Mengapa Indonesia Menjadi 'Surga' Penipuan Digital dan Phishing?

tirto.id - Aktivitas kejahatan penipuan digital (online scam) dan serangan digital berupa pengelabuan alias phishing seakan tak habis-habisnya menjerat masyarakat Indonesia. Tak berlebih jika menyebut Indonesia menjadi lahan subur bagi para penjahat siber kelas teri hingga pemain besar dengan jejaring kejahatan global. Ekosistem penipuan digital dan phishing seolah tak mampu diberantas hingga ke akar-akarnya, meskipun sudah jatuh korban dengan kerugian yang luar biasa.

Menurut data yang diberikan oleh Satuan Tugas Pemberantasan Aktivitas Keuangan Ilegal (Satgas PASTI) Otoritas Jasa Keuangan (OJK) kepada Tirto, selama periode 20 November 2024 hingga 31 Desember 2025 saja, tercatat sebanyak 416.787 laporan penipuan (scam), dengan total kerugian masyarakat yang dilaporkan mencapai sekitar Rp9 triliun. Per Januari 2026, Indonesia Anti Scam Center (IASC) baru memblokir dan menyelamatkan dana korban sebanyak Rp432 miliar.

Bahkan, Indonesia termasuk negara paling rawan aktivitas penipuan digital menurut hasil Global Fraud Index 2025. Indonesia masuk dalam lima negara terbawah di dunia yang rentan terhadap penipuan digital. Tingginya angka kerugian turut diperparah dengan sistem penanganan kasus scam di Indonesia yang masih bersifat reaktif dan terfragmentasi.

Ditambah, sindikat scam serta jejaring phishing di dunia maya semakin canggih beradaptasi memanfaatkan perkembangan teknologi. Tak hanya memanfaatkan cara konvensional yang menitikberatkan teknik rekayasa sosial (social engineering) terhadap korban, kini modus itu dapat semakin mulus dan berbahaya dengan kehadiran kecerdasan artifisial (AI).

Kejahatan siber kini sudah menjadi industri layanan ekosistem kejahatan digital atau dikenal dengan fenomena kejahatan “Scam as a Services”. Dalam skema operasional ini, penipuan tidak lagi dilakukan secara individu. Sindikat menyediakan paket layanan kejahatan digital seperti web scam, tools penipuan digital, hingga script phishing yang dapat dibeli oleh pelaku lain.

Pada kasus dengan jejaring skala global, “Scam as a Services” mencakup penyediaan basis data calon korban, skrip manipulasi psikologis, perangkat lunak AI untuk deepfake, hingga infrastruktur pencucian uang digital. Mereka bahkan bisa beroperasi dari luar negeri dengan memanfaatkan celah regulasi dan lemahnya koordinasi penegakan hukum antarnegara.

Aktivitas “Scam as a Services” teranyar dan salah satu yang paling besar terkuak berpusat di Indonesia. Bulan lalu, Polri bersama Federal Bureau of Investigation (FBI) Atlanta, Amerika Serikat (AS), berhasil mengungkap sindikat penjualan tools phishing yang memakan korban lintas negara. Dua orang pelaku asal Indonesia ditangkap dan disebut sudah melancarkan kejahatan layanan penipuan digital ini sejak 2019–2024.

Tools ini bekerja dengan menyedot data saat korban memasukkan username dan password, bahkan mampu mengambil session login sehingga pelaku bisa mengakses akun tanpa perlu kode OTP. Dari hasil penyidikan, korban diketahui tidak hanya berasal dari Indonesia, tetapi juga dari luar negeri, menegaskan bahwa kejahatan ini bersifat transnational cybercrime.

Sementara dari penelusuran transaksi sejak 2021 hingga 2026, tersangka diperkirakan telah meraup keuntungan hingga Rp25 miliar dari pengoperasian modus “Scam as a Services” ini.

Pengungkapan ini tentu patut diapresiasi karena berhasil menumbangkan salah satu jejaring kejahatan digital berskala global. Namun, kejahatan scam dan phishing di Indonesia tampak masih jauh dari “beres” karena ekosistem penipuan digital lewat modus “Scam as a Services” nyatanya masih banyak bertebaran di media sosial.

