Mengapa Saya Mendapatkan Spam Dari Alamat Email Saya Sendiri?

Pernahkah Anda membuka email hanya untuk menemukan spam atau pemerasan yang sepertinya berasal dari alamat email Anda sendiri? Kamu tidak sendiri. Memalsukan alamat email disebut spoofing dan, sayangnya, tidak banyak yang dapat Anda lakukan.

Bagaimana Spammer Memalsukan Alamat Email Anda

Spoofing adalah tindakan memalsukan alamat email, jadi tampaknya itu berasal dari orang lain selain orang yang mengirimnya. Seringkali, spoofing digunakan untuk mengelabui Anda agar mengira email datang dari seseorang yang Anda kenal, atau bisnis tempat Anda bekerja, seperti bank atau layanan keuangan lainnya.

Sayangnya, spoofing email sangat mudah. Sistem email sering kali tidak memiliki pemeriksaan keamanan untuk memastikan alamat email yang Anda ketik di bidang "Dari" benar-benar milik Anda. Ini sangat mirip dengan amplop yang Anda masukkan ke dalam pos. Anda dapat menulis apa pun yang Anda inginkan di tempat alamat pengirim jika Anda tidak peduli bahwa kantor pos tidak dapat mengembalikan surat itu kepada Anda. Kantor pos juga tidak tahu apakah Anda benar-benar tinggal di alamat pengirim yang Anda tulis di amplop.

Pemalsuan email bekerja dengan cara yang sama. Beberapa layanan online, seperti Outlook.com,  lakukan memperhatikan alamat Dari ketika Anda mengirim email dan mungkin mencegah Anda mengirimkan satu dengan alamat palsu. Namun, beberapa alat memungkinkan Anda mengisi apa pun yang Anda inginkan. Semudah membuat server email (SMTP) Anda sendiri. Yang dibutuhkan scammer adalah alamat Anda, yang kemungkinan dapat mereka beli dari salah satu dari banyak pelanggaran data.

Mengapa Scammers Memalsukan Alamat Anda?

Para penipu mengirimi Anda email yang tampaknya berasal dari alamat Anda karena salah satu dari dua alasan, biasanya. Yang pertama adalah dengan harapan mereka akan melewati perlindungan spam Anda. Jika Anda mengirim email kepada diri sendiri, Anda mungkin mencoba mengingat sesuatu yang penting dan tidak ingin pesan itu diberi label sebagai Spam. Jadi, penipu berharap dengan menggunakan alamat Anda, filter spam Anda tidak akan menyadarinya, dan pesan mereka akan masuk. Alat memang ada untuk mengidentifikasi email yang dikirim dari domain selain domain yang diklaimnya, tetapi penyedia email Anda harus menerapkannya — dan, sayangnya, banyak yang tidak.

Alasan kedua scammer memalsukan alamat email Anda adalah untuk mendapatkan kesan legitimasi. Tidak jarang email palsu mengklaim akun Anda telah disusupi. Bahwa "Anda mengirimkan email ini kepada diri Anda sendiri" berfungsi sebagai bukti akses "peretas". Mereka mungkin juga menyertakan kata sandi atau nomor telepon yang ditarik dari basis data yang dilanggar sebagai bukti lebih lanjut.

Penipu biasanya kemudian mengklaim telah membahayakan informasi tentang Anda atau gambar yang diambil dari webcam Anda. Dia kemudian mengancam akan merilis data tersebut ke kontak terdekat Anda kecuali Anda membayar uang tebusan. Kedengarannya bisa dipercaya pada awalnya; bagaimanapun, mereka tampaknya memiliki akses ke akun email Anda. Tapi itulah intinya — penipu itu memalsukan bukti.

Apa yang Dilakukan Layanan Email untuk Memerangi Masalah

Fakta bahwa siapa pun dapat memalsukan alamat email balasan dengan mudah bukanlah masalah baru. Dan penyedia email tidak ingin mengganggu Anda dengan spam, jadi alat dikembangkan untuk mengatasi masalah tersebut.

