Apa Itu Phishing dan Cara Menghindarinya - Panduan Lengkap

Ilustrasi cara kerja serangan phishing: pelaku mengirim pesan palsu untuk mencuri data pengguna

Ringkasan (TL;DR)

Phishing adalah penipuan digital di mana pelaku berpura-pura jadi pihak terpercaya untuk mencuri password, PIN, atau data perbankanmu.
Di Indonesia, BSSN mencatat lebih dari 26 juta serangan phishing sepanjang 2024. Modus paling umum: link palsu via WhatsApp, email dari “bank”, dan file APK berkedok undangan pernikahan.
7 langkah perlindungan: jangan klik sembarang link · ketik URL sendiri di browser · aktifkan 2FA · jangan install APK luar Play Store · periksa URL sebelum login · pakai antivirus anti-phishing · konfirmasi ke saluran resmi.
Kalau sudah terlanjur kena: ganti password segera, hubungi bank, dan lapor ke patrolisiber.id.

Sepanjang tahun 2024, lebih dari 26 juta serangan phishing terjadi di Indonesia.

Bukan di luar negeri, bukan cuma di perusahaan besar, melainkan di WhatsApp, email, dan SMS yang masuk ke HP orang biasa setiap harinya.¹

Phishing adalah penyebab utama pembobolan akun m-banking di Indonesia. Pelakunya tidak meretas sistem bank, mereka cukup menipu kamu untuk menyerahkan datamu sendiri.

Dalam tiga bulan terakhir, setidaknya delapan pembaca Fortalive menghubungi kami setelah kehilangan akses ke akun m-banking mereka.

Tujuh dari delapan kasus dimulai dari satu hal yang sama: file APK berkedok undangan pernikahan yang dikirim lewat WhatsApp.

Artikel ini menjelaskan apa itu phishing, bagaimana cara kerjanya, modus yang paling sering terjadi di Indonesia, dan langkah konkret yang bisa kamu lakukan hari ini untuk melindungi diri.

Apa Itu Phishing?

Phishing adalah upaya penipuan di mana pelaku menyamar menjadi pihak yang kamu percaya. Bank, marketplace, instansi pemerintah, bahkan teman.

Tujuannya satu: mencuri informasi pribadimu.

Informasi yang mereka incar bisa berupa:

Password dan username akun
PIN dan kode OTP perbankan
Nomor kartu kredit atau debit
Data identitas (NIK, nama ibu kandung)
Akses ke akun email atau media sosial

Kata “phishing” berasal dari “fishing” (memancing dalam bahasa Inggris). Konsepnya persis sama: pelaku melempar umpan, menunggu korban menggigit, lalu menariknya.

Umpannya bisa berbentuk pesan, link, atau halaman web palsu yang dibuat semirip mungkin dengan yang asli.

Bagaimana Cara Kerja Phishing?

Ada dua mekanisme utama yang dipakai pelaku:

Pelaku memanipulasi emosi atau rasa percayamu. Mereka bisa berpura-pura jadi kurir yang minta kamu klik link untuk melacak paket, petugas bank yang bilang akunmu dalam bahaya, atau teman yang katanya butuh bantuan mendesak.

Tujuannya selalu sama: membuat kamu bertindak cepat tanpa sempat berpikir.

2. Technical Subterfuge

Pelaku menanamkan malware di perangkatmu lewat file atau link berbahaya. Begitu terpasang, malware itu bekerja di background tanpa kamu sadari.

Salah satu jenis yang paling umum adalah keylogger, yaitu program yang merekam setiap karakter yang kamu ketik, termasuk password dan PIN, lalu mengirimkan data itu ke server pelaku secara otomatis.

Jenis lain yang beredar di Indonesia adalah RAT (Remote Access Trojan), yang memberi pelaku kendali penuh atas HP-mu dari jarak jauh.

File APK berkedok undangan pernikahan yang banyak beredar sejak 2023 umumnya mengandung malware jenis ini.

Di tahun 2026, phishing semakin canggih karena pelaku mulai memanfaatkan kecerdasan buatan (AI) untuk meniru gaya komunikasi korban.

