Kerugian Tembus US$306 Juta pada Kuartal I-2026, Ini Modus Penipuan yang Mengincar Investor Kripto

Meningkatnya minat masyarakat terhadap aset kripto diikuti dengan maraknya kejahatan siber yang menyasar pengguna. Modus phishing dan social engineering, termasuk penipuan berkedok customer support (CS), menjadi penyumbang terbesar kerugian keamanan di industri Web3 sepanjang kuartal I-2026.

Berdasarkan laporan keamanan Web3 yang dirilis Hacken, lebih dari 63% kerugian akibat insiden keamanan pada Januari-Maret 2026 berasal dari phishing dan social engineering. Dari total kerugian sekitar US$482 juta, sebanyak US$306 juta di antaranya dipicu oleh kedua modus tersebut, melampaui kerugian akibat wallet scam, eksploitasi smart contract, maupun serangan teknis lainnya.

Chief Marketing Officer INDODAX, Aloysia Dian, mengatakan pola serangan siber kini bergeser dari upaya membobol sistem menjadi memanfaatkan kelengahan pengguna.

“Saat ini pelaku kejahatan siber tidak lagi hanya mencari celah pada sistem, tetapi juga mencari celah pada manusia. Modus CS palsu merupakan salah satu bentuk social engineering yang memanfaatkan rasa panik dan kepercayaan pengguna agar secara sukarela memberikan akses ke akun mereka,” ujar Aloysia, dalam keterangan resmi di Jakarta, Kamis (25/6/2026). 

Menurutnya, pelaku umumnya mengatasnamakan customer support platform kripto untuk memperoleh informasi sensitif seperti kata sandi (password), PIN, kode one-time password (OTP), hingga recovery code.

Aloysia menambahkan, perkembangan teknologi kecerdasan buatan (artificial intelligence/AI) membuat modus phishingsemakin sulit dikenali karena pelaku mampu menghasilkan email maupun pesan instan yang menyerupai komunikasi resmi perusahaan.

“Jika dahulu pesan penipuan relatif mudah dikenali karena banyak kesalahan penulisan, kini pelaku mampu membuat komunikasi yang sangat menyerupai pesan resmi perusahaan. Karena itu, kami selalu mengingatkan pengguna untuk melakukan verifikasi sebelum memberikan informasi apa pun terkait akun mereka,” katanya.

Ancaman serupa juga tercermin dalam laporan Microsoft Threat Intelligence. Lembaga tersebut mencatat serangan QR phishing menjadi salah satu metode dengan pertumbuhan tercepat pada kuartal I-2026. Volume serangan meningkat sekitar 146%, dari 7,6 juta pada Januari menjadi 18,7 juta pada Maret.

Dalam modus tersebut, pelaku menyisipkan kode QR pada email atau dokumen yang tampak resmi. Saat dipindai, korban diarahkan ke halaman masuk (login) palsu untuk mencuri informasi akun.

Baca Juga: Investor Kripto Tembus 21,7 Juta, Indodax Tekankan Pentingnya Literasi Investor

Baca Juga: Tokocrypto Minta OJK Perjelas Aturan Bursa Kripto dalam UU P2SK

Baca Juga: Bitcoin Jeblok ke Bawah US$60.000, Investor Ramai-Ramai Amankan Dana

Sebagai langkah mitigasi, INDODAX mengimbau pengguna hanya menghubungi layanan pelanggan melalui kanal resmi, memastikan alamat situs (website) yang diakses benar, serta mengaktifkan autentikasi berlapis (multi-factor authentication).

Perusahaan juga menegaskan bahwa Customer Support INDODAX tidak pernah meminta kata sandi, PIN, recovery code, maupun kode OTP, serta tidak pernah meminta pengguna mentransfer dana ke rekening pribadi dalam kondisi apa pun.

Selain itu, INDODAX menyatakan tidak memiliki nomor WhatsApp resmi untuk layanan pelanggan. Pengguna yang menerima pesan atau panggilan melalui WhatsApp yang mengatasnamakan Customer Support INDODAX diimbau segera menghentikan komunikasi dan melakukan verifikasi melalui kanal resmi perusahaan.