Serangan phishing dan teknik social engineering kini menjadi sumber utama kerugian di ekosistem Web3. Laporan keamanan dari Hacken mencatat lebih dari 63% total kerugian keamanan pada kuartal pertama 2026 bersumber dari modus tersebut, melampaui wallet scam, eksploitasi smart contract, dan serangan teknis lain.

Total kerugian akibat insiden keamanan Web3 pada Januari–Maret 2026 mencapai sekitar US$ 482 juta, dengan sekitar US$ 306 juta berasal dari phishing dan social engineering. Data ini menggambarkan pergeseran fokus pelaku kejahatan siber yang semakin mengeksploitasi kelalaian pengguna daripada menembus celah teknologi.

Chief Marketing Officer INDODAX, Aloysia Dian, mengatakan pola serangan itu tercermin dari maraknya modus penipuan yang mengatasnamakan Customer Support (CS) INDODAX. Menurutnya, pelaku memanfaatkan kepercayaan pengguna untuk memperoleh password, PIN, kode OTP, maupun informasi sensitif lainnya.

“Saat ini pelaku kejahatan siber tidak lagi hanya mencari celah pada sistem, tetapi juga mencari celah pada manusia. Modus CS palsu merupakan salah satu bentuk social engineering yang memanfaatkan rasa panik dan kepercayaan pengguna agar secara sukarela memberikan akses ke akun mereka,”

Aloysia menambahkan bahwa perkembangan kecerdasan buatan membuat modus CS phishing semakin sulit dikenali. Pelaku kini mampu menghasilkan email, pesan instan, hingga komunikasi yang tampak profesional melalui teknologi seperti AI generatif, sehingga korban semakin sulit membedakan mana komunikasi resmi dan mana yang merupakan penipuan.

“Jika dahulu pesan penipuan relatif mudah dikenali karena banyak kesalahan penulisan, kini pelaku mampu membuat komunikasi yang sangat menyerupai pesan resmi perusahaan. Karena itu, kami selalu mengingatkan pengguna untuk melakukan verifikasi sebelum memberikan informasi ap pun terkait akun mereka,”

Perkembangan Metode Serangan

Selain memanfaatkan AI, Microsoft Threat Intelligence mencatat QR phishing sebagai salah satu metode dengan pertumbuhan tercepat pada kuartal pertama 2026. Volume serangan naik sekitar 146%, dari 7,6 juta pada Januari menjadi 18,7 juta pada Maret. Modus ini mengarahkan korban ke halaman login palsu melalui kode QR yang disisipkan dalam email maupun dokumen yang tampak sah.

Imbauan dan Langkah Perlindungan

INDODAX mengimbau pengguna untuk selalu menghubungi Customer Support melalui kanal resmi perusahaan, melakukan pengecekan ganda terhadap alamat situs yang diakses, serta mengaktifkan autentikasi berlapis. Pengguna juga diingatkan agar tidak membagikan informasi pribadi terkait akun kepada pihak manapun tanpa melalui proses verifikasi.

Perusahaan menegaskan tim Customer Support resmi tidak pernah meminta password, PIN, recovery code, maupun kode OTP, serta tidak pernah meminta pengguna untuk mentransfer dana ke rekening pribadi dalam kondisi apa pun. INDODAX juga menyatakan tidak memiliki nomor WhatsApp Customer Support resmi; jika terdapat pihak yang menghubungi melalui WhatsApp mengatasnamakan CS INDODAX, pengguna diminta segera mengakhiri komunikasi dan melakukan verifikasi melalui kanal resmi.