Masuk tirto.id
tirto.id - Bayangkan Anda adalah seorang mahasiswa yang sedang berburu informasi beasiswa di situs resmi universitas, atau warga yang berniat mengurus layanan publik di domain pemerintahan. Namun, alih-alih menemukan panduan prosedur, layar gawai Anda justru disambut oleh kerlip lampu digital bertuliskan "slot gacor", lengkap dengan iming-imingi promo deposit murah.
Ironi ini bukan lagi sekadar gangguan teknis minor atau aksi vandalisme iseng. Ini adalah potret krisis siber terstruktur yang menjangkiti ratusan domain resmi .go.id dan .ac.id di Indonesia, juga negara tetangga seperti Malaysia dan Thailand.
Berdasarkan penelusuran Tirto.id sepanjang semester awal 2026, wabah penyisipan iklan judi online melalui teknik web defacement dan injeksi URL masih sangat marak. Kami menemukan setidaknya 191 domain resmi di Indonesia yang disalahgunakan untuk mengarahkan pengguna ke platform judi online. Angka tersebut mencakup 97 situs instansi pemerintah (.go.id) dan 94 situs perguruan tinggi (.ac.id).
Jumlah ini kami temukan dengan cara, pertama, menggunakan metode Google Dorking dengan kata kunci seperti slot, gacor, maxwin, dan wd, dikombinasikan dengan operator site:go.id atau site:ac.id untuk menemukan halaman judi yang tersembunyi di balik domain resmi. Kemudian kami juga menerapkan teknik AMP cloaking untuk mengecek situs resmi yang ditiru oleh para pembuat iklan judi online.Sebagian situs tersebut sudah pulih namun ada yang masih mengarahkan ke platform judi online, sebagian situs lain ditiru atau dicatut sehingga publik awam sulit membedakan dengan situs aslinya.
Fenomena ini menegaskan satu hal: benteng pertahanan digital instansi negara masih sangat rapuh di hadapan agresivitas sindikat kriminal transnasional.
Anatomi Operasi: Injeksi URL dan 'Black Hat SEO'
Para bandar judi online tidak menyerang situs pemerintah secara acak tanpa kalkulasi bisnis.
Dalam dunia optimasi mesin pencari, situs kementerian, lembaga, dan universitas memiliki takaran emas yang dicari semua pemasar digital: Domain Authority (otoritas domain) yang sangat tinggi.
Secara struktural, Google dan mesin pencari lainnya memandang domain institusional sebagai sumber informasi yang super-kredibel. Celah inilah yang dieksploitasi pelaku melalui web defacement.
Halaman yang diretas umumnya tidak diubah total secara terang-terangan. Pelaku lebih sering menyisipkan halaman tersembunyi (hidden pages), melakukan injeksi URL, atau memasang redirect code. Akibatnya, saat masyarakat mengetik kata kunci tertentu di Google, algoritma mesin pencari akan memunculkan situs pemerintah tersebut di peringkat atas, padahal tautannya mengarah ke situs judi ilegal.
Strategi ini dikenal sebagai SEO Spam atau Black Hat SEO. Melalui taktik menunggangi reputasi domain negara, para bandar mendapatkan limpahan trafik (pengunjung) tanpa perlu keluar modal besar untuk membangun domain baru yang biasanya langsung terdeteksi dan diblokir otomatis (blacklist).
Menurut Pratama Dahlian Persadha, Chairman Lembaga Riset Keamanan Siber dan Komunikasi CISSReC, skala permasalahan ini di Indonesia telah mencapai tingkat yang cukup mengkhawatirkan.
"Data dari Badan Siber dan Sandi Negara menunjukkan bahwa sepanjang tahun 2024 terdapat sekitar 3.908 alamat situs pemerintah yang disusupi konten judi online yang tersebar pada sekitar 678 instansi pemerintah. Bahkan pada Januari 2025 saja masih ditemukan ratusan URL tambahan yang mengalami penyisipan konten serupa,” papar Pratama kepada tirto.id.
Ia menekankan bahwa kondisi ini bukan semata serangan sporadis oleh individu, melainkan bagian dari ekosistem kejahatan siber yang lebih luas yang beririsan dengan industri perjudian online ilegal yang bersifat lintas negara.
“Dalam banyak kasus, situs pemerintah yang tidak aktif atau jarang diperbarui menjadi target utama karena memiliki pengawasan keamanan yang lemah. Situasi ini bahkan pernah diidentifikasi oleh otoritas pemerintah sebagai salah satu faktor yang menyebabkan situs pemerintah mudah disusupi konten ilegal,” ucap Pratama.
