AI Semakin Sulit Dibedakan, Bagaimana Pengguna Kripto Melindungi Diri dari Penipuan Baru?

Ditulis oleh: Dilip Kumar Patairya

Diterjemahkan oleh: Chopper, Foresight News

Dulu, edukasi keamanan siber selalu mengajarkan cara sederhana untuk mengidentifikasi penipuan: perhatikan kesalahan ejaan, kalimat yang tidak koheren, dan tata letak yang tidak normal. Dalam serangan phishing awal, metode ini memang efektif. Email penipuan seringkali ditulis terburu-buru, terjemahannya kaku, dan kelemahannya sangat jelas. Seiring waktu, orang mulai menganggap ekspresi tulisan yang buruk sebagai sinyal bahaya.

Kemunculan kecerdasan buatan (AI) telah mengubah segalanya.

Dengan alat AI canggih, pelaku penipuan dapat dengan cepat membuat email yang ditulis lancar, percakapan layanan pelanggan yang terlihat nyata, situs web yang tampak resmi, dan konten media sosial yang sangat menyesatkan. Penipu tidak lagi membutuhkan keahlian menulis yang mumpuni untuk membuat jebakan penipuan yang sulit dibedakan dari aslinya. Di bidang kripto, begitu pengguna mengklik untuk mengotorisasi transaksi, aset mereka bisa hilang dalam sekejap. Perubahan ini membawa risiko keamanan baru.

Saat ini, ancaman tidak lagi berasal dari informasi palsu yang penuh celah. Konten penipuan yang ditulis dengan baik dan tampak resmi justru lebih mudah membuat orang lengah.

Seiring dengan terus berkembangnya teknologi AI, pola pikir perlindungan keamanan pengguna kripto juga harus berubah. Daripada memusingkan apakah suatu informasi itu mencurigakan atau tidak, lebih baik verifikasi setiap permintaan operasi satu per satu melalui saluran independen.

Saluran Penipuan Umum

Mengapa Identifikasi Teks Palsu Dulu Efektif

Penipuan phishing awal mengejar jangkauan luas, lebih mementingkan kuantitas daripada kualitas konten. Penipu mengirim pesan secara massal, hanya berharap ada sedikit orang yang terperangkap.

Karena sebagian besar kelompok penipu berada di luar negeri, atau menggunakan alat terjemahan sederhana, informasi yang dikirim seringkali mengandung kesalahan tata bahasa, ekspresi kaku, dan tata letak yang berantakan. Pengguna pun perlahan belajar menganggap detail-detail ini sebagai sinyal peringatan.

Berbagai kampanye keamanan siber juga mempopulerkan serangkaian teknik identifikasi dasar:

• Periksa apakah ada kesalahan ejaan dalam teks
• Hindari informasi dengan tata bahasa yang tidak koheren
• Waspadai ungkapan yang aneh
• Perhatikan format tata letak yang tidak normal

Tips kecil ini dapat dengan cepat menyaring konten penipuan yang dibuat asal-asalan.

Tapi ini bukanlah metode pertahanan yang sempurna, hanya berfungsi sebagai pengingat. Namun seiring waktu, banyak orang menganggap secara default bahwa tulisan yang profesional dan lancar berarti kontennya andal dan dapat dipercaya. Populerisasi AI telah menghancurkan asumsi ini sepenuhnya.

Alat AI dapat menghasilkan konten phishing secara massal dengan tata letak dan pilihan kata yang sangat baik. Mengandalkan pencarian kesalahan tulisan untuk mencegah penipuan kini semakin tidak dapat diandalkan.

