- WhatsApp adalah aplikasi populer di Indonesia, dan karenanya juga menjadi pintu masuk utama penipuan digital. Kaspersky mencatat 1,2 juta serangan phishing via WhatsApp di Asia Tenggara pada 2025.
- Enkripsi end-to-end WhatsApp melindungi isi pesanmu. Tapi tidak melindungi akunmu dari pembajakan, SIM swap, atau GhostPairing (teknik serangan baru yang memungkinkan peretas menautkan browser mereka ke akunmu secara diam-diam).
-
7 pengaturan yang harus aktif sekarang:
- Verifikasi Dua Langkah (PIN 6 digit)
- Kunci Aplikasi (biometrik)
- Enkripsi Backup End-to-End
- Batasi Siapa yang Bisa Tambahkan ke Grup
- Periksa dan Kelola Perangkat Tertaut
- Batasi Visibilitas Profil dari Nomor Tidak Dikenal
- Strict Account Settings (fitur baru Januari 2026)
- Satu aturan yang tidak boleh dinego: OTP WhatsApp atau PIN verifikasi dua langkah tidak pernah boleh diberikan ke siapa pun. Tidak ada pengecualian.
Kamu mungkin pikir WhatsApp sudah aman karena pakai enkripsi end-to-end.
Anggapan itu tidak salah. Enkripsi itu memang kuat, dan WhatsApp membangun sistemnya di atas bahasa pemrograman Rust untuk memperkuat perlindungan foto, video, dan pesan dari ancaman spyware.3
Tapi enkripsi end-to-end hanya melindungi satu hal: isi pesanmu saat dalam perjalanan dari HP-mu ke HP penerima.
Enkripsi tidak bisa melindungi akunmu kalau seseorang berhasil mendaftarkan ulang nomormu ke perangkat lain, serta tidak bisa mencegah peretas menautkan browser mereka ke akunmu lewat Linked Devices.
Sistem keamanan WA juga tidak bisa menghentikan file APK berbahaya yang kamu install sendiri.
Tim Fortalive memantau laporan pembaca terkait pembajakan akun WhatsApp sejak awal 2026.
Dua celah yang paling sering muncul di semua kasus: korban tidak pernah memeriksa daftar Linked Devices, dan tidak mengaktifkan verifikasi dua langkah.
Dua hal ini seharusnya cukup mudah dilakukan tapi paling sering diabaikan.
Seperti yang dibahas di Modus Penipuan Online Terbaru di Indonesia, WhatsApp adalah kanal penipuan yang paling sering dipakai di Indonesia.
Artikel ini fokus pada satu hal: pengaturan yang bisa kamu aktifkan hari ini untuk menutup celah yang paling sering dieksploitasi di WA
Semua langkah di bawah menggunakan antarmuka WhatsApp versi terbaru (2.26.x, Mei 2026). Nama menu mungkin sedikit berbeda di merek HP tertentu.
- Kenapa Akun WhatsApp Sering Dibajak
- 7 Pengaturan Keamanan WhatsApp yang Harus Aktif Sekarang
- Pengaturan 1: Verifikasi Dua Langkah — Paling Penting
- Pengaturan 2: Kunci Aplikasi (App Lock) — Biometrik
- Pengaturan 3: Enkripsi Backup End-to-End
- Pengaturan 4: Batasi Siapa yang Bisa Menambahkanmu ke Grup
- Pengaturan 5: Periksa dan Kelola Perangkat Tertaut (Linked Devices)
- Pengaturan 6: Batasi Visibilitas Profil dari Nomor Tidak Dikenal
- Pengaturan 7: Strict Account Settings — Fitur Baru Januari 2026
- Ringkasan: Semua Pengaturan dalam Satu Tabel
- Satu Hal yang Tidak Bisa Diganti Pengaturan Apapun
- Perlindungan Tambahan: Lapisan di Luar WhatsApp
- FAQ
- Kesimpulan
- Referensi & Sumber
Kenapa Akun WhatsApp Sering Dibajak
Ada tiga metode utama yang paling sering dipakai penyerang:
SIM Swap. Penyerang meyakinkan operator seluler untuk memindahkan nomormu ke SIM card baru. Setelah berhasil, semua SMS — termasuk kode OTP WhatsApp — masuk ke HP mereka, bukan HP-mu.
Phishing OTP. Penyerang menelepon mengaku sebagai CS bank atau platform tertentu, menciptakan situasi darurat, lalu meminta kode OTP yang baru masuk ke HP-mu. Begitu kode diberikan, akun berpindah ke perangkat mereka.
