Cara Melindungi Diri dari Peretasan Kripto dan Rekayasa Sosial

Rekayasa sosial sangat berbahaya dalam dunia kripto karena peretas bisa memanipulasi pengguna dan mencuri dana. Pelajari cara melindungi diri dari peretasan dan penipuan kripto.

Pendahuluan

Uang kripto menawarkan kebebasan finansial, tetapi juga menarik penjahat siber yang mencari cara-cara baru untuk mengeksploitasi pengguna. Tidak seperti perbankan konvensional, transaksi kripto tidak dapat dibatalkan sehingga keamanan menjadi prioritas utama. Salah satu ancaman paling berbahaya di ranah ini adalah rekayasa sosial, suatu teknik yang digunakan peretas untuk memanipulasi orang alih-alih meretas sistem.

Dari serangan penipuan phishing hingga peniruan identitas, rekayasa sosial bertanggung jawab atas sejumlah pencurian kripto terbesar, termasuk peretasan Bybit pada awal 2025, yang mengakibatkan kerugian US$1,5 miliar.

Memahami cara kerja penipuan ini dan mempelajari cara agar tetap terlindungi sangat penting bagi siapa pun yang terlibat dalam dunia kripto.

Dalam artikel ini, kami menjelaskan bagaimana rekayasa sosial dapat mengarah ke peretasan kripto, menyoroti contoh nyata, dan memberikan kiat-kiat yang bisa ditindaklanjuti untuk melindungi dana.

Apa Itu Rekayasa Sosial?

Rekayasa sosial adalah teknik manipulasi yang digunakan untuk mengeksploitasi psikologi manusia guna mendapatkan akses ke informasi, sistem, atau lokasi fisik yang sensitif. Alih-alih menyerang kerentanan teknis, pelaku rekayasa sosial menyasar kerentanan sifat manusia seperti mudah percaya, suka membantu, rasa takut, dan rasa ingin tahu.

Taktik rekayasa sosial yang paling umum mencakup hal-hal berikut.

• Phishing: Email atau pesan palsu yang dirancang untuk mencuri kredensial.
• Pretexting: Menciptakan skenario yang mengada-ada untuk mendapatkan informasi.
• Umpan: Menawarkan sesuatu yang menggoda, seperti token atau perangkat lunak gratis, untuk memikat korban.
• Tailgating: Membuntuti personel yang berwenang ke area terlarang.
• Quid pro quo: Menawarkan layanan dengan imbalan informasi.
• Impersonasi: Menyamar sebagai orang yang dipercaya (seperti staf pelayanan nasabah atau pimpinan tim) untuk mendapatkan informasi.

Serangan-serangan tersebut sangat berbahaya karena dapat melewati langkah-langkah pengamanan teknis dengan mengeksploitasi psikologi manusia.

Pertahanan yang efektif mencakup pelatihan kesadaran keamanan, prosedur verifikasi, dan mendorong terciptanya budaya mempertanyakan permintaan yang tidak lazim.

Bagaimana Rekayasa Sosial Menyebabkan Peretasan Kripto?

Rekayasa sosial memainkan peran penting dalam peretasan kripto dengan menyasar kerentanan manusia, bukan kelemahan teknis dalam sistem blockhain.

Peniruan identitas (impersonasi) adalah hal yang paling umum. Peretas menyaru sebagai staf bursa atau pimpinan tim di platform seperti Discord, X, dan Telegram lalu meyakinkan pengguna agar membagikan data sensitif atau mengeklik tautan berbahaya.

Mereka membuat situs web phishing yang meyakinkan dengan meniru bursa resmi untuk mencuri kunci pribadi dan frasa benih (seed phrase) atau menggunakan teknik menukar kartu SIM untuk melewati autentikasi multifaktor (MFA) dengan mengambil kendali nomor telepon korban. Banyak juga penipu yang mempromosikan peluang investasi palsu, seperti penawaran koin perdana (ICO) atau prapenjualan eksklusif, lalu menghilang begitu saja dengan dana investor.

Peretas yang secara teknis lebih canggih mengelabui pengguna untuk menghubungkan dompet mereka ke aplikasi terdesentralisasi (dApp) berbahaya atau menyetujui interaksi kontrak pintar berbahaya yang akan menguras akun mereka. Parahnya lagi, ada penipu yang menyasar pengembang dan pengelola cadangan kas dengan rekayasa sosial sehingga membahayakan seluruh organisasi otonomi terdesentralisasi (DAO) atau dompet panas (hot wallet) bursa.

Di ranah kripto, tidak ada pengembalian dana. Setelah ditransfer, aset tidak dapat dikembalikan. Itu sebabnya rekayasa sosial sangat efektif sekaligus berbahaya.

Kasus Peretasan Kripto Tingkat Tinggi: Peretasan Rekayasa Sosial Lazarus Group

Pada Februari 2025, Bybit, salah satu bursa kripto ternama, mengalami pelanggaran serius pada sistem keamanannya, yang mengakibatkan pencurian Ethereum senilai sekitar $1,5 miliar.

Dalam penyelidikan terungkap bahwa kelompok peretas yang disponsori negara Korea Utara itu, yang dikenal sebagai Lazarus Group atau TraderTraitor, mengatur peretasan tersebut. Pelanggaran tersebut dilakukan melalui serangan rantai pasok canggih yang menggabungkan taktik rekayasa sosial berikut.

