Platform email terpercaya kini menjadi pintu masuk yang paling mudah bagi para penyerang.
Spam bukan lagi sekadar gangguan; ini benar-benar memicu serangan phishing yang sukses. Tautan phishing menguasai komunikasi sehari-hari karena mereka terlihat seperti bagian dari aliran komunikasi biasa.
Menurut Laporan Tren Ancaman Email Q1 2026 dari VIPRE Security Group, spam komersial sekarang menyumbang 46% dari semua spam yang diamati secara global. Di mana 33% di antaranya datang dari akun yang disusupi, dan 32% berasal dari layanan email gratis yang banyak digunakan seperti Gmail. Banyak pengguna terlalu percaya pada platform ini sehingga spam bisa berkembang dengan mudah.
Sekitar dua pertiga dari spam ini berasal dari infrastruktur yang berbasis di Amerika Serikat, yang juga tetap menjadi target utama untuk kampanye ini, menyumbang 60% dari total volume spam komersial.
Spam komersial memicu phishing dan kelelahan pengguna
Spam komersial bukan hanya merepotkan; ia secara aktif membuat pengguna merasa kelelahan karena email. Ini meningkatkan kemungkinan pengguna tertipu oleh upaya phishing. Ketika kotak masuk mulai penuh, karyawan jadi kurang waspada, sehingga semakin besar kemungkinan mereka untuk terlibat dengan pesan berbahaya tanpa memeriksa dengan baik.
Para penyerang menggunakan judul yang menyesatkan, bahasa yang agresif, dan promosi mendesak untuk memicu reaksi cepat. Tekanan psikologis ini langsung berkontribusi pada kampanye phishing, yang menyumbang hampir 26% dari semua spam selama periode ini.
Tautan berbahaya tetap menjadi senjata yang paling efektif, muncul dalam lebih dari setengah email phishing yang dianalisis. Selain itu, URL yang disalahgunakan menyumbang lebih dari 89% dari infrastruktur phishing, menunjukkan preferensi yang jelas untuk memanipulasi tautan yang terlihat sah. Ini sebabnya merek seperti Microsoft sering kali menjadi sasaran pemalsuan, sering melalui “pengalihan terbuka” yang mulai dari domain terpercaya sebelum mengarah ke tujuan berbahaya.
Penyerang menghindari deteksi menggunakan infrastruktur yang terpercaya
Saat alat deteksi semakin baik dalam mengidentifikasi domain yang baru didaftarkan, para penyerang justru menyesuaikan pendekatan mereka daripada mengurangi aktivitas. “Penyerang berani menggunakan teknik canggih untuk menghindari deteksi, sambil memanfaatkan pemicu emosional untuk memanipulasi dan melanggar kepercayaan,” ujar Usman Choudhary, General Manager VIPRE Security Group.
“Organisasi harus memperkuat pertahanan email dan memikirkan kembali cara mempercayai di setiap saluran untuk melawan ancaman ini… Tidak ada ruang untuk berpuas diri.”
Alih-alih membuat domain baru, penjahat siber kini lebih memilih alamat web yang familiar dan bereputasi baik untuk menyamarkan diri dan menghindari kecurigaan. Mereka semakin menggunakan Cloudflare untuk menyembunyikan tautan phishing di balik sistem CAPTCHA dan perlindungan bot, sehingga mencegah pemindai keamanan mencapai konten berbahaya yang sebenarnya dan menjadikan email tersebut terkesan lebih dapat dipercaya bagi pengguna.
Seiring dengan taktik ini, phishing callback juga semakin populer sebagai metode penipuan yang andal. Kampanye ini sering kali menggunakan faktur palsu, pembaruan langganan, atau peringatan akun mendesak untuk mendorong korban melakukan kontak. Sayangnya, penyedia layanan email gratis seperti Gmail tidak memiliki insentif untuk menyaring spam komersial secara agresif karena spam ini dapat meningkatkan metrik keterlibatan pengguna.
Sebagai hasilnya, bahkan alat email paling aman pun kesulitan ketika perilaku pengguna menciptakan titik eksposur tambahan, dan banyak ancaman tampak berasal dari sumber yang sah. Sampai bisnis memberlakukan kebijakan ketat tentang penggunaan email yang dapat diterima dan menerapkan alat deteksi modern yang menganalisis perilaku alih-alih hanya konten, kelelahan ini akan terus bertambah, dan klik akan terus datang.