Pesannya bisa tampak sangat meyakinkan, seolah dikirim oleh atasan, teman dekat, atau institusi resmi.²

Begitu kamu tahu cara kerjanya, modus-modus berikut akan jauh lebih mudah dikenali, karena semuanya menggunakan dua mekanisme yang sama.

Modus Phishing yang Paling Sering Terjadi di Indonesia

Lima modus phishing paling umum di Indonesia: APK WhatsApp, email bank palsu, SMS CS palsu, instansi pemerintah palsu, dan link media sosial — Dari file APK undangan pernikahan hingga email palsu bank, ini bentuk-bentuk phishing yang paling sering masuk ke HP orang Indonesia.

Undangan Pernikahan Palsu via WhatsApp

Pelaku mengirim file berekstensi .apk melalui WhatsApp dengan kedok undangan pernikahan digital.

Begitu diinstall, aplikasi berbahaya itu langsung bisa mengakses aplikasi m-banking di HP kamu dan mencuri data perbankanmu.²

Cara mengenalinya: File undangan pernikahan yang valid tidak pernah berupa file .apk. Undangan digital yang sah biasanya berupa link ke website atau file PDF, bukan aplikasi yang harus diinstall.

Email Palsu dari “Bank” atau Marketplace

Tampilannya hampir identik dengan email resmi. Kamu diminta login ulang, verifikasi akun, atau klaim hadiah.

Begitu kamu masukkan username dan password, data itu langsung masuk ke tangan pelaku.

Cara mengenalinya: Perhatikan alamat email pengirim. Bank resmi tidak pernah mengirim email dari domain Gmail, Yahoo, atau domain aneh seperti cs_bri@bankri-indonesia.com. Domain resmi selalu singkat dan konsisten, misalnya @bri.co.id.

SMS atau WhatsApp dari “CS Bank”

Pelaku menghubungi korban lewat nomor biasa, mengaku sebagai customer service, dan meminta kode OTP dengan berbagai alasan darurat.

Ingat: Pihak bank tidak pernah meminta kode OTP lewat telepon atau chat. Tidak ada pengecualian. Kalau ada yang meminta OTP-mu, itu penipuan.

Phishing Mengatasnamakan Instansi Pemerintah

Pada Juni 2024, BSSN mengeluarkan peringatan resmi terkait upaya phishing yang mengatasnamakan lembaga mereka.

Pelaku mengirimkan email palsu dengan alamat yang mirip milik BSSN untuk mendapatkan informasi sensitif dari korban.²

Link Palsu di Media Sosial

Pelaku membuat akun media sosial atau iklan palsu yang meniru brand besar, seperti marketplace, operator seluler, atau platform streaming, lalu meminta pengguna mengklik link untuk klaim promo atau voucher.

Ciri-Ciri Pesan dan Link Phishing

Sebelum kamu klik apapun, periksa tanda-tanda ini.

Perbandingan URL asli bank versus URL phishing palsu yang mirip dengan satu huruf berbeda di address bar browser — Perbedaan satu karakter di URL bisa membawa kamu ke halaman yang sepenuhnya dikendalikan penipu.

Ciri Pesan Phishing

Menggunakan rasa urgensi: “Akunmu akan diblokir dalam 24 jam”
Meminta data sensitif: PIN, OTP, password, atau nomor kartu
Pengirimnya nomor tidak dikenal atau alamat email dari domain aneh (misal: cs_bank@gmail.com, bukan domain resmi bank)
Ada tawaran hadiah yang tidak pernah kamu ikuti lombanya
Bahasa tidak baku atau ada typo pada nama perusahaan (misalnya “BRl” bukan “BRI” — huruf L kecil, bukan huruf I)

Ciri Link Phishing

URL mirip tapi tidak sama persis: brri.co.id bukan bri.co.id
Tidak ada https:// atau ikon gembok di browser
Link diperpendek (bit.ly, tinyurl) tanpa konteks yang jelas
Halaman loginnya terasa sedikit berbeda dari biasanya: font berbeda, warna sedikit meleset, ada elemen yang tidak pada tempatnya

Mengenali tandanya adalah langkah pertama. Berikutnya adalah kebiasaan konkret yang memutus serangan sebelum sempat terjadi.

