Platform email terpercaya kini menjadi pintu masuk paling mudah bagi para penyerang
Spam bukan lagi sekadar gangguan; sekarang ini, spam berfungsi sebagai bahan bakar untuk serangan phishing yang sukses. Mungkin banyak yang nggak sadar, tetapi spam yang masuk ke kotak masuk kita bukan hanya annoying—dia mempunyai tujuan yang jauh lebih sinister.
Berdasarkan Laporan Tren Ancaman Email Q1 2026 dari VIPRE Security Group, spam komersial kini menyumbang 46% dari semua spam yang terdeteksi di seluruh dunia. Dari jumlah itu, 33% berasal dari akun yang sudah terkompromi, sementara 32% berasal dari layanan email gratis yang banyak digunakan, seperti Gmail. Mengkhawatirkan, kan?
Mengherankannya lagi, hampir dua pertiga dari spam ini berasal dari infrastruktur yang berlokasi di Amerika Serikat, yang juga jadi target utama, mencakup 60% dari semua volume spam komersial. Bayangin, inbox kita terancam dari all corners of the globe!
Spam komersial merangsang phishing dan kelelahan pengguna
Spam komersial bukan cuma masalah kecil. Dia bikin pengguna lelah dan lebih rentan terhadap upaya phishing. Ketika inbox kita penuh, kita jadi kurang waspada, membuat kita lebih mungkin untuk terjerat pesan-pesan jahat tanpa berpikir panjang.
Serangan phishing semakin mengandalkan subjek email yang menyesatkan, bahasa yang agresif, dan promosi mendesak yang dirancang untuk memicu reaksi cepat dari penerima. Hal ini jelas banget, karena spam terus-menerus menyebabkan stres dan kelelahan di kalangan pengguna.
Dalam serangan-serangan ini, tautan jahat adalah senjata paling efektif, muncul di lebih dari setengah email phishing yang dianalisis. Malah, lebih dari 89% infrastruktur phishing merupakan tautan yang disalahgunakan, menunjukkan kecenderungan untuk memanipulasi tautan yang terlihat sah.
Karena itu, merek besar seperti Microsoft sering menjadi target pemalsuan, biasanya melalui “open redirects” yang dimulai dari domain terpercaya sebelum mengarah ke tujuan berbahaya.
Penyerang menghindari deteksi dengan infrastruktur terpercaya
Saat alat deteksi semakin canggih dalam mengidentifikasi domain yang baru terdaftar, penyerang menyesuaikan strategi mereka alih-alih mundur. Usman Choudhary, General Manager VIPRE Security Group, mengatakan, “Penyerang berani menggunakan teknik yang rumit untuk menghindari deteksi, sambil menggunakan pemicu emosional untuk memanipulasi dan menghancurkan kepercayaan.”
Mereka tidak lagi membuat domain baru, tetapi menggunakan alamat web yang dikenal dan dapat dipercaya untuk menyatu dan mempertahankan kesan tidak mencurigakan. Penyerang juga kian sering menggunakan Cloudflare untuk menyembunyikan tautan phishing di balik sistem perlindungan CAPTCHA dan bot, sehingga mempersulit alat pengecekan keamanan untuk mencapai konten jahat yang sebenarnya.
Ini adalah permainan yang sangat licik. Diabadikan di semua taktik ini, phishing dengan panggilan balasan terus naik daun sebagai metode penipuan yang bisa diandalkan. Biasanya, mereka menggunakan faktur palsu, pembaruan langganan, atau pemberitahuan akun mendesak untuk mendorong korban agar menghubungi mereka.
Sayangnya, penyedia layanan email gratis seperti Gmail memiliki motivasi kecil untuk memfilter spam komersial dengan keras, mengingat hal itu dapat meningkatkan metrik keterlibatan pengguna. Akibatnya, bahkan alat email yang paling aman pun berjuang ketika perilaku pengguna menciptakan titik eksposur tambahan, dan banyak ancaman tampak berasal dari sumber yang sah.
Sampai bisnis memberlakukan kebijakan ketat tentang penggunaan email yang dapat diterima dan menerapkan alat deteksi modern yang menganalisis perilaku bukan hanya konten, kelelahan ini akan terus meningkat, dan klik menuju tautan berbahaya akan terus berlanjut.
