Pagi-pagi ada SMS “tunggakan tol belum dibayar” atau pesan mirip bank yang minta verifikasi? Sekali klik, data kamu bisa disedot habis. Skema semacam ini bukan cerita lama—di 2024 saja, konsumen di AS melaporkan kerugian US$470 juta dari penipuan yang bermula dari pesan teks, dan polanya masih naik di 2025. Angka ini bahkan lima kali lipat dibanding 2020, meski jumlah laporan turun karena serangan makin rapi dan tepat sasaran.
Di saat yang sama, banyak otoritas transportasi dan perbankan memperingatkan gelombang SMS palsu soal denda tol dan pesan yang menyaru layanan bank, menandakan pelaku menunggangi tema yang bikin panik untuk memaksa korban klik tautan.
Apa itu SMS Phishing (Smishing)?
Sederhananya, smishing adalah phishing lewat pesan teks—SMS, RCS, atau iMessage—yang mendorong kamu membuka tautan ke situs palsu untuk menyerahkan data sensitif seperti user ID, PIN, nomor kartu, hingga OTP. Penting juga untuk memahami apa itu OTP dan kenapa tidak boleh dibagikan agar kamu bisa mengenali trik penipuan lebih cepat. Bank-bank besar di Indonesia juga sudah memperingatkan bahwa penipu sering meniru nomor layanan resmi dan menyisipkan tautan palsu di pesan singkat.
Di 2025, kanalnya tak lagi terbatas ke SMS. Ada kampanye skala besar yang memanfaatkan iMessage dan RCS dengan akun/ID sementara dan domain yang terus berganti agar lolos filter operator—membuat pesan terlihat lebih “bersih” dan sukar disaring.
Setelah paham definisinya, sekarang kita bedah bagaimana modus baru ini bekerja—dan kenapa ia terasa makin meyakinkan dari tahun ke tahun.
Modus Canggih yang Lagi Naik 2025
Pelaku tak lagi mengandalkan pesan acak. Mereka meramu skenario yang dekat dengan aktivitas harian, memakai infrastruktur dan kit yang meminimalkan jejak.
1) “Tunggakan Tol” dan Tagihan Transportasi Palsu
Kamu dapat SMS tentang denda tol, ada tautan “cek tagihan”, nominalnya kecil agar refleks membayar. Massachusetts sampai mengeluarkan peringatan resmi soal EZDriveMA; pola yang sama muncul lagi di akhir tahun—bukti bahwa tema ini laku keras dan terus berulang.
2) Smishing via iMessage/RCS, Skala Raksasa
Laporan teknis menunjukkan pelaku mengirim link phishing lewat iMessage/RCS dengan ID sementara, rotasi nomor/domain, dan URL berumur pendek agar analisis forensik sulit dilakukan. Teknik ini membantu mereka menembus filter spam dan menarget korban lintas wilayah.
3) “Fake BTS” dan SMS Blasting Terkoordinasi
Di Indonesia, penegak hukum membongkar jaringan SMS blasting yang memanfaatkan teknik fake BTS—menara pemancar palsu yang dipakai menyebarkan ribuan SMS phishing mengatasnamakan bank. Serangan ini mirip dengan modus yang sering digunakan dalam rekayasa sosial di dunia digital, di mana pelaku memanipulasi korban lewat rasa percaya. Ada tersangka WNA, puluhan ribu pesan dikirim, dan korban nyata. Sektor perbankan juga mengedukasi nasabah tentang varian ini karena kanal terlihat seperti resmi.
Tiga contoh di atas menunjukkan satu hal: tema yang dekat, kanal yang terlihat resmi, dan skala distribusi yang masif. Itulah kombinasi yang meningkatkan rasio “klik” dan kebocoran data.
Ciri-ciri Pesan Smishing yang Patut Kamu Curigai
Tidak semua pesan mendesak itu darurat sungguhan. Kenali pola bahasanya, bukan hanya nomornya.
Pertama, urgensi berlebihan: “akun diblokir”, “denda naik dalam 2 jam”, “poin segera hangus”. Kedua, tautan yang mirip resmi tapi ada kejanggalan—domain salah eja, subdomain acak, atau karakter aneh. Ketiga, penyamaran nomor/label pengirim agar menyerupai kontak resmi bank. BCA, misalnya, menegaskan bahwa pesan semacam ini sering kali menyisipkan link untuk “verifikasi” lalu mengarahkanmu ke situs palsu. Prinsipnya sama seperti cara cek situs resmi dan aman sebelum melakukan transaksi.