Bagaimana AI Meningkatkan Metode Penipuan

Model bahasa besar (LLM) dapat menghasilkan teks yang lancar dan alami dalam berbagai bahasa, yang digunakan penipu untuk membuat berbagai konten palsu:

• Memalsukan catatan percakapan layanan pelanggan
• Membuat email phishing yang berkualitas baik
• Meniru pemberitahuan dari bursa resmi
• Menulis rekomendasi investasi yang sangat menarik
• Memposting pengumuman grup Telegram yang terlihat nyata
• Membuat panduan pemulihan dompet palsu yang disesuaikan

Secara bersamaan, AI juga membantu melaksanakan serangan bertarget yang presisi. Penipu akan menggunakan informasi kebocoran data, serta data pengguna dari platform seperti LinkedIn, X, Discord, Telegram, untuk menyesuaikan skrip penipuan.

Informasi yang diterima pengguna mungkin menyebutkan detail-detail ini:

• Token yang baru Anda beli
• Informasi akun bursa Anda
• Penyedia layanan dompet yang Anda gunakan
• Platform keuangan terdesentralisasi (DeFi) yang pernah Anda akses
• Masalah layanan pelanggan yang pernah Anda tanyakan di saluran publik

Konten yang sangat disesuaikan ini meningkatkan kredibilitas penipuan secara signifikan.

Selain itu, teknologi menggambar AI dan kloning suara juga membuat peniruan identitas menjadi lebih mudah. Memalsukan video eksekutif, meniru suara layanan pelanggan, mereplikasi elemen visual merek, kini dapat dilakukan dengan mudah.

Risiko Unik yang Dihadapi Pengguna Kripto

Logika keamanan aset kripto sangat berbeda dari perbankan tradisional. Dalam keuangan tradisional, jika terjadi kesalahan transfer atau penipuan, biasanya Anda dapat menghubungi bank, lembaga pembayaran, atau tim manajemen risiko untuk menarik kembali dana. Namun, begitu transaksi kripto dikonfirmasi di blockchain, pada dasarnya tidak dapat dibatalkan.

Dompet penyimpanan mandiri (self-custody) juga memperluas permukaan serangan. Penipu tidak selalu perlu mencuri kata sandi atau private key. Seringkali, cukup dengan mengelabui pengguna untuk mengotorisasi transaksi berbahaya atau membuka izin dompet berisiko tinggi.

Artinya, bahkan jika pengguna tidak pernah membocorkan seed phrase/frasa pemulihan, antarmuka penipuan yang dibuat dengan baik tetap membawa risiko besar.

Bentuk penipuan umum di bidang kripto meliputi:

• Situs web klaim airdrop palsu
• Aktivitas minting token non-fungible (NFT) palsu
• Halaman login bursa tiruan
• Mengarahkan untuk menghubungkan ke dompet berbahaya
• Pop-up yang mengarahkan untuk mengotorisasi token berbahaya
• Antarmuka staking/mining palsu
• Meniru layanan pelanggan resmi untuk menipu
• Mendaftarkan akun tiruan berkualitas tinggi di platform seperti Telegram, Discord

Dengan bantuan AI, penipuan semacam ini dapat diproduksi secara massal sambil tetap menjaga keaslian konten dan antarmuka.

Metode Verifikasi Inti yang Harus Dikuasai Pengguna

Menghadapi penipuan yang semakin nyata, pengguna kripto tidak bisa lagi hanya berhenti pada penilaian permukaan. Verifikasi harus menjadi aturan pertama.

1) Periksa Nama Domain dengan Cermat

Penampilan situs web bisa ditiru, tetapi alamat URL sulit dibuat persis sama. Domain penipuan sering menggunakan trik ini: menambahkan karakter berlebih, menambahkan tanda hubung secara acak, menggunakan simbol yang mirip, memanipulasi subdomain, memilih ekstensi domain yang tidak umum.

Meskipun halamannya terlihat identik dengan platform resmi, jangan percaya hanya berdasarkan logo dan efek visual. Praktik yang direkomendasikan adalah:

• Ketik manual alamat URL platform yang biasa digunakan
• Untuk dompet dan bursa, prioritaskan menggunakan bookmark yang telah disimpan
• Pastikan untuk memeriksa domain sebelum menghubungkan dompet
• Jangan klik tautan dalam pesan asing atau konten promosi

Halaman yang indah tidak berarti situs webnya resmi.