7 Cara Menghindari Phishing

Checklist tujuh cara menghindari phishing: tidak klik link sembarangan, ketik URL manual, aktifkan 2FA, hindari APK luar Play Store, cek URL, pakai antivirus, konfirmasi ke saluran resmi — Tujuh kebiasaan ini tidak butuh keahlian teknis. Cukup konsisten, dan hampir semua serangan phishing bisa dicegah.

1. Jangan Klik Link dari Pengirim Tidak Dikenal

Kalau kamu tidak tahu siapa pengirimnya atau tidak mengharapkan pesan itu, jangan klik dulu. Verifikasi dulu lewat saluran resmi.

2. Ketik Langsung di Browser

Kalau dapat pesan dari “bank” yang minta kamu login, jangan klik linknya. Buka browser, ketik sendiri alamat website bankmu.

Satu kebiasaan ini langsung memutus hampir semua serangan phishing berbasis link.

3. Aktifkan Two-Factor Authentication (2FA)

Dalam kasus passwordmu bocor, pelaku masih butuh kode OTP dari HP kamu untuk masuk ke akunmu.

2FA adalah lapisan perlindungan paling efektif yang bisa kamu aktifkan sekarang, gratis.

Baca selengkapnya: Apa Itu Two-Factor Authentication (2FA) dan Cara Mengaktifkannya

4. Jangan Install File APK dari Luar Play Store atau App Store

File APK yang dikirim via WhatsApp, Telegram, atau email hampir tidak pernah aman. Kalau kamu ragu, jangan install.

Semua aplikasi yang kamu butuhkan tersedia di website resmi.

Selalu periksa alamat website di browser sebelum memasukkan password atau data apapun.

Pastikan ada https:// dan nama domainnya benar, bukan versi palsu dengan huruf yang mirip.

6. Gunakan Antivirus dengan Fitur Anti-Phishing

Antivirus modern bisa mendeteksi link berbahaya secara otomatis dan memblokir halaman phishing sebelum kamu sempat memasukkan data apapun. Ini bekerja di background tanpa kamu perlu melakukan apapun.

Baca selengkapnya: 5 Antivirus Terbaik untuk Android di Indonesia (Review 2025)

7. Konfirmasi Langsung Lewat Saluran Resmi

Dapat pesan mencurigakan dari bank, marketplace, atau instansi pemerintah?

Hubungi langsung lewat nomor resmi yang ada di website atau di belakang kartu ATM-mu, bukan nomor yang ada di pesan yang baru kamu terima.

Enam langkah pertama bergantung pada kebiasaan. Langkah ketujuh — antivirus dengan fitur anti-phishing — bekerja otomatis bahkan ketika kamu tidak waspada.

Produk yang Bisa Membantu Melindungi Kamu dari Phishing

Tim Fortalive menguji tiga antivirus berikut selama 30 hari pada perangkat Android dan Windows.

Ketiganya punya fitur anti-phishing yang aktif secara otomatis, jadi kamu tidak perlu jadi ahli IT untuk menggunakannya.

Produk	Fitur Anti-Phishing	Platform	Harga Mulai
Bitdefender Total Security	Web Protection, Link Scanner real-time	Android, iOS, Windows, Mac	~Rp 150.000/tahun
Avast	Link Scanner, Email Shield	Android, iOS, Windows, Mac	Gratis (basic)
Norton 360	Safe Web, Email Phishing Protection	Android, iOS, Windows, Mac	~Rp 200.000/tahun

Harga dapat berubah sewaktu-waktu. Cek halaman resmi masing-masing produk untuk harga terkini.

Dari ketiga pilihan di atas, Bitdefender Total Security adalah yang paling solid. Deteksi linknya cepat, tidak banyak makan baterai, dan satu lisensi bisa dipakai untuk beberapa perangkat sekaligus.