Penelusuran Tirto di platform Facebook menemukan banyak unggahan yang mempromosikan jasa pembuatan web scam/phishing siap pakai. Lebih jauh dari itu, bertebaran grup-grup di Facebook yang memang digunakan untuk jual-beli situs-situs penipuan digital. Penjual jasa pembuatan web scam dan link phishing ini bahkan amat mudah dicari lewat Google.

Di Facebook, sejumlah grup publik ditengarai menjadi tempat para pelaku jasa pembuat web scam, phishing, bahkan situs judi online, untuk menjajakan layanannya. Temuan Tirto, grup yang masih memiliki aktivitas aktif di Facebook ini, misalnya “Berbagi Script Phising Indonesia ( Gratis 100% )”, “grup belajar web phising”, dan “Official Berbagi Script All Phising”.

Tirto mencoba berinteraksi dengan salah satu akun yang menawarkan jasa pembuatan situs scam dan phishing. Akun tersebut menawarkan pembuatan web phishing dengan beragam modus tampilan, seperti situs bank Himbara, aplikasi investasi, gim daring populer, bahkan halaman log in untuk platform media sosial. Ia tak segan pula menuliskan nomor WhatsApp dan akun Telegram dalam unggahannya kepada calon pembeli.

Tirto lantas mencoba menghubungi akun tersebut lewat Telegram dan berpura-pura sebagai calon pembeli. Kesan pertama kami, akun tersebut masih beroperasi dan aktif karena hanya butuh selang satu menit untuknya membalas pesan kami di Telegram. Mulanya, ia bertanya kepada Tirto tipe situs seperti apa yang diinginkan untuk digunakan sebagai web phishing.

Kami lantas bertanya kepadanya situs apa yang biasanya paling sering digunakan pembeli lain untuk melakukan aktivitas scam dan phishing. Ia memberikan saran untuk membeli web phishing berkedok situs bank dan aplikasi investasi digital. Darinya, script web phishing bank dan gim online dipatok dengan harga Rp200–Rp300 ribu, sementara web berkedok aplikasi investasi digital dipatok dengan harga sekitar Rp500 ribu.

Tirto lantas meminta akses demo salah satu contoh web yang akun itu buat supaya mampu mengetahui apa saja yang bisa diakses dan dieksploitasi oleh administrator web. Lewat web phishing berdomain “web.id”, yang dibuat seolah-olah menyerupai aplikasi investasi digital, Tirto dapat menelusuri bahwa pemilik web bisa menjaring data-data pribadi calon korban. Itu meliputi nomor rekening dan password-nya, akun keuangan digital dan password-nya, hingga mendapatkan langsung aliran uang korban lewat layanan “deposit” di web tersebut.

Tampilan web hingga layanan di dalamnya tampak meyakinkan, seolah-olah dibuat resmi. Ini menunjukkan betapa berbahayanya web-web bodong yang dengan mudah diperjualbelikan di media sosial untuk aktivitas kejahatan scam dan phishing. Dengan kocek murah, bahkan seseorang yang tak memiliki skill teknologi dan punya niat jahat dipastikan dapat menguras uang korbannya.

Maraknya layanan “Scam as a Services”, seperti jasa pembuatan web scam dan phishing di media sosial, tak pelak menyuburkan ekosistem kejahatan penipuan digital. Meski tampak remeh dibandingkan sindikat global, pembiaran akun-akun yang memberikan layanan scam dan phishing ini memperburuk aktivitas kejahatan siber dan kian merugikan masyarakat.

Korban Berjatuhan, Keadilan Dipertanyakan

Kepada Tirto, Fiany (30) menceritakan pengalaman ayahnya yang sempat menjadi korban penipuan berkedok phishing sekitar dua tahun lalu. Saat itu, ayahnya yang sudah lanjut usia tertipu oleh pelaku yang mengaku sebagai pihak ekspedisi.

Ia menjelaskan, awalnya sang ayah menerima pesan WhatsApp dari nomor tidak dikenal yang mengatasnamakan kurir ekspedisi.

