SMS-phishing menyerang investor kripto: bagaimana agar tidak kehilangan uang Anda

Pada tahun 2025, smishing (SMS-phishing) menjadi salah satu ancaman utama bagi para pemilik kripto. Penipu secara massal mengirim pesan palsu atas nama bursa dan dompet, dan semuanya berjalan efektif. Inilah alasan mengapa ini berbahaya dan cara melindungi diri Anda.

Apa yang Sebenarnya Terjadi

Penipu mengirim SMS seolah-olah dari bursa Anda: “Aktivitas mencurigakan terdeteksi. Konfirmasi identitas sekarang: [tautan]”. Terdengar mendesak, bukan? Korban mengklik, memasukkan data di situs palsu — dan saldo langsung menjadi nol.

Menurut laporan, smishing berhasil dalam sekitar 30% kasus. Ini karena:

1. Membuat panik — ancaman pemblokiran akun atau kehilangan dana membuat orang bertindak tanpa berpikir.

2. Memalsukan sumber — pesan tampak resmi, nomornya mirip dengan yang asli.

3. Menjanjikan hadiah — BTC gratis, kartu hadiah di $500 — memicu rasa serakah.

Skema Umum

Skema 1: “Diperlukan pembaruan data KYC, jika tidak akun akan diblokir”. Korban mengunggah scan paspor ke penipu, datanya dijual atau digunakan untuk pencurian identitas.

Skema 2: “Hubungi dukungan” — nomor pada pesan palsu, penipu meminta kode 2FA atau kata sandi.

Skema 3: Tautan berbahaya memasang spyware di ponsel, yang kemudian membaca semua SMS dan kata sandi.

Apa Bedanya Smishing dengan Serangan Lain

• Phishing — lewat email (kurang mendesak, lebih mudah dicek)
• Vishing — panggilan suara (butuh keahlian penipu)
• Pharming — manipulasi DNS, mengarahkan ke situs palsu (lebih teknis)

Smishing tetap paling efektif karena SMS dibaca dengan cepat, tanpa pemeriksaan.

Tanda Bahaya SMS

✋ Jangan pernah membuka tautan jika:

• Pesan meminta Anda segera melakukan sesuatu
• Meminta memasukkan kata sandi, seed phrase, private key
• Ada kesalahan penulisan atau gaya bahasa aneh (bahkan bursa bagus kadang menulis formal, tapi tidak aneh)
• Dari nomor tak dikenal
• Menjanjikan hadiah yang tidak pernah Anda menangkan

Cara Melindungi Diri

1. Jangan klik tautan di SMS

• Jika ragu, buka browser dan ketik alamat bursa secara manual
• Periksa alamat sebenarnya (arahkan kursor ke tautan jika ini SMS di messenger)

2. Aktifkan autentikasi multi-faktor

• Gunakan aplikasi seperti Google Authenticator atau Authy, bukan SMS 2FA
• SMS 2FA masih lebih baik daripada tidak sama sekali, tapi paling mudah disadap
• Pilihan terbaik — hardware key (Ledger, Trezor) atau passkey

3. Jangan pernah membagikan informasi rahasia

• Bursa/dompet tidak pernah meminta kata sandi atau private key
• Bahkan jika ada yang mengaku layanan pelanggan menelepon, minta nomor balik dan hubungi sendiri

4. Gunakan dompet hardware

• Simpan dana besar secara offline (Ledger, Trezor, Coldcard)
• Di perangkat Anda, penipu tidak akan bisa mencuri apa pun

5. Pantau aktivitas

• Secara berkala cek riwayat login di bursa
• Jika melihat upaya masuk mencurigakan — segera ganti kata sandi

6. Perbarui pengetahuan

• Penipu selalu membuat skema baru
• Ikuti berita di sumber terpercaya

Apa yang Harus Dilakukan Jika Sudah Tertipu

1. Segera blokir nomor penipu
2. Ganti kata sandi di semua akun (jika sudah memasukkan data)
3. Aktifkan 2FA di semua layanan (jika belum)
4. Nonaktifkan API key di bursa jika sudah bocor
5. Laporkan ke bursa melalui kanal dukungan resmi
6. Bekukan kredit (jika sudah memberikan paspor atau data lain)
7. Pantau aktivitas selama sebulan — periksa bank, dompet kripto, media sosial

Inti Utama

Di dunia kripto, Anda adalah bank untuk diri sendiri. Tidak ada yang bisa melindungi dana Anda selain Anda sendiri. Penipu mengandalkan kepanikan dan tindakan terburu-buru. Jika SMS meminta tindakan mendesak — hampir pasti itu penipuan. Selalu cek melalui situs/aplikasi resmi, dan semuanya akan aman.