2) Prioritaskan Menggunakan Tautan dari Saluran Resmi

Pengumuman palsu, akun selebritas/media sosial tiruan, dan akun penipuan telah menjadi sarana umum untuk menyebarkan penipuan. Tautan penipuan terutama disebarkan melalui saluran-saluran ini: grup Telegram, saluran Discord, kolom komentar platform X, iklan pencarian berbayar, pesan layanan pelanggan palsu.

Pastikan tautan berasal dari situs web resmi proyek atau saluran pengumuman resmi. Pada saat yang sama, bandingkan silang pembaruan dari beberapa akun resmi untuk lebih mengurangi risiko.

Tingkatkan kewaspadaan jika menerima pesan pribadi dari orang asing yang mengklaim ada masalah mendesak dengan akun Anda.

Tautan Berbahaya 'Cek Saldo Dompet Trezor' Ditemukan di Pencarian Bing

3) Pahami Izin Dompet Sebelum Mengotorisasi

Banyak pengguna memiliki kesalahpahaman: permintaan apa pun yang muncul dari dompet pasti aman. Terutama ketika menghadapi situs web yang tampak profesional, orang sering mengklik konfirmasi tanpa berpikir, mengabaikan detail izin.

Interaksi dompet mencakup berbagai jenis operasi: menghubungkan dompet, menandatangani pesan, mengotorisasi transfer token, membuka izin umum, memicu interaksi kontrak pintar.

Di antaranya, izin tanpa batas (unlimited/infinite approval) memiliki risiko tertinggi, karena akan mengizinkan kontrak berbahaya untuk mentransfer aset Anda kapan saja di kemudian hari. Sebelum mengotorisasi, pastikan untuk memeriksa apakah jenis token yang terlibat, jumlah transfer yang diizinkan, alamat kontrak yang meminta, dan konten operasi sesuai dengan yang Anda harapkan.

Meskipun situs webnya terlihat sempurna, itu tetap bisa memicu operasi dompet berisiko tinggi.

4) Periksa Semua Detail Sebelum Menandatangani Transaksi

Penipuan AI sering menggunakan rasa urgensi untuk mendesak pengguna mengonfirmasi dengan cepat. Sebelum menandatangani transaksi apa pun, pastikan untuk memeriksa item demi item: alamat penerima, jumlah token, blockchain yang dipilih, informasi interaksi kontrak, aturan biaya transaksi, cakupan izin.

Jika halaman tersebut bertanda "Klaim Hadiah" tetapi meminta izin token tanpa batas; atau bertanda "Verifikasi Dompet" tetapi memulai transfer aset, segera hentikan operasi dan periksa risikonya.

Begitu detail transaksi tidak sesuai dengan yang diharapkan, jangan lanjutkan operasi.

Banyak penipuan dompet dimulai ketika pengguna mengeluhkan masalah akun di platform media sosial secara publik. Penipu akan mengawasi aktivitas terkait dan kemudian menyamar sebagai layanan pelanggan untuk mengirim pesan pribadi menipu.

5) Verifikasi Alamat Kontrak, Jangan Percaya Nama Token

Penipu akan meniru nama token dan ikon untuk membuat token palsu berkualitas tinggi. Token yang tampak bernama "USDT" atau "ETH Yield", penerbitnya mungkin sama sekali tidak terkait.

Cara verifikasi: konfirmasi alamat kontrak yang sesuai dengan token melalui situs web resmi proyek, penjelajah blok (block explorer) terpercaya, materi pengumuman resmi, informasi bursa utama. Karena penipuan AI semakin nyata, hanya mengandalkan nama token dan ikon untuk menilai keaslian semakin berisiko.

