Email phishing yang menargetkan pengguna Gmaildiperkirakan menghabiskan biaya Minnesota $ 90.000 (£ 69.400).
Sekitar 2.500 pegawai negeri menerima email tersebut, menurut petugas keamanan informasi kepala negara.
Di seluruh dunia, orang telah melaporkan mendapatkan banyak salinan email, sementara yang lain menerima pesan dari organisasi tepercaya.
Satu juta pengguna Gmail, yang menurut Google “kurang dari 0,1%”, terpengaruh.
Biaya untuk pemerintah negara bagian Minnesota terutama akibat karyawan yang menangani serangan tersebut daripada melakukan pekerjaan normal mereka, kata kepala petugas keamanan informasi kepala negara Christopher Buse.
“Saya memperkirakan tiga menit waktu per karyawan … mungkin lebih dari itu dalam banyak kasus,” katanya kepada ABC News .
“Penting bagi orang untuk memahami tidak hanya bahwa serangan itu terjadi tapi juga untuk memahami seberapa mahal harganya.”
Buse mengatakan bahwa biayanya bisa jauh lebih tinggi, namun lembaga pemerintah negara bagian Minnesota pada umumnya tidak menggunakan Gmail atau Google Documents.
“Sebagian besar penipuan ini dilakukan dengan menggunakan dokumen Office seperti spreadsheet Word dan Excel,” Ken Munro, dari Pen Test Partners, mengatakan kepada BBC.
“Tapi banyak perusahaan besar telah beralih dari paket perangkat lunak perkantoran tradisional, dan jumlah yang meningkat bergerak menuju penggunaan Google.”
Pengguna lain terpengaruh
Selain pemerintah negara bagian Minnesota, sejumlah besar pengguna Gmail lainnya terpengaruh.
Jacquelyn Piette, yang belajar untuk mendapatkan MBA di Boston College, men-tweet bahwa dia baru saja menerima peringatan tentang penipuan phishing saat pesan tersebut tiba di kotak masuknya.
Pengguna yang menerima email diberi tahu bahwa kontak mereka telah membagikan dokumen dengan mereka di Google Documents.
Jika mereka mengeklik tombol “Buka di Dokumen”, mereka diarahkan ke laman Google asli yang mengharuskan mereka masuk dengan kredensial akun mereka.
Setelah masuk, layanan yang disebut “Google Apps” akan meminta izin untuk mengakses data akun email mereka.
Dengan menyetujui untuk membagikan datanya, pengguna berpotensi memberi akses kepada peretas ke akun email, kontak, dan dokumen online mereka.
Perangkat lunak jahat menggunakan akses ini untuk mengirim salinan email phishing ke semua orang di daftar kontak penerima.
“Sebagai perusahaan yang lebih baik dalam keamanan, scammers akan mulai mencari koneksi antara akun email pribadi dan akun profesional, yang mungkin menghindari beberapa keamanan perusahaan,” kata Munro.
Dia mengatakan bahwa memperkenalkan “lapisan pemisahan” – seperti tidak mengecek email pribadi di komputer kantor – dapat membantu mencegah penyebaran kampanye phishing semacam itu.
“Perusahaan bisa mengatakan bahwa mereka mungkin tidak ingin Anda memeriksa email pribadi di komputer kantor Anda, tapi mereka tidak keberatan Anda memeriksanya di ponsel Anda.”
Google mengatakan telah menghentikan serangan tersebut “dalam waktu sekitar satu jam” dan kurang dari 0,1% pengguna telah terpengaruh – sekitar satu juta orang.
Mereka yang melakukan klik pada link tersebut disarankan untuk masuk ke akun mereka dan mencabut akses ke Google Apps, lalu ganti kata sandinya.
Sumber : http://www.bbc.com/news/technology-39845545
Sumber Gambar : www.shutterstock.com