Pernahkah kamu saat membuka email menemukan pesan spam atau sampah yang ternyata berasal dari alamat email kamu sendiri? Jika demikian, kamu tidak sendiri. Teknik memalsukan alamat email disebut spoofing, tidak perlu khawatir karena ada sedikit hal yang bisa kamu lakukan.
Bagaimana Spammer Memalsukan Email
Sayangnya, spoofing email sangat mudah ditebak. Sistem email seringkali tidak memiliki pemeriksaan keamanan yang handal untuk memastikan alamat email yang kamu ketik di kolom "From" benar-benar milik kamu.
Ini sangat mirip amplop yang kamu masukkan ke dalam surat. Kamu dapat menulis apapun yang kamu inginkan di tempat alamat pengirim jika tidak peduli kantor pos tidak akan dapat mengembalikan surat kepada kamu. Kantor pos juga tidak memiliki cara untuk mengetahui apakah kamu benar-benar tinggal di alamat pengirim tersebut yang kamu tulis di amplop.
Penempaan email bekerja dengan cara yang sama. Beberapa layanan online, seperti Outlook.com, memperhatikan alamat From saat kamu mengirim email dan mungkin mencegah kamu mengirimnya menggunakan alamat palsu.
Namun, beberapa alat dapat memungkinkan kamu untuk mengisi apa saja yang kamu inginkan. Semudah membuat server email kamu sendiri (SMTP). Semua kebutuhan scammer tentang alamat email kamu, mungkin dapat mereka beli dari salah seorang yang melakukan pelanggaran data.
Mengapa Scammer Memalsukan Email?
Scammer mengirimi kamu email yang seolah berasal dari alamat kamu sendiri biasanya karena satu dari dua alasan.Yang pertama adalah dengan harapan mereka akan melewati perlindungan spam. Jika kamu mengirim email kepada diri sendiri, mungkin kamu akan mencoba mengingat sesuatu yang penting dan tentu ingin tidak pesan tersebut masuk kategori Spam. Jadi, dengan menggunakan alamat kamu scammer berharap filter spam akan kamu pedulikan, dan pesan mereka akan masuk.
Alasan kedua scammer menipu alamat email kamu adalah untuk mendapatkan rasa legitimasi. Tidak jarang email palsu yang mengklaim akun kamu sendiri ini dilakukan. Dengan "kamu mengirimi diri sendiri email" berfungsi sebagai bukti dari akses "hacker". Mungkin mereka juga memasukkan kata sandi atau nomor telepon yang diambil dari basis data yang dilanggar sebagai bukti lebih lanjut.
Scammer biasanya mengklaim bahwa mereka memiliki informasi tentang kamu atau memiliki gambar yang diambil melalui webcam perangkat yang kamu gunakan. Mereka kemudian mengancam untuk menyebarkan data tersebut ke orang terdekat kamu, kecuali jika kamu membayar uang tebusan. Kedengarannya bisa dipercaya, apalagi sepertinya mereka memiliki akses ke akun email kamu. Begitulah sekiranya alasan intinya — si penipu itu memalsukan bukti.
Apa Yang Dilakukan Layanan Email Untuk Mengatasi Masalah Seperti Ini?
Faktanya adalah siapa pun bisa memalsukan alamat email balasan dengan mudah dan hal ini bukanlah masalah baru. Para penyedia layanan email tidak ingin mengganggu kamu dengan spam, jadi ada alat yang dikembangkan untuk mengatasi masalah ini.
Yang pertama adalah kerangka kebijakan pengirim Sender Policy Framework (SPF), dan bekerja dengan beberapa prinsip dasar. Setiap domain email dilengkapi dengan satu set catatan Domain Name System (DNS), yang digunakan untuk mengarahkan lalu lintas ke server hosting atau komputer yang benar.