6) Waspadai Pesan Pribadi Layanan Pelanggan yang Tidak Jelas Asalnya

Menyamar sebagai layanan pelanggan resmi masih merupakan metode penipuan yang tinggi frekuensinya di dunia kripto. Penipu memantau komentar permintaan bantuan pengguna di platform media sosial, kemudian mengirim pesan pribadi menyamar sebagai staf, mengarahkan pengguna untuk "memverifikasi" dompet, meminta seed phrase, mengirim tautan berbahaya, merekomendasikan alat kendali jarak jauh, atau membimbing pengguna menyelesaikan otorisasi berbahaya.

Layanan pelanggan resmi yang sah hampir tidak pernah memulai pesan pribadi; platform juga tidak akan pernah meminta private key atau seed phrase. Jika mengalami masalah, hubungi layanan pelanggan secara proaktif melalui saluran resmi, jangan balas pesan pribadi dari orang asing.

7) Desakan Mendesak, Seringkali Adalah Sinyal Penipuan

Meskipun penipuan dibuat sangat profesional, penipu tetap akan menggunakan tekanan psikologis untuk menciptakan rasa urgensi. Ungkapan yang umum digunakan termasuk: "Dompet telah diretas", "Token akan segera kedaluwarsa, segera klaim", "Akun akan segera diblokir", "Verifikasi Identitas (KYC) gagal", "Perlu segera menyelesaikan pembaruan keamanan".

Ungkapan seperti ini dapat mengganggu penilaian seseorang. Semakin mendesak Anda untuk segera bertindak, semakin Anda perlu memperlambat tempo dan memeriksa dengan cermat.

Aturan sederhana keamanan kripto: setiap kali diminta untuk segera mengoperasikan dompet, berhenti sejenak, tenang, dan verifikasi dulu.

Penampilan Menawan Tidak Lagi Sama dengan Aman

Situs web penipuan saat ini dapat mereplikasi dengan tepat identitas merek, skema warna, tata letak halaman, dan gaya penulisan. AI juga dapat membantu membuat halaman FAQ tiruan, balasan layanan pelanggan palsu, artikel berita tiruan, proses panduan pengguna baru yang lengkap, dan teks promosi.

Hanya mengandalkan efek visual, sudah tidak mungkin lagi menilai apakah sebuah platform dapat dipercaya. Penyerang hanya perlu menangkap kelengahan sesaat pengguna untuk melaksanakan pencurian aset yang tidak dapat dibalikkan.

Inti dari perlindungan keamanan tetaplah verifikasi: periksa domain, verifikasi kontrak, tinjau permintaan dompet, konfirmasi identitas layanan pelanggan, pahami tujuan transaksi. Desain yang indah tidak berarti dapat dipercaya.

Keamanan Kripto, Telah Berevolusi Menjadi Pertempuran Verifikasi

AI tidak menciptakan mode penipuan baru yang sama sekali baru, hanya meningkatkan presentasi dan tingkat penyamaran dari skema penipuan tradisional. Dulu orang terbiasa mengandalkan karakteristik permukaan untuk mengidentifikasi risiko, tetapi mengabaikan proses verifikasi operasi itu sendiri. Pola pikir ini akan menyebabkan kerugian besar di industri kripto.

Di balik sebuah teks dengan pilihan kata yang sempurna, mungkin tersembunyi tautan berbahaya; sebuah balasan layanan pelanggan yang tampak profesional mungkin mengarahkan Anda untuk mengotorisasi pengalihan aset; sebuah situs web yang hampir tidak dapat dibedakan dari aslinya juga dapat membuka izin berisiko tinggi.

Pesan intinya sederhana: narasi yang lancar, antarmuka yang indah, citra merek yang familiar, tidak dapat dijadikan sebagai bukti keamanan. Menghadapi setiap tautan, setiap pop-up dompet, setiap pesan layanan pelanggan, verifikasi dulu, baru bertindak.