Kamus Crypto

Phishing Crypto: Jenis Serangan, Cara Kenali, dan Cara Hindari

Penjelasan lengkap phishing dalam crypto — jenis serangan (fake website, email phishing, wallet drainer, Discord/Telegram scam), cara mengenali tanda.

Phishing adalah salah satu ancaman terbesar bagi pengguna crypto. Berbeda dari exchange yang bisa freeze akun atau bank yang bisa batalkan transaksi, crypto phishing yang berhasil hampir selalu berakibat kehilangan aset permanen.

Apa Itu Phishing Crypto?

Phishing adalah teknik social engineering di mana penyerang menyamar sebagai entitas yang dipercaya untuk mencuri informasi sensitif atau mengakses aset Anda.

Yang dicari penyerang crypto:

  • Seed phrase (12/24 kata) → akses penuh ke wallet
  • Private key → sama dengan seed phrase
  • Approval untuk drain wallet (wallet drainer)
  • Login credentials exchange
  • 2FA code

Mengapa sangat berbahaya: Tidak seperti perbankan, crypto transactions bersifat irreversible. Tidak ada “customer service” yang bisa kembalikan dana. Tidak ada “chargeback.” Sekali pindah = permanen.

Jenis-Jenis Phishing Crypto

1. Website Phishing (Typosquatting)

Cara kerja: Penyerang membuat website yang terlihat identik dengan platform asli, dengan URL yang sedikit berbeda.

Contoh URL phishing:

  • uniswap.gg vs app.uniswap.org
  • metamask.com vs metamask.io
  • indodax.net vs indodax.com
  • aave.finance vs app.aave.com
  • Karakter yang mirip secara visual: “0” vs “O”, “l” vs “I”

Bagaimana korban sampai di website palsu:

  • Google Ads: Penyerang membeli ads untuk keyword seperti “Uniswap” atau “MetaMask” — iklan muncul di atas hasil pencarian, bisa mengarah ke website palsu
  • Link di Discord/Telegram: Bot atau akun palsu mengirim link
  • Email palsu: Berpura-pura dari exchange atau protokol
  • Twitter/X: Akun palsu yang mirip dengan akun resmi

Apa yang terjadi di website palsu:

  • Tampilan identik dengan asli
  • Diminta “connect wallet” → tampil popup minta seed phrase
  • Atau minta approve transaksi yang men-drain wallet
  • Atau minta login credentials

2. Email Phishing

Cara kerja: Email yang berpura-pura berasal dari exchange atau service yang Anda gunakan.

Contoh email phishing: “Akun Indodax Anda telah diakses dari lokasi yang tidak dikenal. Klik di sini untuk verifikasi dan amankan akun Anda.”

Tanda-tanda email phishing:

  • Alamat email pengirim yang mencurigakan (indodax@support-indodax.com vs @indodax.com)
  • Link yang dihover menunjukkan URL berbeda
  • Tekanan waktu (“akun Anda akan diblokir dalam 24 jam”)
  • Permintaan untuk masukkan password atau seed phrase via link
  • Grammar/ejaan yang buruk
  • Logo atau tampilan yang sedikit berbeda

3. Wallet Drainer

Cara kerja lebih sophisticaticated: Drainer adalah smart contract yang dapat menguras semua token dari wallet dalam satu transaksi, setelah korban memberikan approval.

Alur serangan:

  1. Korban diarahkan ke website “minting NFT gratis” atau “klaim airdrop” palsu
  2. Diminta connect wallet (ini normal, tidak berbahaya)
  3. Diminta sign transaction atau approve contract tertentu
  4. Transaction yang muncul seperti biasa — tapi sebenarnya memberikan izin drain seluruh aset
  5. Bot secara otomatis menjalankan drain segera setelah approval diberikan

Mengapa sulit dideteksi:

  • Pesan di MetaMask hanya menampilkan data teknikal
  • Banyak pengguna tidak membaca detail transaksi
  • Drainer sering menyamar sebagai “approve” biasa tapi memberikan unlimited allowance

Perlindungan:

  • Gunakan Rabby Wallet yang lebih explicit dalam menampilkan apa yang diizinkan
  • Selalu cek di revoke.cash setelah berinteraksi dengan kontrak baru
  • Jangan approve dari website yang tidak dikenal
  • Baca dengan teliti detail transaksi sebelum confirm

4. Discord/Telegram Phishing

Cara kerja: Penyerang menyusup ke server Discord atau channel Telegram populer.