Catatan SPF bekerja dengan catatan DNS. Ketika kamu mengirim email, layanan penerima membandingkan alamat domain yang kamu sediakan (@gmail.com) dengan IP asal kamu dan catatan SPF berfungsi untuk memastikan bahwa semuanya cocok. Jika kamu mengirim email dari alamat Gmail, maka email itu juga harus menunjukkan bahwa itu berasal dari perangkat yang dikendalikan oleh Gmail.
Sayangnya, SPF sendiri tidak selalu dapat menyelesaikan masalah. Setiap orang harus menyimpan catatan SPF dengan benar di setiap domain, yang tidak selalu terjadi. Scammer juga mudah mengatasi masalah ini. Saat menerima email, mungkin kamu hanya melihat nama sebagai alamat email. Spammer mengisi satu alamat email untuk nama sebenarnya dan alamat pengirim lainnya yang cocok dengan catatan SPF. Jadi, kamu tidak akan menyadari bahwa itu adalah spam dan SPF pun tidak mengetahuinya.
Perusahaan juga harus memutuskan apa yang harus dilakukan atas dasar hasil SPF. Seringkali mereka puas dengan membiarkan email berlalu dari pada mempertaruhkan sistem hingga tidak dapat mengirimkan pesan penting. SPF tidak memiliki seperangkat aturan tentang apa yang harus dilakukan dengan informasi; itu hanya memberikan hasil diagnosa saja.
Untuk mengatasi masalah ini, Microsoft, Google, dan lainnya memperkenalkan sistem Domain-based Message Authentication, Reporting, and Conformance (DMARC). Sistem ini bekerja dengan SPF untuk membuat aturan tentang apa yang harus dilakukan pada email yang ditandai sebagai potensi spam. DMARC pertama-tama memeriksa pemindaian SPF. Jika gagal, maka akan menghentikan pesan, kecuali jika dikonfigurasi sebaliknya oleh administrator. Bahkan jika SPF lolos, DMARC akan memeriksa apakah alamat email yang diperlihatkan pada kolom “From” cocok dengan domain dari mana email tersebut berasal (ini disebut penyelarasan).
Sayangnya, bahkan dengan dukungan dari Microsoft, Facebook, dan Google, DMARC masih belum banyak digunakan. Jika kamu memiliki alamat Outlook.com atau Gmail.com, kemungkinan kamu akan mendapat manfaat dari DMARC. Namun, pada akhir 2017 lalu, hanya 39 perusahaan Fortune 500 yang telah menerapkan layanan validasi ini.
Apa Yang Harus Kamu Lakukan?
Sayangnya, tidak ada cara untuk mencegah spammer memalsukan alamat kamu. Semoga, sistem email yang kamu gunakan dapat mengimplementasikan SPF dan DMARC, dan kamu tidak akan melihat email yang ditargetkan ini. Mereka harus langsung masuk kotak spam.
Jika akun email kamu memberi kendali atas opsi spamnya, kamu bisa membuatnya lebih ketat. Ketahuilah bahwa kamu juga mungkin kehilangan beberapa pesan yang normal, jadi pastikan untuk selalu memeriksa kotak spam email yang kamu miliki.
Apabila kamu mendapatkan pesan palsu dari alamat kamu sendiri, maka abaikan saja. Jangan mengklik lampiran atau tautan / link apapun dan tidak membayar tebusan apapun yang diminta.
Tandai saja sebagai spam atau phishing, atau hapus sekalian. Jika takut akun kamu disusupi, kunci akun tersebut demi keamanan. Jika menggunakan kata sandi, setel ulang di setiap layanan sekarang juga, dan berikan masing-masing kata sandi baru yang unik pada setiap akun. Jika kamu tidak meyakini memori milikmu menyimpan begitu banyak kata sandi, kami sarankan untuk menggunakan pengelola kata sandi.
Jika khawatir menerima spoofing email dari kontak email kamu, mungkin sebaiknya kamu belajar untuk membaca header email.