Egidio
Dossier · mekanisme · 2026

Kebocoran hanyalah tahap pertama

Nama dan nomor telepon yang bocor tidak dengan sendirinya menjadi penipuan. Ada rantai tahapan yang jelas dan terdokumentasi, dari saat data Anda meninggalkan basis data yang diretas sampai telepon Anda berdering dengan skenario yang seolah tahu segalanya tentang Anda.

Rantai lengkap, tahap demi tahap

1

Kebocoran

Sebuah instansi, rumah sakit, sekolah, atau operator layanan diretas. Anda tidak melakukan kesalahan apa pun — celahnya ada di pihak ketiga yang menyimpan data Anda. Lihat dossier kebocoran data di Indonesia untuk kasus-kasus yang terdokumentasi, termasuk klaim yang belum dikonfirmasi resmi.

2

Peredaran

Data curian dijual atau dibagikan bebas, biasanya di forum khusus. Riset Kaspersky menemukan akses ke data identitas dasar (seperti KTP) bisa dimulai dari sekitar 0,5 dolar AS — namun harga aktual di berbagai laporan berkisar dari sekitar Rp7.000 hingga lebih dari Rp100.000 tergantung sumber dan kelengkapan datanya. Prinsipnya tetap sama: ini adalah pasar, dengan penawaran dan permintaan.

Kaspersky, dikutip CNBC Indonesia & detikInet
3

Penyusunan skenario

Ini tahap paling tak terlihat dan paling menentukan. Penipu tidak bekerja asal-asalan: ia menggabungkan beberapa sumber data untuk membangun skenario yang koheren — bank Anda, kantor kelurahan/kecamatan, sekolah anak Anda, atau riwayat pemesanan hotel terakhir Anda. Rekayasa sosial mengeksploitasi psikologi manusia, bukan celah teknis: serangan dibangun berlapis, dengan legitimasi yang terasa semakin nyata di setiap detail akurat yang disampaikan.

Trend Micro · MetaCompliance — dossier rekayasa sosial
4

Eksekusi

Kontak datang lewat telepon, SMS, video call, atau WhatsApp — dengan urgensi yang direkayasa ("rekening Anda sedang diretas", "transaksi Anda harus segera dibatalkan", "paket Anda salah kirim"). Kasus nyata yang terdokumentasi di Indonesia: nasabah BCA di Tasikmalaya kehilangan Rp160 juta lewat telepon dan video call pelaku yang mengaku petugas kecamatan dan Dukcapil (Mei 2026); seorang ASN di Ambon kehilangan Rp60,2 juta lewat modus pembatalan transaksi via telepon (November 2025); seorang warga Palembang kehilangan Rp17,7 juta setelah data pribadinya dieksploitasi lewat modus "paket salah kirim" di WhatsApp untuk membobol beberapa akun paylater sekaligus (Juli 2026).

IDN Citizen · Tribun Ambon · Tribun Lampung, 2025-2026
5

Permintaan akhir

Transfer ke "rekening aman", kode verifikasi yang diminta, atau instalasi aplikasi jarak jauh. Rata-rata kerugian per korban penipuan digital di Indonesia tercatat sekitar Rp17 juta.

OJK / Indonesia Anti-Scam Centre, briefing 18/06/2026

Apa kata data resmi

Indonesia Anti-Scam Centre (IASC) — dibentuk OJK bersama Polri, PPATK dan penyelenggara jasa keuangan/telekomunikasi — dan Bareskrim Polri mendokumentasikan percepatan yang jelas, khususnya pada kategori penipuan yang mengeksploitasi data personal:

608.000+
Kasus penipuan digital tercatat IASC sejak November 2024 hingga Juni 2026, dengan total kerugian mencapai Rp9,3 triliun.
OJK / Indonesia Anti-Scam Centre, data Juni 2026.
+30%
Lonjakan kasus penipuan siber yang dicatat Bareskrim Polri pada kuartal I 2026, didominasi modus phishing lewat tautan "dana kaget" palsu.
Bareskrim Polri, kuartal I 2026.
557.000+
Rekening bank yang berhasil diblokir IASC, dengan Rp674 miliar dana diamankan dan hampir Rp200 miliar dikembalikan ke korban.
OJK / Indonesia Anti-Scam Centre, data Juni 2026.
Rp17 juta
Rata-rata kerugian per korban penipuan digital di Indonesia, menurut data IASC.
OJK Jember, media briefing 18/06/2026.

OJK turut mencatat tren peningkatan pemanfaatan teknologi oleh pelaku, termasuk impersonasi berbasis kecerdasan buatan (AI) dan penyalahgunaan data pribadi untuk memperdaya korban — bukan lagi sekadar pesan generik yang dikirim acak.

Siapa yang disasar

Data resmi menunjukkan bahwa tidak ada satu profil tunggal yang jadi sasaran utama:

52,96%

Proporsi korban penipuan online di Indonesia yang berjenis kelamin perempuan.

Dua kutub usia

OJK mencatat modus scam kini menyasar kelompok dengan akses digital tinggi seperti Gen Z, sekaligus kelompok lanjut usia yang literasi digitalnya lebih rendah.

Bukan soal "kurang melek digital"

Personalisasi lewat data curian membuat pesan penipuan terasa sah — bukan lagi soal siapa yang paling paham teknologi, tapi siapa yang datanya paling lengkap beredar.

Satu nuansa penting

OJK menggencarkan edukasi keuangan khusus ke kelompok perempuan sebagai respons atas data ini — tapi menegaskan tidak ada kelompok yang benar-benar kebal.

🔒 Justru karena serangan ini memakai data asli, perlindungan statis — daftar hitam nomor, kata kunci mencurigakan — secara struktural buta terhadap pola ini: nomor penipu belum tentu ada di blacklist manapun, dan pesannya belum tentu memuat kata kunci klasik. Yang membongkar pola ini justru rangkaian perilaku lintas saluran — kontak yang berpindah dari telepon ke SMS lalu WhatsApp, dengan urgensi finansial yang dibangun bertahap — persis yang dirancang untuk dikenali Medusa. Lihat bagaimana cara kerja Medusa.

Pertanyaan yang sering diajukan

Apakah kebocoran data otomatis berujung penipuan?

Tidak otomatis dan tidak selalu langsung — data yang bocor beredar, diperjualbelikan, lalu dieksploitasi kadang berbulan-bulan setelah kebocoran aslinya terjadi. Tapi keterkaitannya nyata: gelombang penipuan bermodus petugas resmi sering muncul tak lama setelah kebocoran besar diberitakan.

Mengapa penipu bisa tahu nama lengkap, NIK, atau nomor rekening saya?

Karena informasi itu kemungkinan besar sudah bocor lewat salah satu insiden yang menimpa instansi, bank, rumah sakit, atau layanan yang pernah Anda gunakan. Penipu membeli atau mengumpulkan kumpulan data ini untuk menyusun skenario yang terasa mustahil ditebak secara acak — padahal sebenarnya berasal dari data curian.

Siapa yang paling banyak menjadi korban penipuan bertarget di Indonesia?

Data Bareskrim Polri mencatat 52,96% korban penipuan online adalah perempuan. OJK juga mencatat kelompok dengan akses digital tinggi seperti Gen Z maupun kelompok lanjut usia sama-sama disasar — bukan hanya satu kelompok usia. Personalisasi lewat data curian menghapus keunggulan yang biasa dimiliki orang yang dianggap lebih melek digital.

Baca lebih lanjut