Senada dengan Pratama, pakar keamanan siber dari APTIKNAS, Alfons Tanujaya, menilai proteksi pada situs pemerintah memang kerap kali berada di bawah standar komersial.
"Kalau situs swasta ada konten judolnya, mereka [pemerintah] tanpa ragu-ragu akan langsung blokir. Tapi kalau sesama situs pemerintah ada potensi iklan judol, lalu mereka blokir situsnya, dan layanan pemerintah itu terganggu, mereka yang ikut disalahkan... masyarakat pada teriak, jadi kementerian (Komdigi) melakukan pemblokiran pun jadi mikir-mikir," papar Alfons saat berbincang dengan Tirto.id, pada Selasa (5/5/2026).
'Crime-as-a-Service' dan Jaringan Hibrida Internasional
Skala serangan yang masif ini mustahil digerakkan oleh peretas amatir. Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri mengklasifikasikan kejahatan ini sebagai perpaduan antara kejahatan komputer (computer crime) dan kejahatan yang difasilitasi komputer (computer-related crime).
Dari hasil penyidikan, Polri mengendus adanya pergeseran modus operandi menuju pola Crime-as-a-Service (CaaS). Artinya, keahlian menyusup dan memanipulasi SEO situs pemerintah telah dikomodifikasi dan diperjualbelikan sebagai layanan komersial di pasar gelap siber.
Jaringan ini membagi peran secara rapi antara "spesialis IT" lokal dan pemodal internasional. Pihak kepolisian membeberkan karakteristik hibrida dari jaringan ini.
"Berdasarkan hasil analisis terhadap beberapa kasus web defacement pada domain .go.id, Polri mengidentifikasi bahwa karakteristik serangan ini bersifat hibrida. Sebagian dilakukan oleh aktor domestik yang berperan sebagai 'pelaksana teknis' atau SEO specialist, namun pelaku juga berafiliasi dengan jaringan kriminal transnasional yang menyediakan infrastruktur di luar negeri," ucap Direktur Tindak Pidana Siber Bareskrim Polri, Brigjen Pol. Himawan Bayu Aji dalam jawaban tertulisnya kepada tirto.id, Senin (11/5/2026)
Lebih lanjut, kepolisian juga menemukan bahwa satu operator SEO independen bisa melayani beberapa bandar judi kakap sekaligus. Untuk memutus jejak finansial, aliran dana dari bandar ke para spesialis domestik ini disalurkan lewat metode pembayaran berlapis, termasuk penggunaan aset kripto.
Menurut Pratama, iklan menjadi salah satu jaringan promosi judi online yang paling utama.
"Situs perjudian ilegal sering kali diblokir oleh pemerintah atau penyedia layanan internet karena melanggar regulasi. Oleh karena itu, pelaku berupaya mencari cara alternatif untuk mempertahankan distribusi trafik pengunjung," ucapnya.
Tak heran jika situs pemerintah dan perguruan tinggi menjadi salah satu sasaran.
"Situs pemerintah menjadi target yang sangat menarik karena domain tersebut memiliki reputasi tinggi, tingkat kepercayaan publik yang kuat, serta secara teknis jarang diperlakukan sebagai sumber konten berbahaya oleh sistem penyaringan internet," papar Pratama menambahkan.
Menurut pihak kepolisian, teknik cloaking dan mirroring situs yang dilakukan oleh para produsen iklan judol ini memang cukup sulit ditelusuri sebab sifat anonimitas dan volatilitas data digital di dalamnya.
"Pelaku seringkali menggunakan infrastruktur pihak ketiga yang berada di luar yurisdiksi hukum Indonesia untuk mengaburkan sumber asli konten," ucap Himawan.
Untuk itulah pihak kepolisian selaku pihak yang menangani persoalan judi online di hilir ini menjalin kerja sama lintas negara melalui jejaring interpol dan kepolisian negara tetangga untuk melakukan pelacakan dan penindakan terhadap basis operasional judi online yang berada di luar wilayah Indonesia.
"Berdasarkan hasil pemetaan siber, operasional tim IT sindikat ini bersifat terdistribusi. Polri telah berhasil mengidentifikasi dan melakukan penindakan terhadap lokasi fisik operasional di dalam negeri, namun tidak menutup kemungkinan adanya kendali yang dilakukan dari luar negeri (transnasional), termasuk wilayah-wilayah yang dikenal sebagai gambling hub di Asia Tenggara," pungkas Himawan.
Birokrasi yang Lamban dan Kelalaian 'Dangling DNS'
Krisis ini tidak hanya terjadi di Indonesia. Media The Fourth di Malaysia mencatat sedikitnya 54 situs resmi kementerian mereka sempat lumpuh disusupi iklan judi.