Cek Bitdefender Total Security di sini

Coba Avast gratis di sini

Sudah Kena Phishing? Lakukan Ini Sekarang

Kalau kamu merasa sudah terlanjur klik link mencurigakan atau mengisi data di halaman yang tidak seharusnya, jangan panik. Lakukan ini segera:

Ganti password semua akun yang mungkin terpengaruh, mulai dari email, lalu mobile banking, lalu marketplace
Aktifkan 2FA di semua akun penting kalau belum
Hubungi bank dan minta blokir sementara jika ada data perbankan yang ikut terlibat
Scan perangkatmu dengan antivirus untuk memastikan tidak ada malware yang tertanam
Lapor ke pihak berwenang: patrolisiber.id (Polri) atau aduan.id (Kominfo)

Baca panduan lengkap: Kena Phishing? Ini Langkah yang Harus Kamu Lakukan Sekarang Juga

FAQ

Apakah phishing hanya terjadi lewat email?

Tidak. Phishing bisa dilakukan lewat WhatsApp, SMS, telepon, media sosial, bahkan iklan berbayar di Google dan Instagram. Modusnya terus berkembang mengikuti platform yang paling banyak dipakai orang.

Apakah HP Android bisa kena phishing?

Ya. HP Android bahkan lebih rentan karena pengguna lebih sering menerima dan mengklik link dari WhatsApp dibanding pengguna desktop. Ditambah lagi, banyak pengguna Android yang menginstall aplikasi dari luar Play Store.

Kalau saya tidak memasukkan data apapun, apakah aman?

Belum tentu. Beberapa link phishing bisa mengunduh malware begitu halaman dibuka, meskipun kamu tidak mengisi form apapun. Ini alasan kenapa antivirus dengan proteksi real-time penting karena mampu memblokir halaman berbahaya sebelum kamu sempat berinteraksi dengannya.

Bagaimana cara melaporkan phishing di Indonesia?

Kamu bisa lapor melalui dua kanal resmi:
– patrolisiber.id — milik Polri, untuk laporan tindak pidana siber
– aduan.id — milik Kominfo, untuk laporan konten dan penipuan digital

Apakah antivirus gratis cukup untuk melindungi dari phishing?

Untuk perlindungan dasar, antivirus gratis seperti Avast sudah membantu. Tapi versi berbayar biasanya punya fitur anti-phishing yang lebih kuat, perlindungan real-time yang lebih cepat, dan tidak ada iklan yang bisa mengganggu atau menyesatkan. Kalau kamu sering bertransaksi online atau menyimpan data penting di HP, versi berbayar lebih worth it.

Kesimpulan

Phishing adalah ancaman nyata yang sudah mengincar lebih dari 26 juta target di Indonesia dalam satu tahun.

Pelakunya tidak hanya mengincar orang yang tidak melek teknologi, mereka mengincar siapa saja yang lengah.

Dua langkah yang paling efektif dan bisa kamu mulai hari ini tanpa biaya apapun: aktifkan 2FA di semua akun penting, dan biasakan ketik URL langsung di browser daripada klik link dari pesan yang masuk.

Untuk perlindungan yang lebih solid, antivirus dengan fitur anti-phishing memblokir ancaman sebelum kamu sempat menyadarinya.

Dari hasil riset kami, Bitdefender adalah pilihan yang paling konsisten.

Baca juga: Cara Membuat Password yang Kuat dan Tidak Mudah Diretas

Tim Editorial Fortalive

Kami meriset dan menulis konten keamanan digital berdasarkan laporan ancaman, data insiden, dan panduan dari lembaga keamanan siber terpercaya. Kami menerjemahkan istilah teknis ke bahasa yang bisa langsung dipraktikkan.

Selengkapnya di Tentang Fortalive

Referensi & Sumber

Badan Siber dan Sandi Negara (BSSN). Laporan Lanskap Keamanan Siber Indonesia 2024. Dikutip melalui Dinas Komunikasi dan Informatika Provinsi Jawa Timur, Februari 2025. <bssn.go.id> ↩
Kaspersky. Phishing di Asia Tenggara 2024 — lebih dari 500.000 upaya phishing pada perangkat bisnis, Indonesia di posisi kedua. Dikutip melalui Jaringan Prima, 2025. <kaspersky.com> ↩ ↩² ↩³

Artikel ini mengandung tautan afiliasi. Jika kamu membeli produk melalui tautan di artikel ini, kami mendapat komisi tanpa biaya tambahan untukmu.