Yang pertama adalah Sender Policy Framework (SPF), dan bekerja dengan beberapa prinsip dasar. Setiap domain email dilengkapi dengan sekumpulan data Domain Name System (DNS), yang digunakan untuk mengarahkan lalu lintas ke server hosting atau komputer yang benar. Data SPF berfungsi dengan data DNS. Saat Anda mengirim email, layanan penerima akan membandingkan alamat domain yang Anda berikan (@ gmail.com) dengan IP asal dan data SPF untuk memastikan kecocokannya. Jika Anda mengirim email dari alamat Gmail, email itu juga harus menunjukkan bahwa itu berasal dari perangkat yang dikendalikan Gmail.

Sayangnya, SPF saja tidak menyelesaikan masalah. Seseorang perlu memelihara data SPF dengan benar di setiap domain, yang tidak selalu terjadi. Juga mudah bagi penipu untuk mengatasi masalah ini. Saat Anda menerima email, Anda mungkin hanya melihat nama, bukan alamat email. Pelaku spam mengisi satu alamat email untuk nama sebenarnya dan satu lagi untuk alamat pengiriman yang cocok dengan data SPF. Jadi, Anda tidak akan melihatnya sebagai spam dan begitu juga dengan SPF.

Perusahaan juga harus memutuskan apa yang harus dilakukan dengan hasil SPF. Paling sering, mereka setuju untuk membiarkan email masuk daripada mengambil risiko sistem tidak menyampaikan pesan penting. SPF tidak memiliki seperangkat aturan tentang apa yang harus dilakukan dengan informasi; itu hanya memberikan hasil pemeriksaan.

Untuk mengatasi masalah ini, Microsoft, Google, dan lainnya memperkenalkan sistem validasi Domain-based Message Authentication, Reporting, and Conformance (DMARC). Ia bekerja dengan SPF untuk membuat aturan tentang apa yang harus dilakukan dengan email yang ditandai sebagai spam potensial. DMARC pertama kali memeriksa pemindaian SPF. Jika gagal, itu menghentikan pesan agar tidak masuk, kecuali itu dikonfigurasi sebaliknya oleh administrator. Meskipun SPF lolos, DMARC memeriksa bahwa alamat email yang ditampilkan di kolom "Dari:" cocok dengan domain asal email (ini disebut penyelarasan).

Sayangnya, bahkan dengan dukungan dari Microsoft, Facebook, dan Google, DMARC masih belum banyak digunakan. Jika Anda memiliki alamat Outlook.com atau Gmail.com, Anda kemungkinan besar mendapat manfaat dari DMARC. Namun, hingga akhir 2017, hanya 39 dari 500 perusahaan yang masuk dalam Fortune 500 yang telah menerapkan layanan validasi.

Yang Dapat Anda Lakukan Tentang Spam yang Dialamatkan Sendiri

Sayangnya, tidak ada cara untuk mencegah pelaku spam melakukan spoofing pada alamat Anda. Mudah-mudahan, sistem email yang Anda gunakan menerapkan SPF dan DMARC, dan Anda tidak akan melihat email yang ditargetkan ini. Mereka harus langsung menuju spam. Jika akun email Anda memberi Anda kendali atas opsi spamnya, Anda dapat membuatnya lebih ketat. Perlu diketahui bahwa Anda juga mungkin kehilangan beberapa pesan yang sah, jadi pastikan untuk sering-sering mencentang kotak spam Anda.

Jika Anda mendapatkan pesan palsu dari diri Anda sendiri, abaikan saja. Jangan klik lampiran atau tautan apa pun dan jangan membayar uang tebusan yang diminta. Cukup tandai sebagai spam atau phishing, atau hapus. Jika Anda takut akun Anda telah disusupi, kunci untuk keamanan. Jika Anda menggunakan kembali kata sandi, setel ulang di setiap layanan yang menggunakan kata sandi saat ini, dan berikan setiap kata sandi baru yang unik. Jika Anda tidak mempercayai memori Anda dengan begitu banyak kata sandi, kami merekomendasikan penggunaan pengelola kata sandi.

Jika Anda khawatir menerima email palsu dari kontak Anda, mungkin ada baiknya Anda juga mempelajari cara membaca header email.