan Phishing!
Google Gemini for Workspace dilaporkan memiliki celah yang memungkinkan penyerang menyusupkan instruksi berbahaya ke dalam ringkasan email. Celah ini tidak menggunakan lampiran atau tautan langsung, sehingga membuat serangan lebih sulit terdeteksi.
Bagaimana Serangan Ini Bekerja
Metode ini memanfaatkan teknik indirect prompt injection instruksi tersembunyi yang dimasukkan ke dalam isi email. Instruksi tersebut dibuat tidak terlihat oleh pengguna melalui trik HTML dan CSS (misalnya teks berwarna putih dengan ukuran font nol).
Hasilnya:
- Email tampak normal tanpa tautan mencurigakan atau lampiran berbahaya.
- Saat pengguna meminta Gemini merangkum isi email, AI akan membaca instruksi tersembunyi dan mengeksekusinya.
- Contoh serangan: Gemini dapat menampilkan ringkasan palsu berupa peringatan keamanan Gmail yang menyesatkan, lengkap dengan nomor “dukungan palsu” yang justru mengarahkan korban ke phishing.
Karena banyak pengguna cenderung mempercayai ringkasan otomatis Gemini, risiko tertipu semakin tinggi.
Serangan ini pertama kali diungkap oleh Marco Figueroa, Manajer Program Bug Bounty GenAI Mozilla, melalui program 0din. Ia menunjukkan bahwa meskipun Google sudah menerapkan sejumlah proteksi sejak 2024, teknik ini tetap berhasil menipu sistem.
Google sendiri menegaskan bahwa hingga kini belum ada bukti serangan nyata dengan metode ini, namun mereka terus memperkuat sistem pertahanan melalui red-teaming dan pembaruan mitigasi keamanan.
Metode Deteksi & Mitigasi
Beberapa cara yang disarankan untuk mencegah serangan:
- Menghapus atau menetralkan konten tersembunyi di dalam body email.
- Menerapkan filter pasca-proses untuk mendeteksi ringkasan berisi pesan mendesak, nomor telepon, atau URL mencurigakan.
- Mengedukasi pengguna bahwa ringkasan Gemini bukan sumber utama dalam hal peringatan keamanan.
Kasus ini menunjukkan bahwa meski AI seperti Google Gemini semakin pintar, teknologi tersebut tetap rentan terhadap manipulasi kreatif. Penyerang tidak lagi harus mengandalkan tautan phishing klasik atau lampiran berbahaya cukup dengan “membisikkan instruksi tersembunyi” pada sistem AI. Kepercayaan berlebihan pada ringkasan AI bisa menjadi celah baru yang berbahaya. Waspada, jangan mudah percaya pada peringatan instan yang tidak terverifikasi.
IT’S TIME! INDONESIA PRIDE!
See the Different, Expect the Best!
Saatnya tunjukkan skill, jadi bagian dari Merah Putih Cyber Defender with VELSICURO-CYBER RANGES!
VELSICURO-CYBER RANGES platform latihan siber kelas dunia!
✅ Hands-on Simulation
✅ Cyberdrill
✅ 900+ Real-World Scenarios
✅ Certified Experts
Hubungi VelSicuro:
🌐 www.cyberranges.velsicuro.com
✉️ hub@velsicuro.co.id
☎️ 0878 9090 8898
#VelSicuro #CyberRanges #CyberDefenderIndonesia #IndonesiaGemilang #KeamananSiber #GenerasiDigital #LatihanSiber #CyberSecurity #BanggaIndonesia
