Serangan rekayasa sosial menjadi ancaman besar bagi keamanan aset enkripsi

Dalam beberapa tahun terakhir, serangan rekayasa sosial terhadap pengguna cryptocurrency semakin merajalela, yang menimbulkan ancaman serius terhadap keamanan aset. Sejak 2025, insiden penipuan rekayasa sosial yang menargetkan pengguna platform trading terkenal sering terjadi, menarik perhatian luas di industri. Dari diskusi komunitas, terlihat bahwa kejadian semacam ini bukanlah kasus terpisah, melainkan jenis penipuan yang terorganisir dan berkelanjutan.

Pada 15 Mei, platform perdagangan tersebut mengeluarkan pengumuman yang mengonfirmasi spekulasi sebelumnya tentang adanya "penipu" di platform. Departemen Kehakiman AS telah memulai penyelidikan terhadap insiden kebocoran data ini.

Artikel ini akan merangkum informasi yang diberikan oleh beberapa peneliti keamanan dan korban, mengungkapkan metode utama yang digunakan oleh penipu, serta membahas dari dua sudut pandang, yaitu platform dan pengguna, tentang bagaimana cara yang efektif untuk menangani penipuan semacam itu.

Analisis Sejarah

Detektif blockchain Zach menyatakan dalam pembaruan platform sosial pada 7 Mei: "Hanya dalam seminggu terakhir, lebih dari 45 juta dolar AS telah dicuri dari pengguna suatu platform perdagangan akibat penipuan rekayasa sosial."

Selama tahun lalu, Zach telah beberapa kali mengungkapkan insiden pencurian yang dialami oleh pengguna platform tersebut, di mana beberapa korban mengalami kerugian hingga puluhan juta dolar. Dalam penyelidikan mendetail yang dirilisnya pada Februari 2025, ia menunjukkan bahwa hanya dalam periode Desember 2024 hingga Januari 2025, total dana yang dicuri akibat penipuan serupa telah melebihi 65 juta dolar. Platform tersebut menghadapi krisis "penipuan sosial" yang serius, dengan serangan jenis ini terus mengancam keamanan aset pengguna dengan skala tahunan mencapai 300 juta dolar. Zach juga mencatat:

• Kelompok yang mendominasi penipuan jenis ini terutama dibagi menjadi dua kategori: satu adalah penyerang tingkat rendah dari suatu lingkaran, dan yang lainnya adalah organisasi kejahatan siber yang berbasis di India;
• Target serangan kelompok penipuan sebagian besar adalah pengguna Amerika, metode pelaksanaan standar, dan alur percakapan yang matang;
• Jumlah kerugian yang sebenarnya mungkin jauh lebih tinggi daripada statistik yang terlihat di blockchain, karena tidak termasuk informasi yang tidak dipublikasikan seperti tiket dukungan pelanggan yang tidak dapat diakses dan catatan laporan polisi.

Metode Penipuan

Dalam peristiwa ini, sistem teknis platform tidak berhasil ditembus, penipu memanfaatkan izin karyawan internal untuk mendapatkan sebagian informasi sensitif pengguna. Informasi ini termasuk: nama, alamat, kontak, data akun, foto KTP, dll. Tujuan akhir penipu adalah menggunakan teknik rekayasa sosial untuk mengarahkan pengguna melakukan transfer.

Metode serangan ini telah mengubah cara tradisional "penangkapan luas" dalam phishing, beralih ke "serangan terarah", yang bisa disebut sebagai penipuan sosial "yang disesuaikan". Jalur kejahatan yang khas adalah sebagai berikut:

1. Menghubungi pengguna sebagai "layanan pelanggan resmi"

Penipu menggunakan sistem telepon palsu untuk menyamar sebagai customer service platform, menelepon pengguna dan mengatakan bahwa "akun mereka mengalami login ilegal", atau "mendeteksi anomali penarikan", menciptakan suasana darurat. Mereka kemudian akan mengirim email atau SMS phishing yang tampak nyata, yang berisi nomor tiket palsu atau tautan "proses pemulihan", dan mengarahkan pengguna untuk melakukan tindakan. Tautan ini mungkin mengarah ke antarmuka platform kloning, bahkan dapat mengirim email yang tampak berasal dari nama domain resmi, beberapa email memanfaatkan teknik pengalihan untuk melewati perlindungan keamanan.

2. Pandu pengguna untuk mengunduh dompet resmi

Penipu akan menggunakan alasan "melindungi aset" untuk mengarahkan pengguna memindahkan dana ke "dompet aman", dan juga akan membantu pengguna menginstal dompet resmi, serta memberi petunjuk untuk memindahkan aset yang awalnya disimpan di platform ke dompet yang baru dibuat.

