Laporan Kaspersky Ungkap 88% Phishing Incar Kredensial Akun

Ilustrasi(Freepik)

LANSKAP ancaman siber sepanjang 2025 menunjukkan pergeseran strategi yang signifikan. Laporan terbaru Kaspersky yang menganalisis kampanye phishing dari Januari hingga September 2025 mengungkapkan bahwa mayoritas serangan kini tidak lagi sekadar mengejar data acak, melainkan berfokus pada penguasaan akses penuh melalui pencurian kredensial akun.

Berdasarkan data riset tersebut, sebanyak 88,5% serangan bertujuan untuk mendapatkan nama pengguna (username) dan kata sandi (password) dari berbagai akun daring. 

Sementara itu, 9,5% serangan menargetkan data pribadi seperti alamat dan tanggal lahir, serta 2% sisanya berfokus pada detail kartu perbankan.

Ekosistem Gelap di Balik Layar

Informasi yang dicuri tidak menguap begitu saja. Penyerang biasanya mengirimkan data curian melalui bot Telegram, email, atau panel kendali khusus sebelum akhirnya dilempar ke pasar gelap (dark web). Di sana, data-data ini dikonsolidasikan menjadi paket-paket besar yang siap dijual kembali.

Harga yang dipatok di pasar gelap sangat bervariasi, tergantung pada nilai ekonomi dari akses tersebut. Kaspersky Digital Footprint Intelligence mencatat harga rata-rata di 2025 meliputi:

• Akses Perbankan Online: Dibanderol hingga US$350 (sekitar Rp5,5 juta).
• Platform Kripto: Dijual rata-rata seharga US$105.
• Dokumen Pribadi (Paspor/ID): Sekitar US$15.
• Portal Internet Global: Mulai dari harga terendah US$0,90.

Data ini jarang digunakan hanya sekali. Pembeli di dark web akan menyortir dan memverifikasi apakah akun tersebut masih aktif untuk kemudian digunakan dalam serangan yang lebih besar atau pengambilalihan akun secara massal.

Bahaya Profil Digital

Risiko terbesar dari pencurian kredensial ini adalah terbentuknya profil digital yang terperinci. Dengan menggabungkan berbagai potongan informasi yang bocor, penyerang dapat membangun serangan yang sangat terarah (targeted attacks) kepada individu dengan aset tinggi, administrator TI, hingga eksekutif perusahaan.

Olga Altukhova, analis konten web senior di Kaspersky, menekankan bahwa nilai jangka panjang bagi penyerang terletak pada akses, bukan sekadar data tunggal.

“Sebagian besar kampanye phishing saat ini dibangun di sekitar pencurian kredensial karena akses, bukan satu titik data, menciptakan nilai jangka panjang bagi penyerang,” kata Olga Altukhova. 

“Analisis kami menunjukkan bahwa kredensial mencakup hampir 90% dari upaya phishing. Setelah dikumpulkan, login, kata sandi, nomor telepon, dan detail pribadi dikumpulkan, diperiksa, dan dijual kembali, terkadang berlangsung selama bertahun-tahun setelah pencurian awal,” lanjutnya.

Langkah Mitigasi bagi Pengguna

Untuk menghadapi ancaman yang kian sistematis ini, masyarakat diimbau untuk meningkatkan kewaspadaan digital melalui langkah-langkah berikut:

1. Verifikasi Ketat: Jangan mudah percaya pada tautan atau lampiran email. Selalu periksa alamat pengirim dan URL situs web dengan teliti.
2. Keamanan Berlapis: Aktifkan autentikasi multi-faktor (MFA) pada seluruh akun yang mendukung fitur ini dan gunakan kata sandi unik untuk setiap layanan.
3. Audit Mandiri: Tinjau laporan perbankan secara berkala dan periksa riwayat login serta sesi aktif pada akun media sosial maupun email.
4. Tindakan Responsif: Jika terjadi peretasan, segera ubah kata sandi dan beri tahu kontak Anda agar mereka tidak terjebak pesan palsu yang mengatasnamakan Anda.

Melalui pendekatan keamanan yang komprehensif, risiko kerugian akibat *phishing* dapat diminimalisir sebelum data pribadi berakhir di tangan pihak yang tidak bertanggung jawab. (Z-1)