Di era digital yang terus berkembang, serangan siber tidak pernah berhenti berkembang — justru semakin canggih. Baru-baru ini, tim analis ancaman dari Barracuda Networks mempublikasikan temuan terbaru mereka tentang tren ancaman email yang muncul pada Januari 2026. Laporan ini penting untuk dibaca oleh siapa saja yang peduli dengan keamanan data, baik Anda seorang profesional TI, pemimpin organisasi, atau bahkan pengguna biasa.
Email tetap menjadi vektor serangan utama bagi pelaku kejahatan siber karena sifatnya yang mudah disalahgunakan untuk menipu, mencuri kredensial, atau menanamkan software berbahaya. Laporan ini memberikan gambaran jelas tentang bagaimana serangan-serangan terbaru mencoba mengecoh bahkan sistem keamanan modern sekalipun.
1. Phishing dengan QR Code dalam HTML — Lebih Licik dari Sebelumnya
Salah satu teknik paling menonjol yang ditemukan adalah penggunaan phishing kit Tycoon yang membuat kode QR sepenuhnya dibangun dari sel-sel HTML — bukan sebagai gambar biasa.
Apa bahayanya?
Biasanya, sistem keamanan email memeriksa gambar atau link berbahaya. Namun karena QR code di sini bukan gambar, melainkan HTML yang terlihat seperti tabel biasa, sistem filter tidak mengenalinya sebagai ancaman. Akibatnya, kode QR palsu ini lolos melalui pertahanan otomatis dan terlihat sama seperti yang asli ketika dibuka di aplikasi email seperti Outlook atau Gmail.
Jika pengguna memindainya, mereka diarahkan ke halaman phishing yang dibuat untuk mencuri kredensial atau data pribadi mereka — ini bisa terjadi tanpa peringatan apa pun dari sistem keamanan.
Cara melindungi diri dan tim Anda:
- Jangan pernah memindai kode QR dari email yang tidak terduga atau dari pengirim yang tidak dikenal.
- Selalu verifikasi pengirim dan konteks email sebelum melakukan tindakan.
- Gunakan otentikasi multifaktor (MFA) untuk mengurangi dampak jika kredensial memang terekspos.
2. Callback Phishing Memanfaatkan Microsoft Teams
Serangan phishing kini tidak hanya lewat link di email — tetapi juga melalui aplikasi kolaborasi seperti Microsoft Teams.
Pelaku menambahkan korban ke grup Teams dengan nama yang terdengar resmi dan mendesak, misalnya terkait tagihan atau perpanjangan otomatis layanan. Mereka kemudian menunjukkan konten palsu seperti invoice atau pemberitahuan pembayaran dan meminta korban menghubungi nomor telepon yang tertera. Nomor itu dikendalikan oleh penyerang — dan panggilan tersebut digunakan untuk menipu korban agar memberikan informasi sensitif seperti detil pembayaran atau kredensial login.
Ini adalah bentuk social engineering yang bisa menipu bahkan pekerja yang waspada sekalipun — terutama jika serangan tersebut mengaku berasal dari platform terpercaya seperti Teams.
Rekomendasi penting:
- Tinjau pengaturan keamanan di aplikasi kolaborasi sehingga orang asing tidak otomatis bisa menambahkan anggota ke grup.
- Berikan pelatihan tentang cara mengenali panggilan atau permintaan yang mencurigakan.
- Selalu verifikasi permintaan tagihan melalui saluran resmi perusahaan Anda.
3. Phishing Tema Facebook dengan Jendela Browser Palsu
Serangan lain yang terus muncul adalah phishing yang menyamar sebagai peringatan pelanggaran hak cipta dari platform terkenal seperti Facebook.
Pesan-pesan ini terlihat sangat meyakinkan, lengkap dengan tampilan jendela browser yang seolah-olah asli, meminta pengguna untuk masuk kembali ke akun mereka untuk melihat detail pelanggaran. Namun yang terjadi justru sebaliknya — input login langsung ditangkap oleh penyerang.
Intinya:
Semakin realistis tampilan dan bahasa sebuah email — terutama yang menggunakan nama besar seperti Facebook — bukan berarti benar aman. Selalu waspada terhadap permintaan login melalui link dari email.
4. Manipulasi Karakter URL: Bahaya yang Hampir Tak Terlihat
Salah satu teknik paling cerdas namun paling rawan dilewatkan adalah penggunaan karakter yang tampak hampir identik — misalnya penggunaan simbol (∕) sebagai pengganti garis miring biasa (/) dalam tautan.
Karena perbedaan ini tidak mudah terlihat oleh pengguna mata biasa — atau bahkan oleh banyak filter otomatis — tautan tersebut bisa lolos dari deteksi dan mengarahkan korban ke situs berbahaya.
Tips keamanan:
- Selalu jadikan aturan untuk mengecek tautan dengan teliti sebelum diklik.
- Jangan ragu untuk mengetik ulang alamat secara manual jika ragu.
- Pastikan alat keamanan favorit Anda diperbarui untuk mengenali teknik manipulatif semacam ini.
Kesimpulan: Tingkatkan Keamanan Anda Sekarang
Laporan Email Threat Radar Januari 2026 menunjukkan bahwa pelaku kejahatan terus mengembangkan teknik serangan mereka, baik melalui teknologi canggih (seperti HTML QR) maupun manipulasi sosial yang halus (melalui Teams atau email palsu).
Inilah pesan yang harus diingat:
Keamanan bukan hanya soal alat — tapi juga kesadaran pengguna.
Dengan latihan yang tepat, kebijakan MFA, dan pantauan aktif terhadap tanda-tanda aneh dalam email, Anda bisa memperkecil risiko menjadi korban serangan.
Jangan menunggu sampai serangan terjadi — mulailah sekarang memperketat kebijakan email Anda, edukasi seluruh tim, dan gunakan teknologi canggih untuk mendeteksi ancaman sebelum semuanya terlambat.
Jangan menunggu sampai serangan terjadi dan merugikan bisnis Anda. Ancaman siber berkembang setiap hari—dan bisnis yang siaplah yang mampu bertahan.
Dengan Barracuda Indonesia, Anda tidak hanya mendapatkan perlindungan, tetapi juga sistem pertahanan proaktif yang bekerja 24/7 untuk mendeteksi, merespons, dan menghentikan ancaman sebelum berdampak pada operasional Anda.
Ingin tahu bagaimana solusi ini dapat disesuaikan dengan kebutuhan organisasi Anda? Hubungi tim Barracuda Indonesia sekarang dan temukan strategi perlindungan yang tepat untuk bisnis Anda.
Untuk konsultasi yang lebih mendalam serta implementasi yang terarah, PT. iLogo Infralogy Indonesia siap menjadi mitra terpercaya Anda dalam membangun keamanan siber yang kuat dan berkelanjutan.
Ambil keputusan hari ini. Lindungi aset, data, dan reputasi bisnis Anda mulai sekarang—karena keamanan bukan pilihan, melainkan kebutuhan.