Pesan seperti “Selamat, limit PayLater Anda naik jadi Rp50 juta, klik link berikut untuk aktivasi” mungkin terdengar menggiurkan, tapi di baliknya bisa tersembunyi jebakan serius. Modus phishing semacam ini telah memakan banyak korban di berbagai daerah di Indonesia.
Seiring pertumbuhan transaksi digital dan penggunaan layanan Buy Now Pay Later (BNPL), serangan siber ikut meningkat tajam. Berbagai laporan keamanan digital menunjukkan Indonesia menjadi salah satu target terbesar di kawasan Asia Tenggara.
Nah, di sisi lain, muncul anggapan bahwa semua layanan PayLater tidak aman dan data pengguna diperjualbelikan begitu saja. Kenyataannya, penyelenggara yang resmi terdaftar di OJK diwajibkan mematuhi aturan ketat terkait pelindungan data pribadi sesuai UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Ancaman terbesar justru sering kali berasal dari kelengahan pengguna saat menerima pesan palsu.
Lonjakan Kasus Phishing yang Menyasar Pengguna PayLater di Indonesia
Industri BNPL berkembang sangat cepat dalam beberapa tahun terakhir, dengan nilai transaksi tumbuh ratusan persen. Namun pertumbuhan ini dibarengi peningkatan aktivitas penipuan digital yang tidak kalah agresif.
Laporan dari Badan Siber dan Sandi Negara (BSSN) memperlihatkan sektor e-commerce dan layanan keuangan digital konsisten menjadi target utama serangan siber. Karena PayLater terintegrasi langsung di platform belanja online, pengguna otomatis ikut menjadi sasaran empuk.
Jadi, logikanya cukup sederhana. Makin banyak pengguna layanan BNPL, makin besar peluang pelaku untuk menjalankan aksi tipu dayanya secara masif.
Modus Phishing Paling Umum yang Menargetkan Pengguna Fintech
Pelaku terus memperbarui cara agar terlihat meyakinkan. Bahkan sebagian sudah memanfaatkan teknologi terbaru supaya korban sulit membedakan mana yang asli dan palsu.
Berikut modus yang paling sering ditemukan:
- Link palsu mengatasnamakan platform resmi. Korban menerima SMS atau email berisi tautan yang tampak identik dengan situs resmi PayLater. Begitu diklik, halaman tersebut meminta login, dan data langsung tercuri.
- Telepon dari “customer service” gadungan. Pelaku menghubungi via telepon, menyebut nama lengkap dan nomor akun korban untuk membangun kepercayaan. Lalu diminta menyebutkan OTP atau kode verifikasi.
- Tawaran kenaikan limit atau promo eksklusif. Pesan masuk menjanjikan limit naik drastis tanpa verifikasi ulang. Cukup “klik dan aktivasi”, padahal itu jebakan untuk mencuri kredensial.
- Akun media sosial palsu yang menyerupai akun resmi. Pelaku membuat akun dengan logo dan nama hampir identik, lalu membalas keluhan pengguna di kolom komentar dengan arahan ke link berbahaya.
Mengapa Modus Ini Begitu Efektif
Keberhasilan phishing bukan semata soal teknologi canggih. Faktor psikologis memegang peranan besar karena pelaku memanfaatkan rasa urgensi, ketakutan, atau keserakahan korban.
Misalnya, pesan bertuliskan “Akun Anda akan diblokir dalam 24 jam” mendorong korban bertindak tanpa berpikir panjang. Teknik rekayasa sosial semacam ini terbukti jauh lebih berbahaya dibanding serangan teknis murni.