3. Menggoda pengguna untuk menggunakan kata sandi yang diberikan oleh penipu

Berbeda dengan "penipuan mendapatkan frase pemulihan" tradisional, penipu langsung memberikan satu set frase pemulihan yang mereka hasilkan sendiri, mengarahkan pengguna untuk menggunakannya sebagai "dompet baru resmi".

4. Penipu melakukan pencurian dana

Korban dalam keadaan tegang, cemas, dan mempercayai "customer service" sangat mudah terjebak. Bagi mereka, dompet baru yang "disediakan resmi" tentu lebih aman dibandingkan dompet lama yang "diduga telah diretas". Akibatnya, begitu dana ditransfer ke dompet baru ini, penipu dapat segera memindahkannya. "Kunci yang bukan kamu kendalikan, berarti koin yang bukan kamu miliki" — dalam serangan rekayasa sosial, konsep ini kembali dibuktikan dengan darah.

Selain itu, beberapa email phishing mengklaim "karena putusan gugatan class action, platform akan sepenuhnya bermigrasi ke dompet yang dikelola sendiri", dan meminta pengguna untuk menyelesaikan migrasi aset sebelum tanggal tertentu. Pengguna, di bawah tekanan waktu yang mendesak dan sugesti psikologis dari "instruksi resmi", lebih mudah untuk mengikuti operasi.

Menurut peneliti keamanan, serangan ini sering direncanakan dan dilaksanakan secara terorganisir:

• Rangkaian alat penipuan yang lengkap: Penipu menggunakan sistem PBX untuk memalsukan nomor telepon masuk, mensimulasikan panggilan dari layanan pelanggan resmi. Saat mengirim email phishing, mereka akan menggunakan bot di platform sosial untuk menyamar sebagai email resmi, dilengkapi dengan "panduan pemulihan akun" untuk mengarahkan transfer.
• Target yang tepat: Penipu memanfaatkan data pengguna yang dicuri yang dibeli dari saluran platform sosial dan dark web, menargetkan pengguna di wilayah AS sebagai sasaran utama, bahkan mereka juga menggunakan AI untuk mengolah data yang dicuri, membagi dan menyusun ulang nomor telepon, menghasilkan file TXT secara massal, kemudian mengirimkan penipuan SMS melalui perangkat lunak peretasan.
• Proses penipuan yang terhubung: dari telepon, pesan teks hingga email, jalur penipuan biasanya terhubung tanpa hambatan, frasa phishing yang umum termasuk "akun menerima permintaan penarikan" , "kata sandi telah direset", "akun mengalami login yang tidak biasa" dan seterusnya, terus-menerus membujuk korban untuk melakukan "verifikasi keamanan" hingga selesai transfer dompet.

Analisis On-Chain

Melalui sistem anti pencucian uang dan pelacakan di blockchain, analisis terhadap beberapa alamat penipu menunjukkan bahwa para penipu ini memiliki kemampuan operasional di blockchain yang cukup kuat. Berikut adalah beberapa informasi kunci:

Target serangan para penipu mencakup berbagai aset yang dimiliki pengguna, dengan waktu aktivitas alamat-alamat ini terkonsentrasi antara Desember 2024 hingga Mei 2025, dengan aset yang menjadi target utama adalah BTC dan ETH. BTC adalah target penipuan yang paling utama saat ini, dengan beberapa alamat meraih keuntungan hingga ratusan BTC sekaligus, dengan nilai per transaksi mencapai jutaan dolar.

Setelah dana diperoleh, penipu dengan cepat menggunakan serangkaian proses pencucian untuk menukarkan dan memindahkan aset, dengan pola utama sebagai berikut:

• Aset kelas ETH sering kali ditukarkan dengan cepat menjadi DAI atau USDT melalui DEX tertentu, kemudian dipindahkan secara terpisah ke beberapa alamat baru, sebagian aset masuk ke platform perdagangan terpusat;
• BTC terutama melakukan pertukaran lintas rantai ke Ethereum melalui protokol lintas rantai, kemudian ditukar menjadi DAI atau USDT, untuk menghindari risiko pelacakan.

Beberapa alamat penipuan tetap dalam status "diam" setelah menerima DAI atau USDT, belum ditransfer.

Untuk menghindari interaksi antara alamat Anda dengan alamat yang mencurigakan, yang dapat mengakibatkan risiko aset dibekukan, disarankan agar pengguna menggunakan sistem anti pencucian uang dan pelacakan on-chain untuk melakukan deteksi risiko pada alamat target sebelum melakukan transaksi, guna secara efektif menghindari ancaman potensial.

Tindakan yang Diambil

platform

Saat ini, metode keamanan mainstream lebih banyak berupa perlindungan "tingkat teknis", sementara penipuan sosial sering kali melewati mekanisme ini dan langsung menyerang celah psikologis dan perilaku pengguna. Oleh karena itu, disarankan agar platform mengintegrasikan pendidikan pengguna, pelatihan keamanan, dan desain kegunaan, serta membangun satu set "garis pertahanan yang berfokus pada manusia".

