Cara Baru Penipu Mencoba Menipu Anda

Cara Baru Penipu Mencoba Menipu Anda – Email phising Masih Raja, email phising tetap menjadi ancaman siber nomor satu di tahun 2026.

Menurut laporan terbaru, terdeteksi sekitar 8,3 miliar ancaman phising berbasis email hanya dalam kuartal pertama 2026.

Angka ini menunjukkan bahwa meski teknologi keamanan semakin canggih, email tetap menjadi jalur favorit para penipu digital.

Yang berubah bukanlah frekuensinya, melainkan cara kerjanya. Para penyerang kini menggunakan teknik yang lebih halus, lebih personal, dan lebih sulit dikenali.

Artikel ini akan membahas teknik-teknik baru tersebut dengan bahasa yang sederhana agar Anda dapat mengenali dan melindungi diri.

Teknik Baru yang Perlu Anda Waspadai

QR Code Phising

Salah satu tren yang paling cepat berkembang adalah penggunaan kode QR dalam email phising. Volume serangan ini melonjak dari 7,6 juta pada Januari menjadi 18,7 juta pada Maret 2026, peningkatan 146% dalam tiga bulan.

• Cara kerjanya: Anda menerima email yang tampak dari perusahaan terpercaya dengan kode QR. Email mengatakan Anda perlu memindai kode tersebut untuk verifikasi akun, melihat faktur, atau mengklaim hadiah. Saat Anda memindai menggunakan ponsel, Anda diarahkan ke situs palsu yang mencuri data login atau informasi kartu kredit.
• Mengapa berbahaya: Kode QR melewati pemindaian teks tradisional di email. Filter keamanan tidak bisa “membaca” gambar QR seperti mereka membaca tautan teks. Selain itu, ponsel sering kali memiliki perlindungan yang lebih lemah dibandingkan komputer kantor .
• Contoh nyata: Email palsu dari “bank” Anda dengan subjek “Verifikasi Transaksi Anda” dan kode QR besar di tengah. Saat dipindai, situs palsu tersebut meminta OTP dan langsung menguras rekening.

CAPTCHA Palsu

Teknik ini menggunakan halaman CAPTCHA, kotak “Saya bukan robot” yang biasa Anda lihat, sebagai perisai. Volume serangan berbasis CAPTCHA meledak menjadi 11,9 juta pada Maret 2026, lebih dari dua kali lipat dari bulan sebelumnya.

• Cara kerjanya: Anda mengklik tautan dari email yang tampak sah. Sebelum melihat konten, Anda diminta menyelesaikan CAPTCHA. CAPTCHA ini bukanlah verifikasi keamanan, melainkan jebakan. Di baliknya, situs tersebut menampilkan halaman login palsu atau bahkan meminta Anda menyalin perintah berbahaya ke komputer .
• Mengapa berbahaya: CAPTCHA memberikan kesan legitimasi. Pikir Anda: “Situs ini punya CAPTCHA, pasti aman.” Padahal, siapa pun bisa memasang CAPTCHA gratis.

Phising Berbasis Perangkat (Device Code phising)

Teknik ini menargetkan cara modern kita login ke aplikasi. Alih-alih meminta password langsung, penyerang meminta Anda memasukkan “kode perangkat” yang sebenarnya memberikan mereka akses penuh ke akun Anda.

Cara kerjanya: Anda menerima email yang mengatakan ada masalah dengan akun Microsoft atau Google Anda. Email meminta Anda mengunjungi halaman tertentu dan memasukkan kode yang ditampilkan di layar.

Kode tersebut bukanlah verifikasi, melainkan otorisasi yang memperbolehkan penyerang masuk ke akun Anda dari perangkat mereka.

Spear Phising Multi-Kanal

Ini bukan lagi sekadar email. Para penyerang kini mengorkestrasi serangan melalui beberapa saluran sekaligus:

• Hari 1: Email dari “rekan kerja” tentang proyek mendesak.
• Hari 2: SMS yang merujuk email tersebut: “Halo, sudah cek email saya? Perlu konfirmasi segera.”
• Hari 3: Panggilan telepon dari nomor yang tampak internal kantor, menekan Anda untuk segera bertindak.

Mengapa berbahaya: Kombinasi ini menciptakan kesan urgensi dan legitimasi yang hampir mustahil ditolak. Korban merasa: “Ini bukan scam, scam tidak sekompleks ini.”

Mengapa Teknik Baru Ini Sulit Dikenali?

Tidak Ada Tanda-Tanda Klasik Lagi

Dulu, email phising mudah dikenali: banyak typo, bahasa aneh, pengirim asing, format berantakan. Sekarang, semua itu hilang. AI memungkinkan penyerang menghasilkan email yang sempurna secara tata bahasa, dengan format yang identik dengan perusahaan asli, dan dari alamat yang tampak sah.