Cara Membedakan Pesan Resmi dan Phishing
Banyak yang mengira sulit membedakan pesan asli dari penipuan, padahal ada pola yang cukup konsisten. Memahami pola ini bisa jadi tameng pertama sebelum menjadi korban.
| Indikator | Pesan Resmi | Pesan Phishing |
|---|---|---|
| Pengirim | Nama resmi platform, domain terverifikasi | Nomor acak, domain mirip tapi beda (misal: go-pay.xyz) |
| Permintaan data | Tidak pernah minta OTP, PIN, atau password via chat | Meminta OTP, PIN, atau data pribadi secara langsung |
| Nada pesan | Informatif, tidak memaksa | Mendesak, mengancam blokir atau denda |
| Link tujuan | URL resmi platform (domain .co.id atau .com yang sudah dikenal) | URL pendek mencurigakan atau domain tidak dikenal |
| Tata bahasa | Rapi dan profesional | Sering ada typo atau format berantakan |
Nah, aturan emasnya sederhana: platform resmi tidak pernah meminta OTP atau PIN melalui pesan apapun. Kalau ada yang minta, itu sudah pasti bukan dari pihak resmi.
Langkah Pencegahan agar Tidak Jadi Korban Phishing PayLater
Mencegah selalu lebih murah daripada memulihkan kerugian. Berikut langkah konkret yang bisa langsung diterapkan:
- Aktifkan autentikasi dua faktor (2FA) di semua akun fintech dan e-commerce yang digunakan.
- Jangan pernah klik link dari pesan yang tidak diminta, terutama yang menjanjikan kenaikan limit atau hadiah.
- Verifikasi langsung ke aplikasi resmi jika menerima notifikasi mencurigakan, bukan melalui link di pesan.
- Perbarui aplikasi secara berkala karena update sering kali menambal celah keamanan.
- Gunakan password berbeda untuk setiap platform dan manfaatkan password manager.
- Waspadai WiFi publik saat mengakses aplikasi keuangan karena data bisa disadap.
Apa yang Harus Dilakukan Jika Terlanjur Mengklik Link Phishing
Kalau sudah terlanjur, jangan panik tapi bertindak cepat. Waktu adalah faktor krusial untuk meminimalkan kerugian.
- Segera ganti password akun yang kemungkinan terkompromi.
- Hubungi customer service resmi platform PayLater terkait untuk membekukan akun sementara.
- Laporkan ke pihak bank jika ada data kartu atau rekening yang ikut diberikan.
- Cek riwayat transaksi dan segera sanggah transaksi mencurigakan.
- Laporkan kejadian ke kanal resmi Kementerian Kominfo melalui layanan aduankonten.id atau ke portal Patrolisiber milik Polri.
Jalur Pelaporan Resmi untuk Korban Phishing di Indonesia
Mengetahui ke mana harus melapor sama pentingnya dengan langkah pencegahan. Sayangnya, banyak korban tidak melapor karena merasa malu atau menganggap prosesnya rumit.
Berdasarkan informasi dari OJK, korban penipuan terkait layanan keuangan digital bisa melapor melalui beberapa kanal berikut:
- OJK melalui kontak 157 atau email [email protected] untuk pengaduan terkait lembaga keuangan terdaftar.
- Kemenkominfo melalui aduankonten.id untuk melaporkan situs atau konten phishing.
- Polri melalui Patrolisiber.id untuk tindak pidana siber.
- Bank atau platform terkait langsung melalui call center resmi yang tercantum di aplikasi.
Jadi, prosesnya sebenarnya tidak serumit yang dibayangkan. Semakin cepat dilaporkan, semakin besar peluang akun dan dana bisa diselamatkan.
Disclaimer: Data dan statistik dalam artikel ini bersifat umum berdasarkan laporan yang tersedia secara publik. Kondisi aktual bisa berbeda tergantung platform dan kebijakan masing-masing penyelenggara.
Keamanan digital pada akhirnya adalah tanggung jawab bersama antara penyelenggara dan pengguna. Teknologi pelindungan terus berkembang, tapi pelaku juga tidak pernah berhenti berinovasi.
Nah, satu hal yang pasti: kewaspadaan pribadi tetap menjadi benteng paling kuat. Selama jari belum mengklik link mencurigakan, peluang pelaku untuk berhasil sudah berkurang drastis.
Bintang Fatih Wibawa merupakan penulis dan jurnalis yang fokus pada sektor keuangan Indonesia. Bidang keahliannya meliputi industri perbankan, multifinance, pinjaman online, serta program bantuan sosial pemerintah. Bintang berkomitmen menyajikan informasi keuangan yang akurat, faktual, dan bermanfaat bagi pembaca.