1. Menyasar Pengembang: Serangan dimulai ketika seorang pengembang Safe{Wallet} direkayasa secara sosial oleh seseorang yang menyamar sebagai kontributor sumber terbuka tepercaya. Ia meyakinkan pengembang tersebut untuk menjalankan proyek Docker Python yang berbahaya di Mac miliknya.
   
2. Pembajakan Sesi AWS: Setelah workstation pengembang dibobol, peretas mengekstrak token sesi sementara untuk Amazon Web Services (AWS), platform infrastruktur cloud yang digunakan oleh Safe{Wallet}. Dengan token ini, peretas dapat melewati MFA dan secara diam-diam mempertahankan akses ke sistem penting selama hampir 20 hari.
   
3. Memanipulasi Proses Transaksi: Peretas menyuntikkan JavaScript berbahaya ke UI Safe{Wallet}—alat yang digunakan Bybit untuk menyetujui transaksi dompet dingin (cold wallet)—yang menyebabkan penanda tangan secara tidak sadar mengirim dana ke peretas.

Dengan mengeksploitasi kepercayaan manusia dan menyasar rantai pasok perangkat lunak, peretas secara efektif menerobos langkah-langkah pengamanan konvensional, yang menyebabkan salah satu pencurian uang kripto terbesar hingga saat ini.

Cara Mengetahui dan Menghentikan Penipuan Rekayasa Sosial di Ranah Kripto

1. Memverifikasi Identitas

Selalu periksa kembali pihak lain yang bersangkutan, terutama jika mereka meminta informasi sensitif. Gunakan kontak resmi, bukan tautan atau email yang mereka berikan.

• Aktifkan MFA menggunakan aplikasi autentikator, bukan SMS.
• Pertimbangkan penggunaan kunci sandi untuk pelindungan ekstra, jika didukung.

Berikut ini penjelasan selengkapnya tentang cara mengaktifkan 2FA untuk akun Crypto.com.

2. Berhati-hati dengan Informasi Pribadi

Penipu memanfaatkan media sosial untuk mencari petunjuk guna merancang serangan yang meyakinkan. Jangan pernah membagikan frasa benih, kata sandi, atau kunci pribadi—sekalipun kepada orang yang mengaku dari pelayanan nasabah.

Gunakan kata sandi yang unik dan kuat untuk setiap akun, dan pertimbangkan pengelola kata sandi.

3. Bersikap Skeptis terhadap Pesan Takterduga

Berhati-hatilah dengan tautan atau lampiran dalam pesan langsung atau email, terutama jika tidak diminta. Jika ragu, telusuri secara manual URL yang tepercaya. Perhatikan tanda-tanda kecil phishing seperti kesalahan ejaan pada nama domain atau alamat email.

4. Menjaga Higienitas Keamanan

Selalu perbarui semuanya, dari aplikasi dompet hingga ekstensi browser. Pembaruan perangkat lunak dapat mengatasi kerentanan yang diketahui. Untuk pelindungan maksimal, gunakan dompet perangkat keras dan pertimbangkan baik-baik sebelum menyetujui interaksi kontrak pintar.

5. Mengikuti Informasi Terkini

Ikuti informasi terkini tentang teknik penipuan terbaru karena taktik rekayasa sosial terus berkembang. Jika ada sesuatu yang mencurigakan atau terlalu muluk, kemungkinan besar memang demikian.

Simpulan

Rekayasa sosial tetap menjadi salah satu cara paling efektif bagi penjahat siber untuk menerobos langkah-langkah pengamanan dan mencuri uang kripto. Seperti yang terlihat pada peretasan Bybit, institusi besar dengan keamanan canggih sekalipun bisa menjadi korban ketika kepercayaan manusia dieksploitasi.

Dengan tetap waspada, memverifikasi identitas, melindungi informasi pribadi, dan menjaga keamanan tetap steril dan kuat, pengguna dapat secara signifikan mengurangi risiko menjadi sasaran. Edukasi merupakan pertahanan terbaik—kenali berbagai jenis penipuan yang bermunculan dan selalu pertanyakan permintaan yang takterduga sekalipun terlihat sangat meyakinkan.

Dalam dunia kripto, keamanan tidak bisa ditawar-tawar, jadi lakukan segala tindakan pencegahan untuk melindungi semua aset. Ikuti informasi terkini, tetap skeptis, dan tetap aman.

Lakukan Uji Tuntas dan Riset Sendiri

Semua contoh yang tercantum dalam artikel ini hanya untuk keperluan informasi. Anda tidak boleh menafsirkan informasi tersebut atau materi lain sebagai nasihat hukum, pajak, investasi, keuangan, keamanan siber, atau nasihat lainnya. Di dalamnya sama sekali tidak terkandung ajakan, rekomendasi, dukungan, atau tawaran dari Crypto.com untuk berinvestasi, membeli atau menjual koin, token, atau aset kripto lainnya. Keuntungan dari pembelian dan penjualan aset kripto dapat dikenai pajak, termasuk pajak keuntungan modal, di yurisdiksi Anda. Setiap deskripsi produk atau fitur Crypto.com hanya untuk keperluan ilustrasi, bukan merupakan dukungan, undangan, atau ajakan.

Kinerja masa lalu tidak menjamin atau mencerminkan kinerja masa depan. Nilai aset kripto bisa naik atau turun; Anda juga bisa kehilangan semua atau sebagian besar nilai aset yang Anda beli. Ketika menilai aset kripto, Anda hendaknya melakukan riset dan uji tuntas sendiri untuk membuat penilaian terbaik karena setiap pembelian akan menjadi tanggung jawab Anda sepenuhnya.