SSP Editorial Team

Serangan Phishing yang Menarget Pengguna Kripto (dan Cara Mengenalinya)

·7 mnt baca·Oleh SSP Editorial Team
Sampul keamanan SSP dengan ikon dompet, kunci, perisai, dan chip, yang menggambarkan panduan serangan phishing kripto.

Phishing adalah cara paling umum pengguna self-custody kehilangan uang. Bukan sandi yang rusak, bukan kunci privat yang berhasil dibobol — melainkan pesan yang meyakinkan, situs yang tampak serupa, atau transaksi yang terlihat biasa saja hingga ternyata tidak. Kriptografi di balik dompet Anda memang kokoh, dan penyerang pun tahu hal itu, sehingga mereka melewatinya sama sekali dan mengincar satu-satunya bagian sistem yang bisa dibujuk untuk melakukan hal yang salah: Anda. Setiap tahun, miliaran dolar hilang akibat penipuan dan rekayasa sosial terkait kripto, dan sebagian besar dimulai dengan pesan phishing, bukan eksploitasi teknis.

Artikel ini menguraikan apa yang sebenarnya menjadi target phishing kripto, pola-pola spesifik yang bisa Anda pelajari untuk dikenali seketika, serta bagaimana desain SSP membantu — sekaligus jujur tentang batas kemampuannya dalam melindungi Anda.

Apa yang sebenarnya menjadi target phishing

Phishing terhadap pengguna self-custody mengincar salah satu dari tiga hal: seed phrase Anda, approval Anda, atau tanda tangan Anda. Mencuri seed phrase berarti penyerang memiliki setiap akun yang berasal darinya, selamanya. Mengelabui Anda agar memberikan approval token memungkinkan mereka menguras aset tertentu sesuka hati. Membuat Anda menandatangani satu transaksi berbahaya akan memindahkan dana dalam satu blok.

Ketiga hal ini memiliki kesamaan: Anda harus bertindak. Penyerang tidak bisa merogoh dompet Anda dan mengambil apa pun; mereka membutuhkan Anda untuk mengetik, mengklik, menyetujui, atau menandatangani. Ketergantungan itulah yang menjadi keunggulan Anda — setiap serangan memiliki momen di mana Anda bisa menghentikannya, jika Anda tahu seperti apa momen itu.

Pola-pola yang bisa Anda kenali

Phishing kripto menggunakan sekumpulan kecil trik yang sama berulang kali. Begitu Anda bisa menamainya, jauh lebih sulit untuk terjebak.

Situs dompet palsu dan typosquat iklan pencarian

Trik tertua adalah klon situs dompet atau bursa nyata, yang disajikan dari domain serupa dan sering didorong ke bagian atas hasil pencarian sebagai iklan berbayar. Halaman tersebut terlihat sempurna piksel demi piksel dan hanya ada untuk satu tujuan: memanen seed phrase Anda, atau mengelabui Anda agar terhubung dan menandatangani. Perlakukan bilah pencarian sebagai ancaman. Temukan situs asli sekali, verifikasi, dan tandai sebagai bookmark — lalu hanya datangi melalui bookmark itu. SSP tidak pernah meminta seed phrase Anda di situs web, dan ekstensi resminya dipasang dari toko browser resmi, bukan dari iklan pencarian. Jika Anda tidak yakin seperti apa tampilan dompet ekstensi browser yang sah, baca penjelasan tentang dompet ekstensi browser.

Prompt entri seed phrase

Yang satu ini layak mendapat aturannya sendiri, karena bersifat mutlak: tidak ada dompet yang sah yang pernah meminta Anda mengetikkan seed phrase ke situs web, formulir, pop-up, atau DM. Bukan untuk "memvalidasi"-nya, bukan untuk "menyinkronkan"-nya, bukan untuk "mengklaim" apa pun. Seed phrase Anda dimasukkan hanya di satu tempat — di dalam perangkat lunak dompet itu sendiri, selama pengaturan awal atau pemulihan. SSP hanya menerima seed phrase Anda di dalam ekstensi atau aplikasi seluler untuk tujuan tersebut, dan tidak pernah di halaman web. Jika ada yang lain memintanya, itu adalah upaya pencurian, titik. Untuk disiplin yang lebih luas dalam melindunginya, lihat praktik terbaik seed phrase.

Approval phishing dan wallet drainer

Yang lebih baru dan lebih licik: dApp berbahaya tidak meminta seed phrase Anda sama sekali. Ia meminta Anda menandatangani sesuatu yang terlihat seperti transaksi normal — tetapi aksinya adalah approval token atau setApprovalForAll yang memberikan izin kepada kontrak penyerang untuk memindahkan token atau NFT Anda. Anda tetap memegang kunci Anda; Anda hanya menandatangani hak atas aset Anda, dan wallet drainer akan menyapunya nanti, terkadang berminggu-minggu kemudian. Pertahanannya adalah memahami apa itu approval dan menjaganya agar berumur pendek. Baca approval token — izin yang terus Anda berikan, lalu cabut yang tidak lagi Anda gunakan.

Address poisoning

Address poisoning memanfaatkan kebiasaan salin-tempel. Penyerang mengirim transfer bernilai kecil atau nol ke dompet Anda dari alamat yang dirancang agar terlihat seperti alamat yang sudah Anda gunakan — empat karakter pertama dan empat karakter terakhir yang sama. Alamat itu kemudian masuk ke riwayat Anda, sehingga lain kali Anda menyalin alamat "yang dikenal" dari riwayat transaksi, Anda justru mengambil milik mereka dan mengirim dana langsung ke penyerang. Solusinya bersifat mekanis: jangan pernah menyalin alamat dari riwayat transaksi, dan verifikasi alamat lengkap, karakter demi karakter — bukan hanya empat karakter pertama dan terakhir. Alamat yang mirip bisa cocok di kedua ujungnya namun berbeda sepenuhnya di tengahnya.

