Serangan phishing di ekosistem kripto kini makin bergeser ke titik yang paling rentan, yakni pengguna. Modus yang meniru Customer Support atau CS palsu membuat korban terdorong menyerahkan akses akun secara sukarela.
Indodax menilai pola ini semakin berbahaya karena pelaku tidak lagi hanya membidik sistem, tetapi juga memanfaatkan panik, kepercayaan, dan kebiasaan pengguna saat menghadapi masalah akun. Dalam banyak kasus, target diarahkan untuk membagikan password, PIN, kode OTP, atau informasi sensitif lain tanpa verifikasi yang cukup.
Fokus Serangan Bergeser ke Manusia
Chief Marketing Officer Indodax, Aloysia Dian, mengatakan pelaku kejahatan siber kini mencari celah pada perilaku manusia. Ia menegaskan bahwa modus CS palsu adalah bentuk social engineering yang dirancang agar korban merasa sedang berkomunikasi dengan pihak resmi.
Situasi ini membuat pesan penipuan terasa lebih meyakinkan, terutama ketika korban sedang cemas karena mengira akun bermasalah. Di momen seperti itu, permintaan data pribadi dari pelaku bisa tampak seperti langkah bantuan yang sah.
AI Membuat Pesan Palsu Semakin Sulit Dikenali
Indodax juga menyoroti peran artificial intelligence atau AI yang memperhalus tampilan phishing. Dengan AI generatif, pelaku bisa menyusun email, pesan instan, dan komunikasi lain yang terlihat rapi serta menyerupai pesan resmi perusahaan.
Dulu, banyak upaya penipuan mudah dicurigai karena kesalahan penulisan yang mencolok. Kini, tampilan pesan bisa jauh lebih profesional sehingga pengguna perlu memeriksa sumbernya dengan lebih hati-hati sebelum merespons.
QR Phishing Ikut Naik Tajam
Ancaman lain datang dari QR phishing, yang menurut Microsoft Threat Intelligence menjadi salah satu metode serangan siber dengan pertumbuhan tercepat pada kuartal pertama 2026. Volume serangannya naik sekitar 146 persen, dari 7,6 juta pada Januari menjadi 18,7 juta pada Maret.
Skema ini biasanya mengarahkan korban ke halaman login palsu melalui kode QR yang disisipkan dalam email atau dokumen yang tampak sah. Karena terbiasa memindai kode QR tanpa mengecek sumber dan tujuannya lebih dulu, banyak pengguna bisa terjebak tanpa sadar.
Langkah Aman yang Dianjurkan Indodax
Indodax mengimbau pengguna untuk selalu menghubungi Customer Support melalui kanal resmi perusahaan. Pengguna juga diminta mengecek ulang alamat website yang dibuka dan mengaktifkan autentikasi berlapis untuk mempersempit peluang penyalahgunaan akun.
Perusahaan menegaskan tim Customer Support resmi tidak pernah meminta password, PIN, recovery code, maupun kode OTP. Indodax juga tidak pernah meminta pengguna mentransfer dana ke rekening pribadi dalam kondisi apa pun.
Selain itu, Indodax menyebut tidak memiliki nomor WhatsApp Customer Support resmi. Jika ada pihak yang menghubungi lewat WhatsApp dan mengaku sebagai CS Indodax, pengguna diminta segera menghentikan komunikasi lalu memverifikasinya melalui kanal resmi perusahaan.
Di tengah meningkatnya serangan yang memanfaatkan kelemahan manusia, kewaspadaan terhadap permintaan data sensitif menjadi pertahanan paling penting. Dalam ekosistem kripto yang bergerak cepat, satu langkah verifikasi tambahan bisa menentukan apakah akun tetap aman atau justru jatuh ke tangan pelaku.