Mengapa pembersihan halaman siber ini memakan waktu berbulan-bulan, bahkan bertahun-tahun?
Akar masalahnya berkelindan dengan penyakit akut birokrasi dan pengelolaan vendor pihak ketiga yang buruk.
Pakar IT asal Malaysia, Sam Ng, menuturkan bahwa aktor jahat sangat memahami titik lemah rantai komando di internal pemerintahan.
“Sebagian aktor jahat menyadari rumitnya birokrasi pemerintah dan memanfaatkan hal itu... departemen yang mengelola situs web sering kali bukanlah pengambil keputusan akhir... masalah umum lainnya adalah ketika pengelolaan situs dikontrakkan ke pihak ketiga; jika kontrak selesai, entri sistem domain dibiarkan menggantung begitu saja,” papar Sam Ng saat berbincang dengan The Fourth.
Kelalaian membiarkan entri DNS menggantung (dangling DNS) pasca-proyek selesai memicu teknik serangan subdomain takeover. Ketika sebuah instansi membuat subdomain untuk kampanye atau proyek jangka pendek menggunakan layanan cloud, mereka kerap lupa menghapus catatan DNS-nya saat proyek berakhir. Celah kosong inilah yang kemudian dicaplok oleh pelaku judi online.
Celakanya, kelengahan di level situs web ini berpotensi merembet ke aplikasi mobile pemerintah yang menggunakan metode wrapper (aplikasi seluler yang sekadar membungkus tampilan situs web). Jika situs web utamanya berhasil diinjeksi, maka aplikasi di ponsel masyarakat otomatis akan langsung menyuguhkan konten judi online.
Dalam jawabannya kepada The Fourth, Kementerian Digital Malaysia menyatakan bahwa pihak tidak akan berkompromi terhadap segala bentuk pelanggaran integritas portal resmi pemerintah.
"Semua agensi kerajaan terikat dengan Pekeliling Pendigitalan Perkhidmatan Awam Bilangan 1 Tahun 2025: Pengurusan Portal/Laman Web Agensi Sektor Awam. Pekeliling ini menggariskan piawaian ketat yang mewajibkan setiap agensi mengurus, mengendali, dan menyelenggara portal secara berterusan termasuk aspek pengujian keselamatan maklumat, sekalan kod hasad, serta pengauditan sistem pengoperasian dan aplikasi," tulis Kementerian Digital dalam rilisnya yang dikirim pada Rabu (28/5/2026).
Menurut aturan tersebut, seluruh dinas wajib mengaktifkan Pasukan Tindak Balas Insiden Keselamatan Siber (CSIRT/Cyber Security Incident Response Teams) masing-masing.
"Tindakan pemulihan menyeluruh sedang dilaksanakan merangkumi pembersihan pelayan (malware scanning), pemasangan tampalan keselamatan (security patching) ke atas sistem CMS, audit kod sumber, serta semakan log keselamatan (audit trail) untuk analisis
forensik," jawab Kementerian Digital.
Kementerian Digital Malaysia menyatakan komitmennya untuk memastikan ruang siber dan infrastruktur ICT kerajaan kekal selamat, telus, dan dipercayai oleh seluruh rakyat Malaysia.
Ratusan Triliun Perputaran Uang Judi Online
Dampak dari runtuhnya benteng siber ini tidak main-main. Ketika infrastruktur digital negara beralih fungsi menjadi alat pemasaran judi, kepercayaan publik terhadap ekosistem keuangan digital ikut merosot.
Otoritas Jasa Keuangan (OJK) melalui Satgas PASTI (Pemberantasan Aktivitas Keuangan Ilegal) mencatat angka kerugian yang fantastis akibat karut-marut aktivitas keuangan ilegal, termasuk judi online dan penipuan (scam) digital. Sepanjang tahun 2024 hingga akhir 2025, total kerugian masyarakat secara nasional menembus angka Rp9 triliun.
Sebagai bagian dari otoritas moneter, OJK menegaskan bahwa penanganan konten di ruang siber mutlak berada di bawah kemudi Kementerian Komunikasi dan Digital (Komdigi). Kendati demikian, intervensi dari sisi hilir keuangan terus diperketat melalui strategi follow the money.
"Satgas PASTI melalui OJK dapat melakukan pemblokiran rekening yang diduga terkait dengan judi online. Untuk pemblokiran e-wallet, juga dapat dikoordinasikan dengan Bank Indonesia... Kami juga terus mendorong sinergi agar pengelolaan sistem digital tidak berhenti pada tahap pembangunan situs, tetapi secara berkelanjutan melakukan penguatan koordinasi," tegas pihak OJK kepada Tirto.id.