“Orang yang mengaku kurir itu bilang ingin mengirim paket dan mengirimkan file yang dikira foto paket, padahal ternyata berupa aplikasi atau tautan. Kebetulan saat itu bapak memang sedang menunggu kiriman paket, jadi sama sekali tidak curiga,” ujarnya kepada Tirto, Rabu (13/5/2026).

Fiany mengatakan, karena ayahnya sudah lanjut usia dan tidak terlalu memahami modus semacam itu, file tersebut langsung diklik. Setelah dibuka, ayahnya diarahkan ke sebuah situs dengan tampilan loading. Namun, ia mengira itu memang proses untuk melihat foto paket.

“Karena bingung dan tidak muncul apa-apa, akhirnya cuma diklik-klik lalu ditinggal begitu saja,” katanya.

Menurut Fiany, ayahnya sama sekali tidak menaruh curiga. Selain karena faktor usia, sang ayah memang cukup sering menerima kiriman paket sehingga menganggap hal tersebut wajar.

“Bapak pikir itu memang foto paket yang dikirim kurir. Soalnya memang sering juga kurir mengirim foto paket dan bapak sudah biasa menerima hal seperti itu,” ujarnya.

Kejadian tersebut awalnya berlalu begitu saja. Sang ayah tetap beraktivitas seperti biasa tanpa merasa ada yang aneh. Namun, beberapa hari kemudian ia dikejutkan oleh notifikasi dari internet banking. Uang di rekeningnya tiba-tiba berpindah ke rekening lain dan transaksi itu terjadi berkali-kali dalam hitungan menit.

“Di situ bapak baru cerita ke saya dan kakak kalau sebelumnya memang pernah klik link aneh seperti itu. Untungnya, waktu itu kami langsung bertanya ke kenalan yang bekerja di bank dan langsung disarankan untuk memblokir rekening,” katanya.

Ia menambahkan, saat melapor ke bank, customer service menjelaskan bahwa kasus tersebut terindikasi sebagai modus scam phishing. Pihak bank juga menyebut korban dengan kasus serupa sudah cukup banyak, terutama dari kalangan lanjut usia.

Sementara itu, Bayu Ramadhan (30) mengaku sempat hampir menjadi korban penipuan phishing oleh pihak yang mengatasnamakan bank tempat ia memiliki rekening. Awalnya, ia menerima telepon dari seseorang yang mengaku sebagai customer service bank tersebut. Pelaku kemudian menginformasikan bahwa Bayu mendapatkan hadiah dari program undian berhadiah milik bank dan diminta mengaktifkan layanan internet banking sebagai syarat pencairan hadiah.

“Awalnya lewat telepon. Dia ngaku dari customer service bank. Foto profilnya pakai logo bank, tapi nomornya nomor biasa. Dari situ gue mulai curiga, tapi karena penasaran akhirnya gue ikutin aja cara mainnya,” ujarnya.

Percakapan kemudian berlanjut melalui WhatsApp. Pelaku mengirimkan tautan menuju unggahan Facebook yang berisi penawaran hadiah. Menurut Bayu, akun Facebook tersebut sekilas terlihat meyakinkan karena dibuat menyerupai akun resmi bank, mulai dari penggunaan logo hingga nama akun yang dibuat mirip dengan akun asli.

“Untungnya gue sadar kalau akun itu bukan akun asli. Gue langsung cek situs resminya dan ternyata mereka cuma punya satu akun Facebook resmi. Selain itu, walaupun dibuat semirip mungkin, tetap kelihatan bedanya kalau itu akun palsu. Kita bisa cek followers-nya, kapan akun itu dibuat, sampai aktivitas akunnya. Di Facebook sebenarnya banyak informasi yang bisa dipakai buat menelusuri,” katanya.

Karena penasaran, Bayu tetap mengikuti instruksi pelaku. Ia diminta mendaftar internet banking melalui tautan yang dikirimkan. Namun, setelah dibuka, tautan tersebut justru mengarah ke situs yang bukan merupakan situs resmi bank terkait.

“Situsnya aneh, bukan situs resmi bank. Desain websitenya juga sederhana banget. Isinya cuma kolom pendaftaran yang minta data pribadi seperti nomor telepon, KTP, nomor rekening, sampai alamat,” ujarnya.