Penggunaan Platform Tepercaya

Para penyerang semakin sering menggunakan infrastruktur yang sah, seperti layanan email berbasis cloud terverifikasi, platform berbagi file resmi, atau bahkan situs web yang telah diretas, untuk menyebarkan ancaman.

Email dari domain terverifikasi yang melewati semua pemeriksaan teknis, namun tetap berbahaya, menciptakan apa yang dapat disebut “paradoks kepercayaan”.

Personalisasi Ekstrem

Dengan data bocor dari berbagai kebocoran data besar, penyerang dapat menyusun email yang merujuk pada:

• Nama rekan kerja Anda yang sebenarnya
• Proyek yang sedang Anda kerjakan
• Rapat yang baru saja Anda hadiri
• Bahkan gaya bahasa Anda di media sosial

Hasilnya adalah email yang terasa seperti dari seseorang yang benar-benar mengenal Anda.

Panduan Praktis Melindungi Diri

Aturan Dasar yang Tetap Berlaku

Meski teknik berubah, prinsip dasar perlindungan tetap sama:

Situasi Tindakan Anda

• Email meminta klik tautan Jangan klik. Buka browser baru dan ketik URL langsung.
• Email meminta data sensitif Jangan balas. Hubungi perusahaan melalui kanal resmi.
• Ada urgensi yang tidak wajar Berhenti. Urgensi palsu adalah tanda paling umum.
• Ada lampiran tidak terduga Jangan buka. Verifikasi melalui telepon atau pesan terpisah.

Waspada terhadap Kode QR di Email

• Jangan pernah memindai kode QR dari email yang tidak Anda minta.
• Jika email mengatakan ada masalah dengan akun, buka aplikasi langsung di ponsel Anda, jangan melalui QR code.
• Periksa sumber email: bank atau perusahaan besar jarang menggunakan QR code untuk verifikasi akun .

Verifikasi CAPTCHA dengan Cermat

• CAPTCHA seharusnya muncul di situs yang sudah Anda kunjungi secara sadar, bukan dari tautan email.
• Jika CAPTCHA disertai permintaan aneh, seperti menyalin teks ke terminal atau mengunduh file, itu adalah jebakan.
• Situs sah tidak akan pernah meminta Anda menonaktifkan antivirus atau mengubah pengaturan keamanan setelah CAPTCHA.

Lindungi Akun dengan MFA yang Tepat

Gunakan MFA phising-resistant seperti kunci keamanan fisik (YubiKey) atau autentikasi berbasis biometrik, bukan sekadar SMS atau aplikasi autentikasi standar yang masih bisa dikalahkan oleh teknik adversary-in-the-middle.

Kembangkan Kebiasaan Verifikasi Lintas-Kanal

Jika email tampak dari atasan yang meminta transfer dana atau data sensitif:

• Jangan balas email tersebut.
• Hubungi atasan langsung melalui telepon atau aplikasi pesan yang sudah terverifikasi.
• Tanyakan detail spesifik yang hanya Anda dan atasan ketahui.

Yang Harus Dilakukan Jika Jadi Korban

Langkah Segera

Waktu Tindakan

• 0-5 menit Putuskan koneksi internet. Matikan WiFi dan data seluler.
• 5-15 menit Ganti password akun yang terkompromi dari perangkat lain yang aman.
• 15-30 menit Aktifkan atau perbarui MFA pada semua akun penting.
• 30-60 menit Periksa log aktivitas akun untuk transaksi atau login mencurigakan.
• 1-24 jam Laporkan ke tim IT perusahaan (jika akun kerja) atau bank (jika finansial).

Melaporkan Phising

• Di Indonesia: Laporkan ke patrolisiber.id atau hubungi call center bank terkait.
• Platform email: Gunakan tombol “Report phising” di Gmail, Outlook, atau Yahoo.
• Perusahaan: Segera hubungi tim keamanan informasi (SOC/CSIRT).

Kewaspadaan adalah Kunci

Email phising pada 2026 bukan lagi tentang email buruk yang mudah dikenali. Ini adalah tentang email yang tampak sempurna, dikirim pada waktu yang tepat, dengan konteks yang relevan, melalui saluran yang Anda percayai.

Yang tidak berubah adalah faktor manusia. Para penyerang masih mengeksploitasi kepercayaan, urgensi, dan kebaikan hati kita. Oleh karena itu, perlindungan terbaik bukanlah teknologi semata, melainkan kombinasi teknologi dan kesadaran.

Ingat tiga prinsip sederhana:

1. Ragu-ragu itu sehat, keraguan sesaat dapat menyelamatkan Anda dari kerugian besar.
2. Verifikasi itu murah, satu telepon konfirmasi lebih cepat dan lebih murah daripada memulihkan akun yang diretas.
3. Urgensi palsu itu merah, email yang benar-benar penting tidak akan menghukum Anda karena memverifikasi lebih dulu.

Di era di mana AI dapat menulis email sempurna dalam hitungan detik, kritisme manusia tetaplah senjata terkuat kita.

Sumber berita:

WeLiveSecurity