GhostPairing. Teknik yang baru didokumentasikan peneliti keamanan di 2026 ini memanipulasi korban agar menautkan browser penyerang ke WhatsApp korban melalui fitur Linked Devices, biasanya dengan cara meminta korban men-scan QR code yang terlihat seperti proses verifikasi resmi.
Tanpa perlindungan yang memadai, penyerang bisa membaca semua pesanmu secara real-time tanpa kamu sadari.2
7 Pengaturan Keamanan WhatsApp yang Harus Aktif Sekarang
Pengaturan 1: Verifikasi Dua Langkah — Paling Penting
Mengapa ini penting: Verifikasi dua langkah menambahkan PIN 6 digit yang wajib dimasukkan setiap kali nomor WhatsApp-mu didaftarkan ke perangkat baru. Artinya, meski seseorang berhasil dapat OTP-mu lewat SIM swap atau phishing, mereka masih butuh PIN sebelum bisa mengambil alih akunmu.
Menambahkan PIN adalah salah satu cara yang paling banyak mencegah pembajakan akun WhatsApp.
Data dari salah satu sumber komunitas keamanan menyebut 80% akun WhatsApp yang diretas tidak mengaktifkan verifikasi dua langkah.1
Cara mengaktifkan:
- Buka WhatsApp
- Ketuk ikon titik tiga (⋮) di pojok kanan atas → Setelan
- Pilih Akun
- Ketuk Verifikasi dua langkah
- Ketuk Aktifkan
- Buat PIN 6 digit — jangan pakai tanggal lahir atau angka berurutan
- Masukkan kembali PIN untuk konfirmasi
- Tambahkan alamat email cadangan — ini sangat disarankan agar bisa reset PIN kalau lupa
- Ketuk Simpan
Penting: Setelah aktif, WhatsApp akan memintamu memasukkan PIN ini secara berkala agar tidak lupa. Jangan berikan PIN ini ke siapapun, termasuk yang mengaku dari tim WhatsApp.
Pengaturan 2: Kunci Aplikasi (App Lock) — Biometrik
Mengapa ini penting: Kunci aplikasi mencegah siapapun yang memegang HP-mu membuka WhatsApp tanpa izin, bahkan saat HP dalam kondisi tidak terkunci. Hal ini bisa melindungi saat HP tertinggal, dipinjam, atau dicuri.
Di update WhatsApp versi 2026, fitur ini mendukung auto-lock setelah 1 menit idle dan mengirim notifikasi kalau ada yang mencoba membuka aplikasi saat layar sudah terkunci.1
Cara mengaktifkan:
- Buka WhatsApp → Setelan
- Pilih Privasi
- Scroll ke bawah, ketuk Kunci Sidik Jari (Android) atau Kunci Layar (iOS)
- Geser toggle ke Aktif
- Verifikasi dengan sidik jari atau Face ID-mu
- Pilih kapan kunci aktif: Segera, Setelah 1 menit, atau Setelah 30 menit
Rekomendasi: Pilih Segera untuk keamanan maksimal, atau Setelah 1 menit kalau terasa terlalu sering meminta verifikasi.
Pengaturan 3: Enkripsi Backup End-to-End
Mengapa ini penting: Enkripsi end-to-end WhatsApp melindungi pesan saat dikirim.
Tapi backup chat yang tersimpan di Google Drive atau iCloud secara default tidak terenkripsi end-to-end, artinya secara teknis bisa diakses oleh Google, Apple, atau siapapun yang berhasil masuk ke akun cloud-mu.
Dengan mengaktifkan enkripsi backup, riwayat chatmu dilindungi bahkan di penyimpanan cloud.4
Cara mengaktifkan:
- Buka WhatsApp → Setelan
- Pilih Obrolan
- Ketuk Cadangan Obrolan
- Pilih Enkripsi End-to-End
- Ketuk Aktifkan
- Buat kata sandi atau simpan kunci 64 digit yang dihasilkan di tempat yang aman
- Ketuk Buat
Peringatan: Kalau kamu lupa kata sandi enkripsi backup dan tidak menyimpan kunci 64 digit-nya, backup tidak bisa dipulihkan. Simpan kata sandi ini di password manager-mu.
Butuh tempat aman menyimpan kata sandi backup? 5 Password Manager Terbaik untuk Pengguna Indonesia
Pengaturan 4: Batasi Siapa yang Bisa Menambahkanmu ke Grup
Mengapa ini penting: Salah satu cara paling umum penipu menjangkau target baru adalah dengan memasukkan korban ke grup WhatsApp berisi anggota lain yang sudah tertipu, atau grup yang dirancang untuk menyebarkan penipuan investasi, lowongan palsu, dan link phishing.