• Mengirim konten edukasi anti-penipuan secara berkala: Meningkatkan kemampuan pengguna dalam mencegah phishing melalui pop-up aplikasi, antarmuka konfirmasi transaksi, email, dan saluran lainnya;
• Mengoptimalkan model pengendalian risiko, memperkenalkan "pengenalan perilaku abnormal interaktif": Sebagian besar penipuan sosial akan mengarahkan pengguna untuk menyelesaikan serangkaian tindakan dalam waktu singkat (seperti transfer, perubahan daftar putih, pengikatan perangkat, dll.). Platform harus mengidentifikasi kombinasi interaksi mencurigakan berdasarkan model rantai perilaku (seperti "interaksi frekuensi tinggi + alamat baru + penarikan besar"), memicu periode tenang atau mekanisme peninjauan manual.
• Standarisasi saluran layanan pelanggan dan mekanisme verifikasi: Penipu sering menyamar sebagai layanan pelanggan untuk membingungkan pengguna, platform harus menyatukan telepon, SMS, dan template email, serta menyediakan "jalur verifikasi layanan pelanggan", untuk memperjelas saluran komunikasi resmi yang unik dan menghindari kebingungan.

pengguna

• Terapkan kebijakan pemisahan identitas: hindari menggunakan email atau nomor ponsel yang sama di berbagai platform, untuk mengurangi risiko keterkaitan. Anda dapat menggunakan alat pemeriksaan kebocoran untuk secara berkala memeriksa apakah email telah bocor.
• Aktifkan daftar putih transfer dan mekanisme pendinginan penarikan: Atur alamat tepercaya, mengurangi risiko kehilangan dana dalam situasi darurat.
• Terus perhatikan informasi keamanan: Melalui perusahaan keamanan, media, platform perdagangan, dan saluran lainnya, ketahui perkembangan terbaru tentang metode serangan dan tetap waspada. Saat ini, beberapa lembaga keamanan sedang meluncurkan platform simulasi phishing Web3 yang akan mensimulasikan berbagai metode phishing yang khas, termasuk penyuntikan social engineering, phishing tanda tangan, interaksi kontrak berbahaya, dan menggabungkan kasus nyata yang dikumpulkan dalam diskusi sejarah, serta terus memperbarui konten skenario. Memungkinkan pengguna untuk meningkatkan kemampuan identifikasi dan respons dalam lingkungan tanpa risiko.
• Perhatikan risiko offline dan perlindungan privasi: Kebocoran informasi pribadi juga dapat memicu masalah keamanan pribadi.

Sejak awal tahun ini, para praktisi/pengguna enkripsi telah menghadapi beberapa kejadian yang mengancam keamanan pribadi. Mengingat data yang bocor kali ini mencakup nama, alamat, kontak, data akun, foto KTP, dan sebagainya, pengguna terkait juga perlu meningkatkan kewaspadaan secara offline dan memperhatikan keamanan.

Singkatnya, tetap skeptis dan terus memverifikasi. Untuk setiap tindakan mendesak, pastikan untuk meminta pihak lain membuktikan identitas mereka dan secara independen memverifikasi melalui saluran resmi, hindari membuat keputusan yang tidak dapat diubah di bawah tekanan.

Ringkasan

Kejadian ini sekali lagi mengekspos bahwa dalam menghadapi metode serangan rekayasa sosial yang semakin matang, industri masih memiliki kekurangan yang jelas dalam perlindungan data pelanggan dan keamanan aset. Yang perlu diwaspadai adalah, meskipun posisi terkait di platform tidak memiliki izin dana, kurangnya kesadaran dan kemampuan keamanan yang memadai juga dapat menyebabkan konsekuensi serius akibat kebocoran yang tidak disengaja atau terpengaruh. Seiring dengan semakin besarnya platform, kompleksitas pengendalian keamanan personel juga meningkat, dan ini telah menjadi salah satu risiko yang paling sulit diatasi dalam industri. Oleh karena itu, sambil memperkuat mekanisme keamanan di blockchain, platform juga harus secara sistematis membangun "sistem pertahanan rekayasa sosial" yang mencakup personel internal dan layanan outsourcing, dengan memasukkan risiko manusia ke dalam strategi keamanan secara keseluruhan.

Selain itu, begitu serangan ditemukan bukan merupakan kejadian terisolasi, melainkan ancaman berkelanjutan yang terorganisir dan berskala, platform harus segera merespons, secara proaktif memeriksa potensi kerentanan, mengingatkan pengguna untuk waspada, dan mengendalikan sejauh mana kerusakan. Hanya dengan merespons secara ganda di tingkat teknologi dan organisasi, kita dapat benar-benar mempertahankan kepercayaan dan batasan di lingkungan keamanan yang semakin kompleks.