Frankenstein45.Com – 29 April 2026 | Pengguna platform investasi Robinhood menghadapi ancaman baru yang memanfaatkan fitur unik Gmail yang dikenal sebagai “dot alias“. Penipu siber berhasil menyusup ke dalam alur pembuatan akun Robinhood, memanfaatkan kelemahan tersebut untuk mengirimkan email resmi palsu yang mengarahkan korban ke situs phishing berbahaya.
Cara Kerja Skema Phishing
Gmail memperbolehkan variasi alamat email dengan menambah atau menghilangkan titik (.) pada bagian nama pengguna tanpa mengubah tujuan pengiriman. Misalnya, jane.smith@gmail.com dan janesmith@gmail.com akan diarahkan ke kotak masuk yang sama. Robinhood, sebaliknya, menganggap setiap variasi sebagai akun terpisah. Penipu memanfaatkan perbedaan perlakuan ini dengan membuat akun Robinhood baru menggunakan versi tanpa titik dari alamat email target.
Setelah akun palsu terdaftar, penipu mengisi kolom opsional “device name” dengan kode HTML berbahaya. Gmail tidak menyaring kode tersebut, sehingga ketika Robinhood mengirimkan email notifikasi login terbaru, HTML yang disisipkan tetap aktif. Hasilnya, email yang tampak berasal dari noreply@robinhood.com lolos semua pemeriksaan autentikasi (SPF, DKIM, DMARC), namun berisi teks peringatan palsu dan tombol yang mengarahkan ke halaman login palsu.
Modus Operandi Penipu
- Identifikasi alamat email pengguna Robinhood yang diketahui publik atau bocor.
- Mengubah alamat tersebut menjadi varian tanpa titik untuk pembuatan akun baru di Robinhood.
- Memasukkan kode HTML berbahaya pada field “device name” selama proses registrasi.
- Menunggu sistem otomatis mengirim email notifikasi login kepada alamat email asli korban.
- Korban mengklik tautan phishing, memasukkan kredensial, dan kehilangan akses akun.
Dampak dan Respons Robinhood
Setelah laporan pengguna bermunculan di media sosial, tim dukungan Robinhood mengonfirmasi adanya email palsu dengan subjek “Your recent login to Robinhood”. Pernyataan resmi menegaskan bahwa insiden ini bukan hasil peretasan sistem internal, melainkan penyalahgunaan alur pembuatan akun. Tidak ada data pribadi atau dana pengguna yang terpengaruh secara langsung.
Robinhood juga menekankan pentingnya verifikasi dua faktor (2FA) dan kewaspadaan terhadap email yang meminta informasi sensitif. Pengguna disarankan memeriksa URL tujuan secara cermat dan menghindari mengklik tautan dalam email yang mencurigakan.
Analisis Pakar Keamanan
Alex Eckelberry, peneliti keamanan siber, menjelaskan bahwa skema ini menggabungkan dua celah sekaligus: karakteristik Gmail yang mengabaikan titik dan kurangnya sanitasi input pada formulir pendaftaran Robinhood. “Hasilnya adalah email otentik yang berisi kode HTML berbahaya, yang tampak sepenuhnya sah,” ujar Eckelberry.
Penelitian dari perusahaan keamanan blockchain Hacken menunjukkan bahwa pada kuartal pertama 2026, serangan phishing dan rekayasa sosial menyumbang kerugian sebesar $306 juta, menegaskan tren peningkatan teknik social engineering di dunia keuangan digital.
Langkah Pencegahan bagi Pengguna
- Aktifkan verifikasi dua faktor pada akun Robinhood.
- Selalu periksa alamat pengirim dan URL tujuan sebelum memasukkan kredensial.
- Jangan mengandalkan hanya subjek atau tampilan visual email sebagai indikator keaslian.
- Jika menerima email mencurigakan, laporkan langsung ke tim keamanan Robinhood melalui kanal resmi.
- Gunakan manajer kata sandi yang dapat mendeteksi situs phishing.
Dengan meningkatnya kreativitas penipu dalam memanfaatkan fitur teknis yang sah, edukasi keamanan digital menjadi krusial bagi semua pengguna layanan keuangan online.
Kesimpulannya, celah “dot alias” Gmail yang selama ini dianggap tidak berbahaya kini menjadi vektor serangan canggih ketika dipadukan dengan kelemahan input pada platform investasi. Robinhood telah mengambil langkah mitigasi, namun tanggung jawab akhir tetap berada pada pengguna untuk menerapkan praktik keamanan yang ketat.
