Di dunia cryptocurrency yang bergerak cepat dan terus berkembang, di mana aset digital dipertukarkan, dan kekayaan dapat diperoleh, bahaya yang mengintai mengancam keselamatan baik investor berpengalaman maupun pendatang baru: penipuan phishing crypto.
Skema ini dirancang untuk mengeksploitasi kepercayaan dan kerentanan individu, yang bertujuan mengelabui mereka agar mengungkapkan informasi sensitif mereka atau bahkan berpisah dengan kepemilikan crypto yang mereka peroleh dengan susah payah.
Karena popularitas cryptocurrency terus meningkat, begitu pula kecanggihan teknik phishing yang digunakan oleh penjahat dunia maya. Dari menyamar sebagai bursa dan dompet yang sah hingga menyusun taktik rekayasa sosial yang menarik, para penipu ini tidak berhenti untuk mendapatkan akses tidak sah ke aset digital Anda.
Aktor jahat menggunakan berbagai metode rekayasa sosial untuk menargetkan korbannya. Dengan taktik rekayasa sosial, penipu memanipulasi emosi pengguna dan menciptakan rasa percaya dan urgensi.
Eric Parker, CEO dan salah satu pendiri Giddy – dompet pintar dompet tanpa hak asuh – memberi tahu Cointelegraph, “Apakah seseorang menjangkau Anda tanpa Anda minta? Itu salah satu aturan praktis terbesar yang dapat Anda gunakan. Layanan pelanggan jarang, jika pernah, secara proaktif menjangkau Anda, jadi Anda harus selalu curiga terhadap pesan yang mengatakan bahwa Anda perlu mengambil tindakan terhadap akun Anda.”
“Gagasan yang sama dengan uang gratis: Jika seseorang mengirimi Anda pesan karena mereka ingin memberi Anda uang gratis, kemungkinan besar, itu tidak nyata. Berhati-hatilah terhadap pesan apa pun yang terasa terlalu bagus untuk menjadi kenyataan atau memberi Anda rasa urgensi atau ketakutan langsung untuk membuat Anda bertindak cepat.
Penipuan email dan pesan
Salah satu teknik umum yang digunakan dalam penipuan phishing kripto adalah menyamar sebagai entitas tepercaya, seperti bursa mata uang kripto atau penyedia dompet. Penipu mengirimkan email atau pesan yang tampaknya berasal dari organisasi yang sah ini, menggunakan branding, logo, dan alamat email yang serupa. Mereka bertujuan untuk menipu penerima agar percaya bahwa komunikasi tersebut berasal dari sumber yang dapat dipercaya.
Untuk mencapai hal ini, scammer dapat menggunakan teknik seperti spoofing email, di mana mereka memalsukan alamat email pengirim agar seolah-olah berasal dari organisasi yang sah. Mereka juga dapat menggunakan taktik rekayasa sosial untuk mempersonalisasi pesan dan membuatnya tampak lebih otentik. Dengan menyamar sebagai entitas tepercaya, penipu mengeksploitasi kepercayaan dan kredibilitas yang terkait dengan organisasi ini untuk mengelabui pengguna agar mengambil tindakan yang membahayakan keamanan mereka.
Permintaan dukungan palsu
Penipu phishing kripto sering berpura-pura sebagai perwakilan dukungan pelanggan dari bursa mata uang kripto atau penyedia dompet yang sah. Mereka mengirim email atau pesan ke pengguna yang tidak menaruh curiga, mengklaim masalah dengan akun mereka atau transaksi tertunda yang membutuhkan perhatian segera.
Penipu menyediakan metode kontak atau tautan ke situs web dukungan palsu tempat pengguna diminta untuk memasukkan kredensial masuk atau informasi sensitif lainnya.
Omri Lahav, CEO dan salah satu pendiri Blockfence — ekstensi browser keamanan crypto — mengatakan kepada Cointelegraph, “Penting untuk diingat bahwa jika seseorang mengirimi Anda pesan atau email tanpa diminta, mereka mungkin menginginkan sesuatu dari Anda. Tautan dan lampiran ini dapat berisi malware yang dirancang untuk mencuri kunci Anda atau mendapatkan akses ke sistem Anda,” melanjutkan:
“Selain itu, mereka dapat mengarahkan Anda ke situs web phishing. Selalu verifikasi identitas pengirim dan keabsahan email untuk memastikan keamanan. Hindari mengklik tautan secara langsung; salin dan tempel URL ke browser Anda, periksa dengan cermat apakah ada perbedaan ejaan dalam nama domain.”
Dengan menyamar sebagai personel pendukung, penipu mengeksploitasi kepercayaan pengguna pada saluran dukungan pelanggan yang sah. Selain itu, mereka memangsa keinginan untuk menyelesaikan masalah dengan cepat, mengarahkan pengguna untuk dengan rela mengungkapkan informasi pribadi mereka, yang nantinya dapat digunakan penipu untuk tujuan jahat.