Peniruan identitas dalam DM

Jika seseorang pertama kali menghubungi Anda di Discord, Telegram, atau X mengaku sebagai "dukungan resmi," itu adalah penipuan secara default. Dukungan nyata tidak menyelinap ke DMs Anda, dan tidak ada admin, moderator, atau "bot validasi" yang pernah membutuhkan seed phrase, kunci privat Anda, atau agar Anda menghubungkan dompet untuk "memverifikasinya." Rasa urgensi adalah tandanya — "dana Anda berisiko, bertindaklah sekarang" ada untuk menghentikan Anda berpikir. Tutup DM tersebut dan hubungi dukungan hanya melalui saluran yang Anda navigasi sendiri.

Permintaan tanda tangan berbahaya / penandatanganan buta

Trik paling teknis meminta Anda menandatangani pesan, bukan transaksi — payload Permit, eth_sign, atau blob buram yang tidak bisa Anda baca. Ini bisa mengotorisasi transfer token atau approval secara off-chain, kadang tanpa biaya gas dan tanpa peringatan yang jelas. Aturannya: pahami apa yang Anda tandatangani sebelum menandatanganinya, dan curigai dengan sangat terhadap permintaan apa pun yang tidak bisa Anda dekode. Saat terhubung ke dApp, ketahui cara kerja sesi dan permintaan penandatanganannya — apa itu WalletConnect dan cara kerjanya dengan SSP membahas permukaan tersebut.

Cara desain SSP membantu — dan di mana tidak

SSP adalah dompet multisig 2-dari-2: setiap transaksi harus ditandatangani bersama di perangkat kedua, SSP Key, sebelum dapat disiarkan. Itu memberi Anda layar kedua, pada perangkat keras terpisah, yang menampilkan permintaan sekali lagi sebelum berlanjut — permukaan tinjauan kedua yang tulus yang tidak dimiliki dompet satu perangkat. Ekstensi juga tidak pernah meminta seed phrase Anda di halaman web, yang menutup rute pemanenan paling umum sesuai desain.

Inilah bagian yang jujur: multisig bukan obat untuk phishing. Jika transaksi berbahaya ada di hadapan Anda dan Anda menyetujuinya di ekstensi serta mengonfirmasinya di SSP Key, dompet melakukan persis apa yang Anda perintahkan. Perangkat kedua melindungi Anda dari satu perangkat yang dibobol yang menandatangani sendiri — tidak melindungi Anda dari menyetujui tindakan buruk dua kali. Jadi baca kedua layar: jika tujuan, jumlah, atau aksi tidak sesuai dengan yang Anda maksudkan, tolak di SSP Key. Pertahanan phishing pada akhirnya tetap ada pada Anda. Mengapa tanggung jawab itu sepadan adalah inti dari mengapa self-custody penting sekarang.

Pemeriksaan diri phishing 60 detik

Sebelum Anda menandatangani apa pun, jalankan ini:

  1. Periksa URL — apakah Anda tiba melalui bookmark Anda sendiri, atau melalui tautan atau iklan yang diberikan seseorang kepada Anda? Jika bukan bookmark Anda, berhenti.
  2. Periksa seed — apakah ada yang meminta seed phrase Anda? Jika ya, itu penipuan, setiap kali, tanpa pengecualian.
  3. Baca SSP Key — apakah aksi dan jumlah di perangkat kedua Anda cocok persis dengan yang Anda maksudkan?
  4. Periksa tujuan — verifikasi alamat penerima lengkap, bukan hanya empat karakter pertama dan terakhir.
  5. Periksa DM — apakah ini dimulai dengan pesan yang tidak diminta atau "bertindak sekarang" yang mendesak? Anggap sebagai ancaman.
  6. Kebersihan approval — cabut approval token lama yang tidak lagi Anda butuhkan, sehingga yang terlupakan tidak bisa diuras nanti.

Jika ada langkah yang gagal, tolak dan pergi. Peluang yang terlewat tidak merugikan apa pun; wallet drainer yang ditandatangani bisa merugikan segalanya.

Terus belajar

Phishing adalah satu lapisan dari praktik keamanan pribadi yang lebih luas. Perkuat sisanya dengan kebersihan ekstensi browser untuk pengguna kripto, dan jadwalkan semuanya secara berkala dengan daftar periksa opsec kripto Anda. Untuk cara ekosistem yang lebih luas melacak serangan ini, laporan Tren Aktivitas Phishing APWG dan FBI's IC3 adalah sumber utama yang solid.

Bagikan artikel ini

Artikel terkait

Seed phrase dua belas kata tercetak di kartu kertas di samping hardware wallet

Praktik terbaik seed phrase

Apa sebenarnya seed phrase, cara menyimpannya tanpa hilang atau bocor, dan bagaimana multisig 2-of-2 SSP mengubah model ancamannya.

7 min read
Sampul persegi untuk panduan SSP tentang persetujuan token ERC-20 dan allowance tak terbatas

Persetujuan token: izin yang terus Anda berikan

Bagaimana approve() ERC-20 bekerja, mengapa allowance tak terbatas berisiko, dan apa yang setiap interaksi dApp diam-diam berikan dari dompet SSP Anda.

8 min read
Sampul keamanan SSP dengan ikon dompet, kunci, perisai, dan chip pada kartu persegi biru navy

Higiene Ekstensi Browser untuk Pengguna Kripto

Keamanan ekstensi browser untuk self-custody: periksa yang dipasang, terapkan least privilege, andalkan LavaMoat, biarkan 2-dari-2 SSP menahan ekstensi jahat.

6 min read