Dengan membatasi siapa yang bisa menambahkanmu ke grup, kamu memotong salah satu kanal distribusi penipuan yang paling efektif.
Cara mengaktifkan:
- Buka WhatsApp → Setelan
- Pilih Privasi
- Scroll ke bagian Grup
- Pilih Kontak saya (bukan “Semua orang”)
- Atau pilih Kontak saya kecuali… untuk kontrol lebih spesifik
Dengan pengaturan ini: Hanya kontak yang tersimpan di HP-mu yang bisa menambahkanmu langsung ke grup. Orang lain harus mengirim undangan yang bisa kamu terima atau tolak terlebih dahulu.
Pengaturan 5: Periksa dan Kelola Perangkat Tertaut (Linked Devices)
Mengapa ini penting: Fitur Linked Devices memungkinkan WhatsApp dipakai di browser atau laptop tanpa HP aktif.
Tapi kalau kamu pernah scan QR code sembarangan, ada kemungkinan browser orang lain sudah tertaut ke akunmu tanpa kamu sadari dan ini adalah metode serangan GhostPairing yang didokumentasikan di 2026.2
Cara memeriksa dan membersihkan:
- Buka WhatsApp → Setelan
- Ketuk Perangkat Tertaut
- Lihat semua perangkat yang terdaftar
- Kenali setiap entri: nama browser, tanggal terakhir aktif, dan lokasi perkiraan
- Kalau ada yang tidak kamu kenal atau tidak kamu ingat pernah pasang, ketuk entri itu → Keluar
- Kalau ragu, ketuk Keluar dari Semua Perangkat
Rutinitas yang disarankan: Periksa daftar Linked Devices setidaknya sekali sebulan. Jadikan kebiasaan seperti mengecek rekening bank.
Pengaturan 6: Batasi Visibilitas Profil dari Nomor Tidak Dikenal
Mengapa ini penting: Foto profil, status, dan waktu terakhir online-mu bisa dilihat oleh siapapun yang punya nomormu, termasuk penipu yang sedang membangun profil targetnya.
Membatasi visibilitas ini mengurangi informasi yang tersedia untuk rekayasa sosial (social engineering).
Cara mengatur:
- Buka WhatsApp → Setelan → Privasi
Foto Profil:
- Ketuk Foto Profil
- Pilih Kontak saya (bukan “Semua orang”)
Terakhir Dilihat & Online:
- Ketuk Terakhir Dilihat dan Online
- Pilih Kontak saya untuk Terakhir Dilihat
- Untuk Online, pilih Sama seperti Terakhir Dilihat
Status:
- Ketuk Status
- Pilih Kontak saya
Info:
- Ketuk Info
- Pilih Kontak saya
Catatan: Menyembunyikan “Terakhir Dilihat” berarti kamu juga tidak bisa melihat “Terakhir Dilihat” orang lain. Trade-off yang kecil dibanding perlindungan yang didapat.
Pengaturan 7: Strict Account Settings — Fitur Baru Januari 2026
Mengapa ini penting: WhatsApp resmi meluncurkan Strict Account Settings (Pengaturan Akun Ketat) pada Januari 2026, fitur keamanan tingkat lanjut yang bekerja mirip “Lockdown Mode” pada iPhone.
Saat diaktifkan, WhatsApp secara drastis membatasi interaksi dari nomor yang tidak ada di kontakmu, memblokir lampiran dan media dari pengirim asing, dan mencegah eksekusi zero-click exploit atau malware yang bisa menyusup ke perangkat tanpa kamu klik apapun.3
Fitur ini dirancang terutama untuk jurnalis, aktivis, dan tokoh publik. Tapi untuk pengguna biasa di Indonesia — di mana serangan via WhatsApp sangat tinggi — mengaktifkannya memberikan lapisan perlindungan ekstra yang signifikan.
Cara mengaktifkan:
- Pastikan WhatsApp sudah diperbarui ke versi terbaru
- Buka WhatsApp → Setelan
- Pilih Privasi
- Scroll ke bawah, cari Lanjutan
- Ketuk Pengaturan Akun Ketat (Strict Account Settings)
- Geser toggle ke Aktif
- Konfirmasi dengan mengetuk Aktifkan
Fitur belum muncul? Strict Account Settings diluncurkan secara bertahap sejak Januari 2026. Kalau menu ini belum ada di HP-mu, coba langkah berikut:
- Buka Google Play Store → cari “WhatsApp” → ketuk Update kalau tersedia
- Restart WhatsApp setelah update selesai
- Cek ulang di Setelan → Privasi → Lanjutan
Kalau setelah update masih belum muncul, fitur mungkin belum tersedia di regionmu — rollout global WhatsApp tidak selalu serentak.
