Google Business Profile adalah fitur dari Google yang membantu pemilik bisnis agar terlihat di Google Search dan Google Maps. Di profil ini, pemilik bisnis dapat menampilkan informasi tentang produk atau layanan mereka, seperti alamat, nomor telepon, situs web, jam operasional, foto, dan video produk. Bahkan, ada fitur untuk berinteraksi dengan pelanggan melalui fitur tanya/jawab dan merespons ulasan.

Anda bisa memandang Google Business Profile seperti etalase toko Anda. Profil ini akan muncul ketika pengguna Google melakukan pencarian atau melihat di Google Maps. Dengan informasi yang lengkap, diharapkan bisnis Anda dapat menarik lebih banyak pelanggan."

Seperti akun lainnya, akun Google Business juga rentan terhadap peretasan. Para penjahat siber semakin canggih dalam menemukan celah keamanan, meskipun penyedia layanan telah memiliki sistem keamanan yang baik. Oleh karena itu, peran pengguna sangat penting agar kontrol keamanan berfungsi maksimal.

Kasus peretasan akun Google Business pada beberapa hotel di Indonesia dapat merusak reputasi bisnis tersebut. Banyak korban mengalami kerugian finansial dan, yang lebih serius, menurunnya tingkat kepercayaan.

Pada kasus ini, penjahat siber berhasil meretas akun Google Business milik hotel dan menambahkan nomor WhatsApp (WA) palsu ke bagian nama bisnis, deskripsi, atau tanya jawab. Setelah nomor palsu ditambahkan, mereka menunggu hingga ada korban yang menghubungi nomor tersebut. Sayangnya, banyak korban yang tanpa curiga menghubungi nomor tersebut. Dengan diiming-imingi diskon besar, korban akhirnya terjebak  hingga melakukan reservasi dan pembayaran.

📣
WhatsApp (WA) adalah aplikasi pesan instan yang sangat populer. Dengan WA, kita bisa mengirim pesan langsung atau melakukan panggilan telepon melalui koneksi data.

Bagaimana Peretasan Terjadi?

Ada beberapa taktik dalam mengeksploitasi Google Business, tapi pada kasus ini ada tiga kemungkinan.

1. Meretas akun dan kepemilikan dari profil Google Business.
Peretasan akun bisa dilakukan dengan berbagai cara. Mungkin Anda sudah tahu tentang teknik phishing, social engineering, atau masalah keamanan kata sandi yang lemah. Tujuannya adalah mendapatkan nama akun pengguna dan kata sandi dari profil Google Business, lalu mengubah informasinya.

2. Klaim profil.
Ada cara lain untuk mengakses profil Google Business, yaitu dengan mengklaim profil bisnis sebagai milik seseorang. Beberapa skenario yang mungkin terjadi:

  • Bisnis yang belum memiliki profil Google Business. Penjahat siber bisa membuat profil bisnis palsu menggunakan akun mereka dan mengklaim sebagai pemiliknya. Kemudian mereka menambahkan informasi sesuai keinginan.
  • Profil yang sudah ada, tetapi belum berpemilik. Google dapat membuat profil secara otomatis dengan mengumpulkan informasi dari berbagai sumber. Namun, karena profil ini bukan dibuat oleh pemilik bisnis, siapa pun bisa mengklaimnya melalui situs Google Business.
Opsi "Claim this Business" untuk mengklaim sebuah profil
  • Mengubah kepemilikan. Kepemilikan profil Google Business bisa diubah dengan menekan tombol “Request Access” di situs Google Business. Setelah itu, kita bisa meminta akses sebagai pengelola atau pemilik. Pemilik profil saat ini akan menerima notifikasi untuk menyetujui permintaan akses. Jika pemilik lengah dan menyetujui tanpa konfirmasi, kepemilikan profil bisa berpindah
Menu "Request Access" untuk meminta akses sebagai pengelola/pemilik

3. Permintaan Perubahan Informasi.
Pada Google Business, ada opsi “Suggest an Edit” yang memungkinkan pengguna mengajukan perubahan pada profil bisnis yang belum diverifikasi oleh pemiliknya. Permintaan perubahan ini akan ditinjau oleh tim Google, dievaluasi, dan diverifikasi sebelum diterima atau ditolak. Meskipun kita tidak mengetahui proses review secara detail, ini bisa menjadi celah bagi penjahat siber untuk mengubah informasi pada profil Google Business.

Menu "Suggest an Edit" untuk meminta perubahaan informasi

Pencegahan

Agar terhindar dari serangan siber semacam ini, pemilik bisnis sebaiknya mengambil tindakan proaktif untuk melindungi profil Google Business mereka. Salah satu langkah penting adalah mengaktifkan two-factor authentication (2FA). Fitur ini menambah lapisan keamanan untuk mencegah peretasan akun. Selain itu, karena Google masih menggunakan proses yang sama—memperbolehkan orang lain meminta perubahan informasi—pemilik bisnis harus rutin memantau profil Google Business agar dapat mengembalikan informasi yang benar jika terjadi perubahan yang tidak diinginkan.

Selain itu, sebisa mungkin, sebarkan informasi tentang risiko ini agar pemilik bisnis dan calon pelanggan lebih berhati-hati.

Kasus ini menunjukkan bahwa banyak hotel, termasuk yang bukan berbintang, mengalami peretasan. Ini membuktikan bahwa serangan siber tidak memandang status. Kita harus sadar bahwa siapa pun bisa menjadi target serangan. Kepedulian dalam mengamankan sistem harus menjadi bagian dari rutinitas sehari-hari kita.