Selain itu, Kementerian Komunikasi dan Digital (Komdigi) mengungkap perputaran dana judi online di Indonesia sepanjang 2025 mencapai Rp286 triliun. Angka tersebut diklaim menurun dibanding tahun sebelumnya.
Menkomdigi, Meutya Hafid, menyebut angka tersebut berdasarkan data Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK).
“Kalau kita lihat data PPATK untuk 2025 perputaran dana judi online adalah Rp286 triliun, menurun sekitar 30% dari tahun sebelumnya yang menyentuh Rp400 triliun,” kata Meutya dalam rapat kerja bersama Komisi I DPR, di Kompleks Parlemen, Senayan, Jakarta Pusat, Senin (18/5/2026).
Sejak 20 Oktober 2024 hingga 16 Mei 2026, Komdigi telah melakukan pemutusan akses terhadap sekitar 3,45 juta situs judi online.
Selain itu, Komdigi juga telah mengajukan permohonan pemblokiran rekening bank kepada Otoritas Jasa Keuangan (OJK). Sepanjang 2025, terdapat lebih dari 25 ribu rekening yang diajukan untuk diblokir karena diduga terkait judi online.
“Jadi artinya kita tidak hanya melakukan pemutusan akses tapi juga mengajukan pemblokiran rekening bank kepada OJK dengan angka 25.000 lebih untuk tahun 2025,” kata Meutya.
Memburu Bandar di Ruang Kripto
Di level penegakan hukum, kolaborasi inter-institusi menjadi kunci. Komdigi bergerak di sisi hulu dengan melakukan pengawasan administratif, pemindaian domain, serta tindakan preventif berupa take-down konten. Sementara itu, Korps Bhayangkara bergerak di sisi represif untuk mengejar aktor intelektualnya.
Namun, melacak pelaku judi online transnasional yang bersembunyi di balik teknologi enkripsi tinggi dan jaringan cloud global seperti Cloudflare Workers atau Vercel bukanlah perkara mudah. Guna menyiasati taktik mirroring (penggandaan situs otomatis) yang kerap dipakai pelaku, Polri pun melebarkan sayap ke jaringan internasional.
"Dalam menangani kejahatan siber yang menggunakan infrastruktur global, Polri menggunakan mekanisme Kerjasama Internasional melalui Police-to-Police (P-to-P) serta optimalisasi jalur Mutual Legal Assistance (MLA). Terkait pelacakan identitas penyewa dan transaksi pembayaran, Dittipidsiber memiliki kemampuan Digital Forensik dan analisis aliran dana (follow the money) yang telah memenuhi standar ISO 17025," ucap Himawan dalam jawaban tertulis yang disampaikan kepada tirto.id.
Keamanan Situs Bukan Proyek Jangka Pendek
Mengapa perang melawan iklan judi di situs negara tak kunjung usai?
Jawabannya ada pada pola pikir instansi yang masih menganggap keamanan siber sebagai "proyek" berdurasi, bukan komitmen tanpa akhir.
Banyak instansi mengalokasikan anggaran besar saat membangun sistem di awal. Namun begitu masa pemeliharaan selesai, situs tersebut dibiarkan berjalan tanpa adanya pembaruan (patching) rutin terhadap CMS seperti WordPress atau Joomla, sehingga rentan terhadap infiltrasi automated scripts berbahaya, SQL Injection, ataupun Cross-Site Scripting (XSS).
Alfons Tanujaya memberikan perumpamaan menukik mengenai keliru-pikir tata kelola siber di lingkungan pemerintahan ini.
"Security is a process. Mengamankan satu situs itu ibaratnya seperti pernikahan. Kenapa? Seumur hidup kamu harus berkomitmen untuk menjaga itu... Masalahnya, banyak situs pemerintahan yang bentuknya project based. Ketika proyeknya sudah selesai, yang mengerjakannya sudah tidak ada lagi kewajiban untuk mengamankan," pungkas Alfons.
Melawan gurita judi online yang menunggangi domain publik membutuhkan cetak biru solusi yang komprehensif, bukan sekadar respons pemadam kebakaran. Berdasarkan analisis para ahli, ada empat langkah taktis yang mendesak untuk diimplementasikan:
Selama instansi pemerintah dan universitas masih memandang keamanan digital sebatas pemenuhan syarat administratif operasional, domain-domain milik negara akan terus berakhir menjadi papan reklame gratis dan paling efektif bagi industri judi ilegal internasional.
**Tulisan ini merupakan kolaborasi tirto.id dan The Fourth (Malaysia) sebagai bagian dari program beasiswa liputan yang diselenggarakan oleh Internews dalam rangka Indo-Pacific Media Resilience Program (IPMR).
Penulis: Rina Nurjanah
Editor: Anggun P Situmorang