Konsekuensi yang perlu diketahui: Saat aktif, tiga hal berubah sekaligus. Pertama, lampiran dan media dari nomor yang tidak tersimpan di kontakmu diblokir otomatis — file APK, gambar, dan dokumen dari pengirim asing tidak akan masuk. Kedua, panggilan dari nomor asing otomatis dibisukan. Panggilan tetap tercatat di daftar panggilan tak terjawab, tapi tidak ada notifikasi bunyi. Ketiga, preview link dinonaktifkan — tautan yang dikirim siapapun tidak akan menampilkan cuplikan halaman, yang mengurangi risiko interaksi dengan server berbahaya secara tidak sengaja.
Kalau kamu sering menerima pesan, panggilan, atau kiriman file dari nomor baru yang sah — pelanggan, kolega baru, atau vendor — pertimbangkan ini sebelum mengaktifkan. Untuk kebanyakan pengguna yang lingkaran komunikasinya sudah stabil, ketiga pembatasan ini hampir tidak terasa.
Ringkasan: Semua Pengaturan dalam Satu Tabel
| No. | Pengaturan | Lokasi Menu | Status Default | Urgensi |
|---|---|---|---|---|
| 1 | Verifikasi Dua Langkah | Setelan → Akun | Tidak aktif | Wajib |
| 2 | Kunci Aplikasi | Setelan → Privasi | Tidak aktif | Sangat disarankan |
| 3 | Enkripsi Backup E2E | Setelan → Obrolan → Cadangan | Tidak aktif | Disarankan |
| 4 | Batasi Penambahan Grup | Setelan → Privasi → Grup | Semua orang | Wajib |
| 5 | Periksa Linked Devices | Setelan → Perangkat Tertaut | — | Rutin bulanan |
| 6 | Batasi Visibilitas Profil | Setelan → Privasi | Semua orang | Disarankan |
| 7 | Strict Account Settings | Setelan → Privasi → Lanjutan | Tidak aktif | Disarankan |
Satu Hal yang Tidak Bisa Diganti Pengaturan Apapun
Semua pengaturan di atas bekerja di lapisan teknis. Tapi ada satu celah yang tidak bisa ditutup teknologi:
Kamu sendiri memberikan akses.
Kalau kamu memberikan PIN verifikasi dua langkah ke orang yang mengaku CS bank, semua pengaturan di atas tidak berguna.
Kalau kamu scan QR code dari link yang dikirim orang asing tanpa memeriksa dulu, Linked Devices bisa disalahgunakan.
Satu aturan yang tidak berubah: kode OTP, PIN verifikasi dua langkah, dan QR code WhatsApp tidak pernah boleh dibagikan ke siapapun — dengan alasan apapun.
Perlindungan Tambahan: Lapisan di Luar WhatsApp
Pengaturan WhatsApp melindungi akunmu. Tapi ancaman via WhatsApp — terutama file APK berbahaya dan link phishing — bekerja di level sistem HP-mu.
Antivirus dengan anti-phishing real-time bisa memblokir link berbahaya sebelum kamu sempat mengkliknya, dan mendeteksi APK berbahaya sebelum diinstall.
Review lengkap: 5 Antivirus Terbaik untuk Android di Indonesia
| Produk | Fitur Relevan untuk WhatsApp | Harga Promosi Thn 1 |
|---|---|---|
| Bitdefender Mobile Security | Blokir link phishing dari semua app termasuk WA, deteksi APK berbahaya | ~$14,99/tahun |
| Norton 360 Deluxe | AI Scam Protection, SMS/link filtering, deteksi phishing real-time | ~$49,99/tahun (5 perangkat) |
Harga adalah harga promosi tahun pertama. Norton 360 Deluxe renewal ~$124,99/tahun. Cek halaman resmi masing-masing sebelum berlangganan.
Coba Bitdefender Mobile Security 30 hari gratis
Lihat Norton 360 Deluxe
FAQ
Isi pesan yang sedang dikirim sangat sulit disadap karena enkripsi end-to-end yang kuat. Yang sering terjadi adalah pembajakan akun, di mana seseorang mengambil alih akunmu secara penuh menggunakan metode seperti SIM swap atau phishing OTP. Setelah akun diambil alih, mereka bisa membaca semua percakapan yang belum dihapus di perangkat baru. Spyware seperti Pegasus bisa mengakses perangkat tanpa interaksi (zero-click), tapi serangan itu sangat mahal dan biasanya menargetkan tokoh tertentu, bukan pengguna biasa.