Skenario umum:

  • Compromised admin/mod: Akun admin yang di-hack mengirim “announcement” dengan link berbahaya
  • Bot DM: Bot mengirim DM langsung kepada member server
  • Fake support: “Staff” palsu menawarkan bantuan via DM setelah Anda post masalah di public channel
  • Fake airdrop announcement: “Congratulations! You’re selected for our exclusive airdrop. Claim here: [link]”

Red flag di Discord/Telegram:

  • DM dari orang yang tidak dikenal dengan “peluang” atau “warning”
  • Announcement yang terasa terlalu bagus (airdrop besar)
  • Link yang diminta untuk diklik segera
  • Permintaan untuk connect wallet di website via link DM

5. Social Media Phishing

Cara kerja di Twitter/X:

  • Akun palsu dengan nama mirip influencer crypto atau protokol resmi
  • Reply ke tweet populer dengan link palsu
  • “Giveaway” palsu: “Kirim 0.5 ETH, kami kembalikan 1 ETH” (tidak pernah terjadi)

Impersonation celeb/project: Elon Musk, Andre Cronje, Vitalik Buterin — semua pernah di-impersonate. Tidak ada yang memberikan airdrop via tweet.

6. SIM Swap Attack

Serangan lebih canggih: Penyerang meyakinkan operator seluler Anda untuk pindahkan nomor SIM ke kartu mereka. Setelah itu, mereka bisa:

  • Bypass 2FA via SMS
  • Akses email yang menggunakan phone number sebagai recovery
  • Login ke exchange dengan reset password

Proteksi SIM swap:

  • Gunakan authenticator app (Google Authenticator, Authy) — bukan 2FA via SMS
  • Tambahkan PIN ke akun telepon Anda di operator
  • Gunakan email terpisah yang tidak terhubung ke nomor HP untuk exchange

Cara Mengenali Serangan Phishing

Checklist Verifikasi Website

Sebelum connect wallet atau enter credentials:

1. Cek URL dengan sangat teliti:

  • Domain harus tepat (bukan .net untuk yang seharusnya .org, dll.)
  • Tidak ada karakter tambahan atau pengganti
  • Khusus DeFi: URL yang di-bookmark lebih aman dari URL yang diketik ulang

2. Cek sumber link:

  • Tidak dari DM random di Discord/Telegram
  • Preferably dari Twitter verified account protokol atau dari website resmi mereka
  • Bukan dari Google Ads (scroll ke hasil organik atau gunakan bookmark)

3. Cek legitimacy:

  • Website asli tidak pernah minta seed phrase via website
  • Wallet connection tidak memerlukan seed phrase — hanya private key signature

4. Perhatikan konten:

  • Typo atau grammar buruk
  • Layout yang sedikit berbeda dari yang Anda ingat
  • Countdown timer atau tekanan untuk bertindak cepat

Red Flags Universal

Apapun konteksnya, ini selalu red flag:

  • Siapapun yang minta seed phrase/private key → SELALU SCAM
  • “Send X ETH to get 2X back” → SELALU SCAM
  • “Your wallet is compromised, verify now” via link → SELALU SCAM
  • Support yang minta Anda share screen → SELALU SCAM
  • “Exclusive opportunity, act now” dengan tekanan waktu → KEMUNGKINAN BESAR SCAM

Cara Melindungi Diri

Keamanan Browser

1. Gunakan bookmarks: Simpan bookmark untuk semua website crypto yang sering digunakan. Tidak perlu ketik ulang atau Google setiap kali.

2. Extension anti-phishing:

  • MetaMask sudah punya phishing detection bawaan (terbatas)
  • Pocket Universe: Extension yang simulate transaksi sebelum sign
  • Revoke.cash: Browser extension yang warn jika website suspicious

3. Waspadai Google Ads: Jika harus search, klik hasil organik — bukan iklan di atas. Verifikasi URL.

Keamanan Wallet

1. Multiple wallet:

  • Hot wallet (main): Untuk interaksi DeFi sehari-hari — isi secukupnya
  • Cold storage wallet: Untuk aset besar — tidak pernah connect ke website

2. Hardware wallet untuk aset besar: Ledger atau Trezor — private key tidak pernah keluar dari device. Approval phishing tidak bisa drain ini tanpa konfirmasi fisik di device.

3. Revoke approval secara berkala: Kunjungi revoke.cash, connect wallet, review dan revoke approval yang tidak dikenal atau tidak perlu lagi.

Keamanan Akun Exchange

1. Gunakan authenticator app, bukan SMS: Google Authenticator atau Authy — tidak bisa di-SIM swap.

2. Gunakan email dedicated untuk crypto: Email yang tidak digunakan untuk hal lain, tidak terhubung ke nomor HP.

3. Aktifkan anti-phishing code: Beberapa exchange (Binance, OKX) memungkinkan Anda set kode khusus yang akan muncul di semua email asli dari mereka. Jika kode tidak ada = email palsu.