Situs web palsu dan platform kloning
Aktor jahat juga dapat membangun situs web dan platform palsu untuk memikat pengguna yang tidak menaruh curiga.
Spoofing nama domain adalah teknik di mana penipu mendaftarkan nama domain yang sangat mirip dengan nama bursa mata uang kripto atau penyedia dompet yang sah. Misalnya, mereka mungkin mendaftarkan domain seperti "exchnage.com", bukan "exchange.com", atau "myethwallet", bukan "myetherwallet". Sayangnya, variasi kecil ini dapat dengan mudah diabaikan oleh pengguna yang tidak menaruh curiga.
Lahav mengatakan bahwa pengguna harus "memverifikasi apakah situs web yang dimaksud memiliki reputasi dan terkenal".
Baru-baru ini: Bitcoin berada di jalur yang bertabrakan dengan janji 'Net Zero'
“Memeriksa ejaan URL yang benar juga penting, karena pelaku jahat sering kali membuat URL yang sangat mirip dengan situs yang sah. Pengguna juga harus berhati-hati dengan situs web yang mereka temukan melalui iklan Google, karena mereka mungkin tidak berperingkat tinggi secara organik dalam hasil pencarian,” katanya.
Penipu menggunakan nama domain palsu ini untuk membuat situs web yang meniru platform resmi. Mereka sering mengirim email atau pesan phishing yang berisi tautan ke situs web palsu ini, menipu pengguna agar percaya bahwa mereka mengakses platform asli. Setelah pengguna memasukkan kredensial login mereka atau melakukan transaksi di situs web ini, penipu menangkap informasi sensitif dan mengeksploitasinya untuk keuntungan mereka.
Perangkat lunak berbahaya dan aplikasi seluler
Peretas juga dapat menggunakan perangkat lunak berbahaya untuk menargetkan pengguna. Keyloggers dan pembajakan papan klip adalah teknik yang digunakan scammer phishing kripto untuk mencuri informasi sensitif dari perangkat pengguna.
Keyloggers adalah program perangkat lunak berbahaya yang merekam setiap penekanan tombol yang dilakukan pengguna di perangkat mereka. Saat pengguna memasukkan kredensial login atau kunci pribadi, keylogger menangkap informasi ini dan mengirimkannya kembali ke penipu. Pembajakan papan klip melibatkan penyadapan konten yang disalin ke papan klip perangkat.
Transaksi Cryptocurrency seringkali melibatkan penyalinan dan penempelan alamat dompet atau informasi sensitif lainnya. Penipu menggunakan perangkat lunak berbahaya untuk memantau papan klip dan mengganti alamat dompet yang sah dengan alamat mereka sendiri. Saat pengguna menempelkan informasi ke bidang yang dimaksud, mereka tanpa sadar mengirim dana mereka ke dompet scammer.
Bagaimana pengguna dapat tetap terlindungi dari penipuan crypto phishing
Ada langkah-langkah yang dapat diambil pengguna untuk melindungi diri mereka sendiri saat menavigasi ruang crypto.
Mengaktifkan autentikasi dua faktor (2FA) adalah salah satu alat yang dapat membantu mengamankan akun terkait crypto dari penipuan phishing.
2FA menambahkan lapisan perlindungan ekstra dengan meminta pengguna memberikan bentuk verifikasi kedua, biasanya kode unik yang dibuat di perangkat seluler mereka, selain kata sandi mereka. Hal ini memastikan bahwa meskipun penyerang mendapatkan kredensial login pengguna melalui upaya phishing, mereka masih membutuhkan faktor kedua (seperti sandi satu kali berbasis waktu) untuk mendapatkan akses.
Memanfaatkan autentikator berbasis perangkat keras atau perangkat lunak
Saat menyiapkan 2FA, pengguna harus mempertimbangkan untuk menggunakan autentikator berbasis perangkat keras atau perangkat lunak daripada hanya mengandalkan autentikasi berbasis SMS. 2FA berbasis SMS dapat rentan terhadap serangan pertukaran SIM, di mana penyerang secara curang mengambil kendali atas nomor telepon pengguna.
Otentikator perangkat keras, seperti YubiKey atau kunci keamanan, adalah perangkat fisik yang menghasilkan kata sandi satu kali dan memberikan lapisan keamanan ekstra. Otentikator berbasis perangkat lunak, seperti Google Authenticator atau Authy, menghasilkan kode berbasis waktu pada ponsel cerdas pengguna. Metode ini lebih aman daripada autentikasi berbasis SMS karena tidak rentan terhadap serangan pertukaran SIM.
Verifikasi keaslian situs web
Untuk melindungi dari penipuan phishing, pengguna harus menghindari mengeklik tautan yang disediakan di email, pesan, atau sumber tidak terverifikasi lainnya. Sebagai gantinya, mereka harus secara manual memasukkan URL situs web pertukaran cryptocurrency, dompet, atau platform lain yang ingin mereka akses.