Tidak selalu secara otomatis. Kamu perlu memeriksa secara manual di menu Setelan → Perangkat Tertaut. WhatsApp mengirimkan notifikasi saat ada perangkat baru yang ditautkan, tapi notifikasi itu bisa terlewat atau diabaikan. Periksa daftar ini secara rutin setidaknya sebulan sekali.
Secara konsep sama, keduanya menambahkan lapisan kedua selain OTP. Bedanya, verifikasi dua langkah WhatsApp menggunakan PIN yang kamu buat sendiri (bukan kode dari aplikasi authenticator), dan PIN ini diminta saat nomor didaftarkan ke perangkat baru, bukan setiap kali login.
Tergantung penggunaanmu. Kalau sebagian besar kontakmu sudah tersimpan di HP — keluarga, teman, kolega tetap — hampir tidak ada perbedaan. Yang berubah: nomor asing tidak bisa mengirim lampiran atau media, panggilan dari nomor asing dibisukan tapi tetap tercatat, dan preview link dinonaktifkan. Untuk pengguna dengan lingkaran komunikasi yang sudah stabil, ketiga perubahan ini hampir tidak terasa.
Kalau dilakukan sekaligus mengikuti panduan di atas, sekitar 10–15 menit. Mulai dari yang paling penting dulu: Verifikasi Dua Langkah (3 menit) dan batasi penambahan grup (1 menit). Sisanya bisa dilakukan bertahap.
Backup lama yang sudah ada di Google Drive tidak terenkripsi end-to-end secara otomatis. Setelah mengaktifkan enkripsi backup, backup berikutnya akan terenkripsi. Backup lama tetap tersimpan dalam format lama. Kalau ingin semua backup terenkripsi, hapus backup lama di Google Drive secara manual setelah backup baru yang terenkripsi berhasil dibuat.
Kesimpulan
WhatsApp punya sistem keamanan yang cukup solid secara teknis.
Masalahnya bukan di enkripsi pesannya, tapi ada di pengaturan keamanan yang tidak aktif secara default dan celah yang perlu ditutup secara manual oleh pengguna.
Mulai dari yang paling penting: aktifkan Verifikasi Dua Langkah sekarang. Melakukan ini menjadi satu langkah yang paling banyak mencegah pembajakan akun. Sisanya bisa dilakukan bertahap dalam waktu 15 menit.
Dan satu hal yang tidak bisa diatur lewat menu setting: jangan pernah berikan OTP atau PIN WhatsApp ke siapapun.
Kenali modus yang menargetkan WhatsApp: Modus Penipuan Online Terbaru di Indonesia
Aktifkan 2FA di akun lain juga: Apa Itu Two-Factor Authentication dan Cara Mengaktifkannya
Baca juga: Bahaya WiFi Publik dan Cara Aman Menggunakannya → (internal link — A13)
Kami meriset dan menulis konten keamanan digital berdasarkan laporan ancaman, data insiden, dan panduan dari lembaga keamanan siber terpercaya. Kami menerjemahkan istilah teknis ke bahasa yang bisa langsung dipraktikkan.
Selengkapnya di Tentang Fortalive
Referensi & Sumber
- Arreza MP. Data Kaspersky 2025: 1,2 juta serangan phishing via WA di Asia Tenggara. 80% akun WA yang diretas tidak aktifkan verifikasi dua langkah. Januari 2026. arrezamp.com ↩ ↩2 ↩3
- Media Indonesia. Peneliti keamanan mendokumentasikan teknik GhostPairing 2026 — manipulasi pengguna agar menautkan browser penyerang ke WhatsApp korban melalui Linked Devices tanpa disadari. Mei 2026. mediaindonesia.com ↩ ↩2 ↩3
- Medcom.id / Meta WhatsApp. WhatsApp meluncurkan Strict Account Settings (Pengaturan Akun Ketat) Januari 2026 — fitur lockdown yang memblokir lampiran dari nomor asing, membisukan panggilan dari nomor asing, menonaktifkan preview link, dan mencegah zero-click exploit. WhatsApp menggunakan bahasa Rust untuk keamanan pesan, foto, dan video. Januari 2026. medcom.id ↩ ↩2
- Desanaob.id. Panduan lengkap keamanan WhatsApp 2026: Two-Step Verification, App Lock, End-to-End Encrypted Backup. Update WA 2026 mewajibkan autentikasi biometrik setiap kali menautkan perangkat baru. Februari 2026. desanaob.id ↩