4. Whitelist withdrawal address: Hanya izinkan withdrawal ke address yang sudah pre-approved.

Keamanan Sosial

1. Skeptis terhadap semua DM: Tidak ada staff official yang akan DM Anda untuk menawarkan bantuan yang tidak diminta. Support resmi bekerja di public channel, bukan DM.

2. Tidak ada giveaway yang legitimate: Tidak ada protokol, influencer, atau exchange yang bagikan “kirim dan terima lebih banyak.”

3. Verifikasi dari multiple sources: Sebelum klik link apapun yang claimed airdrop atau minta action: cek Twitter resmi, cek Discord announcement channel, cek berita dari sumber terpercaya.

Apa yang Dilakukan Jika Sudah Jadi Korban

Segera (dalam menit):

  1. Transfer sisa aset ke wallet baru yang aman jika masih ada
  2. Revoke semua approvals dari wallet yang compromised (revoke.cash)
  3. Ganti password dan 2FA semua exchange
  4. Catat wallet address penyerang dan transaksi untuk laporan

Jangka pendek:

  • Laporkan ke platform dimana phishing terjadi (Discord, Twitter, website hosting)
  • Laporkan ke Bareskrim Polri jika kerugian significant
  • Simpan semua bukti (screenshots, transaction hashes)

Sayangnya: Dana yang sudah berpindah sangat jarang bisa dikembalikan. Blockchain adalah permanen. Langkah pencegahan jauh lebih efektif daripada recovery setelah kejadian.

Kesimpulan

Phishing adalah ancaman nyata dan terus berkembang dalam crypto. Proteksi terbaik adalah:

  1. Bookmark website yang sering digunakan — tidak ketik atau Google setiap kali
  2. Tidak pernah share seed phrase — tidak ada situasi legitimate yang memerlukan ini
  3. Baca detail transaksi sebelum approve
  4. Gunakan hardware wallet untuk aset significant
  5. Skeptis terhadap semua yang “terlalu bagus” — giveaway, airdrop mendadak, kesempatan eksklusif

Pengguna crypto yang aware dan teliti adalah target yang jauh lebih sulit bagi penyerang.


💡 Mau praktik langsung, bukan hanya teori? Di kelas WhaleX, Anda belajar hands-on — setup wallet, yield strategy, dan navigasi protokol DeFi nyata. Coba kelas Web3 gratis →

⚠️ Disclaimer: Artikel ini untuk edukasi keamanan — bukan panduan teknikal untuk aktivitas berbahaya. Keamanan crypto adalah tanggung jawab individu. Jika Anda menjadi korban phishing, segera ambil langkah mitigasi di atas dan laporkan kepada pihak berwenang.

Mau Masuk Web3 Tanpa Rekening Bank?

Elite Vault WhaleX: join membership via USDC di Base Network — akses penuh tanpa proses bank tradisional.

Lihat Elite Vault →

Pertanyaan Umum

Apa itu phishing dalam crypto dan bagaimana cara kerjanya?

Phishing crypto adalah serangan di mana penipu berpura-pura menjadi platform atau orang yang Anda percaya untuk mencuri private key, seed phrase, atau menguras isi wallet Anda. Cara kerja paling umum: (1) Buat website palsu yang terlihat identik dengan Exchange/DApp asli, (2) Tarik korban ke sana via Google Ads, email palsu, atau link di Discord/Telegram, (3) Korban masukkan seed phrase atau approve transaksi berbahaya, (4) Aset langsung habis. Crypto phishing sangat berbahaya karena transaksi tidak bisa dibatalkan — sekali aset pindah, tidak ada yang bisa mengembalikannya.

Bagaimana cara tahu sebuah website crypto itu palsu atau asli?

Cara verifikasi website: (1) Cek URL dengan sangat teliti — penipu sering pakai typosquatting (uniswap vs un1swap atau uniswap.gg vs uniswap.org), (2) Cek apakah ada SSL/HTTPS (gembok hijau di browser) — tapi ini tidak cukup karena phishing juga bisa pakai HTTPS, (3) Cek dari Twitter/Discord official protokol tersebut untuk link yang valid, (4) Gunakan bookmark untuk website yang sering dikunjungi — jangan ketik ulang URL, (5) Perhatikan isi konten — typo, layout yang sedikit berbeda, atau permintaan yang tidak wajar (seperti minta seed phrase) adalah red flag besar.