Dengan memasukkan URL situs web secara manual, pengguna memastikan bahwa mereka mengakses situs web yang sah secara langsung daripada dialihkan ke situs web palsu atau tiruan dengan mengeklik tautan phishing.
Berhati-hatilah dengan tautan dan lampiran
Sebelum mengeklik tautan apa pun, pengguna harus mengarahkan kursor mouse ke tautan tersebut untuk melihat URL tujuan di bilah status atau keterangan alat peramban. Hal ini memungkinkan pengguna untuk memverifikasi tujuan tautan yang sebenarnya dan memastikannya sesuai dengan situs web yang diharapkan.
Penipu phishing sering menyamarkan tautan dengan menampilkan teks URL yang berbeda dari tujuan. Dengan mengarahkan kursor ke tautan, pengguna dapat mendeteksi ketidakkonsistenan dan URL mencurigakan yang mungkin mengindikasikan upaya phishing.
Parker menjelaskan kepada Cointelegraph, “Sangat mudah untuk memalsukan tautan yang mendasari email. Penipu dapat menunjukkan kepada Anda satu tautan dalam teks email tetapi membuat hyperlink yang mendasarinya menjadi sesuatu yang lain.
“Penipuan favorit di antara crypto phisher adalah menyalin UI situs web terkemuka tetapi menempatkan kode berbahaya mereka untuk bagian login atau Wallet Connect, yang mengakibatkan kata sandi dicuri, atau lebih buruk lagi, frase awal yang dicuri. Jadi, selalu periksa kembali URL situs web tempat Anda masuk atau hubungkan dompet kripto Anda.”
Memindai lampiran dengan perangkat lunak antivirus
Pengguna harus berhati-hati saat mengunduh dan membuka lampiran, terutama dari sumber yang tidak tepercaya atau mencurigakan. Lampiran dapat berisi malware, termasuk keyloggers atau trojan, yang dapat membahayakan keamanan perangkat pengguna dan akun mata uang kripto.
Untuk mengurangi risiko ini, pengguna harus memindai semua lampiran dengan perangkat lunak antivirus terkemuka sebelum membukanya. Ini membantu mendeteksi dan menghilangkan potensi ancaman malware, mengurangi kemungkinan menjadi korban serangan phishing.
Selalu perbarui perangkat lunak dan aplikasi
Memperbarui sistem operasi, browser web, perangkat, dan perangkat lunak lainnya sangat penting untuk menjaga keamanan perangkat pengguna. Pembaruan dapat menyertakan tambalan keamanan yang mengatasi kerentanan yang diketahui dan melindungi dari ancaman yang muncul.
Memanfaatkan perangkat lunak keamanan terkemuka
Untuk menambahkan lapisan perlindungan ekstra terhadap penipuan phishing dan malware, pengguna harus mempertimbangkan untuk memasang perangkat lunak keamanan yang memiliki reputasi baik di perangkat mereka.
Perangkat lunak antivirus, anti-malware, dan anti-phishing dapat membantu mendeteksi dan memblokir ancaman berbahaya, termasuk email phishing, situs web palsu, dan file yang terinfeksi malware.
Dengan memperbarui dan menjalankan pemindaian keamanan secara teratur menggunakan perangkat lunak terkemuka, pengguna dapat meminimalkan risiko menjadi korban penipuan phishing dan memastikan keamanan keseluruhan perangkat mereka dan aktivitas terkait cryptocurrency.
Mendidik diri sendiri dan tetap terinformasi
Penipuan phishing kripto terus berkembang, dan taktik baru muncul secara teratur. Pengguna harus mengambil inisiatif untuk mendidik diri mereka sendiri tentang teknik phishing dan penipuan terbaru yang menargetkan komunitas cryptocurrency. Selain itu, tetap dapatkan informasi dengan meneliti dan membaca tentang insiden phishing terbaru dan praktik terbaik keamanan.
Terbaru: Apa itu penggunaan wajar? Mahkamah Agung AS mempertimbangkan dilema hak cipta AI
Untuk terus mengikuti berita terkait keamanan dan menerima peringatan tepat waktu tentang penipuan phishing, pengguna harus mengikuti sumber tepercaya di komunitas mata uang kripto. Ini dapat mencakup pengumuman resmi dan akun media sosial pertukaran cryptocurrency, penyedia dompet, dan organisasi keamanan siber terkemuka.
Dengan mengikuti sumber terpercaya, pengguna dapat menerima informasi dan peringatan akurat mengenai penipuan phishing yang muncul, kerentanan keamanan, dan praktik terbaik untuk melindungi aset kripto mereka.
Sumber: https://cointelegraph.com/news/crypto-phishing-scams-how-users-can-stay-protected