Bayu mengaku tidak melanjutkan proses tersebut karena sudah menyadari bahwa dirinya sedang menjadi target scam. Meski begitu, pelaku terus menghubungi dan mengirimkan pesan berisi tautan serupa agar ia mau mengisi data pada situs tersebut.

Ia pun mengaku heran karena pelaku tampak mengetahui data pribadinya, seperti nama lengkap, nomor telepon, hingga bank yang ia gunakan.

“Untungnya gue sudah lebih sadar sama modus-modus scam kayak gini. Kalau gue isi tautan itu, bisa-bisa gue kena phishing,” ujarnya.

Sayangnya, kasus yang menimpa Fiany dan Bayu kemungkinan hanya sebagian kecil dari maraknya kasus scam dan phishing di Indonesia dalam beberapa tahun terakhir. Seolah tak berlebihan jika menyebut bahwa saat ini kita semua hanya berstatus “calon korban”.

Ahli Teknologi Digital, Heru Sutadi, menyoroti pergeseran modus kejahatan siber Indonesia yang semakin terorganisir laiknya model bisnis profesional. Kini, pelaku tak lagi memerlukan keahlian teknis tingkat tinggi untuk melancarkan aksinya.

"Maraknya penjualan jasa pembuatan web terkait dengan phishing ini menunjukkan bahwa kejahatan siber kini makin terindustrialisasi. Jadi, ini kayak bisnis," ujar Heru kepada Tirto, Rabu (13/5/2026).

Menurutnya, keberadaan penyedia jasa pembuatan situs palsu untuk menipu ini membuat hambatan masuk ke dunia kejahatan digital menjadi sangat rendah. Fenomena ini, lanjut ia, mengubah peta kejahatan yang dulunya membutuhkan waktu dan keahlian khusus menjadi sesuatu yang instan.

Dampaknya, biaya melakukan kejahatan digital akan lebih murah serta cepat, namun di sisi lain membuat pemberantasan menjadi jauh lebih sulit.

"Jadi, pelaku sekarang ini dengan web tersebut tidak perlu punya kemampuan teknis yang tinggi, karena web itu sudah ada template, script, gitu. Bahkan hingga layanan siap pakai di media sosial, forum online. Jadi, ini sudah bisa dikatakan scam as a services, gitu," jelasnya.

Dalam praktiknya, kata Heru, biasanya para pelaku membuat template login palsu yang dirancang sangat mirip dengan institusi resmi. Targetnya meliputi perbankan, dompet digital (e-wallet), aplikasi investasi, bantuan sosial pemerintah, hingga gim populer.

"Nanti memasukkan OTP, PIN, data pribadi. Nah, setelah data-data tersebut diperoleh, ini artinya bahwa akun korban ini bisa kemudian diambil alih. Kalau sudah diambil alih, dananya akan dikuras," ungkap Heru memaparkan modus operandi pelaku.

Selain iming-iming hadiah dan promo, pelaku sering kali menggunakan teknik ancaman agar memicu kepanikan korban. Misalnya isu pemblokiran akun bank, blokir akun medsos, tilang palsu, salah kirim pulsa atau pesanan online, hingga panggilan kepolisian palsu.

Untuk menghindari situs atau link scam dan phishing, sebetulnya ada beberapa upaya yang bisa dilakukan. Langkah pencegahan utama yakni ketelitian memeriksa alamat tautan atau URL sebelum memberikan interaksi apa pun. Situs phishing sering kali menggunakan nama domain yang sekilas terlihat sangat mirip dengan institusi aslinya, namun jika diperhatikan lebih saksama, terdapat perbedaan halus seperti penggunaan angka untuk mengganti huruf, kesalahan ejaan yang disengaja, atau penggunaan domain tidak lazim bagi sebuah institusi resmi.

Masyarakat perlu membiasakan diri untuk selalu curiga pada tautan yang dikirim oleh nomor tidak dikenal, meskipun halaman yang muncul terlihat sangat profesional dan identik dengan situs resmi perbankan atau dompet digital.

Ketika terlanjur berada di dalam sebuah situs, satu aturan emas yang tidak boleh dilanggar adalah tidak memberikan data sensitif seperti nama lengkap, kata sandi, kode OTP, hingga nomor PIN melalui tautan mencurigakan. Perlu ditanamkan dalam kesadaran digital bahwa institusi resmi tidak akan pernah meminta data rahasia lewat saluran tidak resmi atau tautan web yang janggal.

Jika muncul keraguan, tindakan paling bijak bukanlah menuruti instruksi di dalam pesan itu, melainkan segera keluar dari halaman tersebut dan melakukan verifikasi mandiri. Verifikasi dilakukan dengan membuka aplikasi resmi atau menghubungi layanan pelanggan melalui nomor kontak resmi yang tercantum di medsos atau situs web resmi instansi.

Mengenali jebakan digital ini harus dimulai dari kemampuan mengendalikan emosi karena penjahat siber hampir selalu menggunakan manipulasi psikologis berupa rasa panik atau kegembiraan yang berlebihan. Pesan yang masuk melalui WhatsApp atau email biasanya dirancang bernada mendesak, seperti ancaman bank akan diblokir atau iming-iming hadiah besar yang akan hangus dalam hitungan menit.

Rasa urgensi inilah yang sengaja diciptakan agar korban kehilangan daya kritis dan segera mengeklik tautan yang diberikan tanpa melakukan pengecekan terlebih dahulu.

Kendati begitu, untuk memberantas ekosistem scam dan phishing di dunia digital tak lepas dari mendesaknya keseriusan dan peran pemerintah sekaligus penegak hukum.

Heru menegaskan penanganan scam dan phishing ini tidak bisa dilakukan secara parsial. Ia mendorong pemerintah untuk memperkuat patroli siber, khususnya kepada akun-akun yang menjual script dan template kejahatan.

Ia juga menekankan pentingnya tanggung jawab platform digital dan penegak hukum yang berani menyasar penyedia infrastruktur scam as a services.

"Jadi kalau ada platform dia memfasilitasi penjualan hal-hal yang negatif, ya dia juga harus turut serta dihukum. Ini kan kayak, anggap saja ini kayak narkoba, jangan hanya bandar, tapi kan juga ada yang jualan-jualannya itu juga harus ditangkap," kata Heru.

Dihubungi terpisah, Ketua Satgas PASTI OJK, Hudiyanto, menyatakan bahwa penyedia dan penjual jasa pembuatan situs phishing dan scam termasuk bagian dari ekosistem penipuan keuangan yang perlu ditangani secara tegas. Dalam kerangka regulasi yang berlaku kini, ia menegaskan aktivitas tersebut berpotensi dikenakan sanksi pidana.

“Antara lain melalui ketentuan dalam Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) serta peraturan perundang-undangan lain yang relevan, termasuk di sektor jasa keuangan,” kata Hudiyanto kepada wartawan Tirto, Selasa (12/5/2026).

Di sisi lain, ia menyatakan bahwa OJK terus memperkuat koordinasi dengan kementerian dan lembaga terkait, termasuk Kementerian Komunikasi dan Digital (Komdigi) serta Badan Siber dan Sandi Negara (BSSN), guna memastikan tidak terdapat celah hukum yang dapat dimanfaatkan oleh pelaku.

Upaya tersebut mencakup penanganan dan penurunan konten serta situs yang terindikasi digunakan untuk aktivitas keuangan ilegal dan penipuan transaksi keuangan. Ia juga menilai kerja sama dengan platform media sosial sudah dilakukan saat ini untuk membuat tindakan yang dilakukan lebih baik.

“OJK melalui Satgas PASTI telah menjalin kerja sama dengan platform digital seperti Meta, khususnya dalam upaya edukasi masyarakat terkait aktivitas keuangan ilegal dan penipuan transaksi keuangan, serta penanganan dan penurunan konten yang terindikasi penipuan transaksi keuangan,” terang Hudiyanto.

**Tulisan ini merupakan bagian dari program beasiswa liputan yang diselenggarakan oleh Internews dalam rangka Indo-Pacific Media Resilience Program (IPMR).