Kalau satu saja tanda ini muncul, anggap pesan itu berisiko tinggi. Tahan jempolmu sebelum menekan tautan.
Dari SMS ke Rekening Jebol: Begini Alurnya
Banyak yang bertanya, “Kok bisa sih satu klik bikin saldo lenyap?” Jawabannya ada pada rangkaian proses yang terstruktur rapi, di mana pelaku memadukan rekayasa sosial dan otomatisasi teknis. Biar kamu lebih paham, mari kita bedah tahap demi tahap.
- Pemilihan Target & Tema Pesan
Sebelum SMS dikirim, pelaku sudah memilih tema yang relevan dengan korban—mulai dari denda tol, pemblokiran rekening, hingga undangan mengambil paket. Tema ini dipilih karena memicu emosi mendesak: rasa takut atau takut kehilangan sesuatu (fear of loss).
Sumber nomor telepon bisa berasal dari kebocoran data, scraping media sosial, atau bahkan random generator yang menembak ribuan nomor sekaligus. - Distribusi Pesan dengan Infrastruktur Canggih
Di sinilah teknologi berperan. SMS bisa dikirim lewat:
- Fake BTS yang memancarkan sinyal dan langsung masuk ke ponsel korban tanpa lewat operator.
- Bulk SMS gateway dari luar negeri yang menyamarkan nomor pengirim menjadi mirip kontak resmi (spoofing).
- iMessage/RCS dengan ID sementara yang sulit dilacak dan mudah diganti.
Hasilnya, pesan yang kamu terima terlihat rapi, bebas dari tanda spam, dan menggunakan bahasa yang natural.
- Penjebakan Lewat Tautan
Setiap SMS memuat link singkat (URL shortener) atau domain mirip asli, misalnya bank-bca[.]co[.]id dengan karakter tambahan. Tautan ini diarahkan ke landing page yang didesain mobile-first sehingga tampilannya nyaris identik dengan situs/aplikasi resmi.
Di balik layar, halaman ini dilengkapi skrip untuk:
- Merekam setiap tombol yang kamu ketik (keylogger).
- Mengirim data secara real-time ke dashboard pelaku.
- Meminta OTP dengan alasan “verifikasi tambahan” agar bisa langsung masuk ke akunmu.
- Pencurian & Monetisasi Data
Begitu data masuk, pelaku tidak selalu langsung menarik uang. Ada beberapa skenario:
- Akses instan ke akun perbankan ? transfer ke rekening penampung (mule account).
- Penggunaan data kartu ? ditambahkan ke dompet digital (card-to-wallet) lalu dipakai bertransaksi di merchant palsu.
- Penjualan data di forum gelap untuk dipakai pelaku lain.
Serangan modern kadang melibatkan bot yang memproses ratusan kredensial per menit, sehingga uang bisa hilang hanya dalam hitungan detik setelah OTP kamu dimasukkan.
- Pencucian Dana
Dana yang sudah diambil biasanya diputar melalui:
- Rekening perantara yang sulit dilacak (mule).
- Pembelian aset digital seperti kripto untuk menghilangkan jejak. Karena itu, pemahaman cara beli dan simpan kripto secara aman menjadi krusial agar asetmu tidak jadi target berikutnya.
- Penarikan tunai bertahap lewat merchant/ATM di luar kota atau luar negeri.
Melihat alur yang begitu terencana dari hulu ke hilir, satu-satunya titik di mana kamu punya kontrol penuh adalah di langkah pertama: tidak mengklik tautan. Sekali kamu masuk ke alur pelaku, sisa proses berjalan otomatis dan peluang untuk menghentikannya jadi sangat kecil.
Praktik Aman Anti-Smishing
Pencegahan terbaik itu sederhana dan konsisten.
- Abaikan tautan di SMS. Kalau perlu verifikasi, buka aplikasi resmi atau ketik sendiri alamat situsnya; untuk urusan tol, cek di kanal resmi instansi terkait, bukan dari link di pesan.
- Jangan pernah bagikan OTP & data perbankan. Bank menegaskan tidak meminta data sensitif melalui tautan atau pesan singkat, titik.
- Gunakan fitur keamanan ponsel: filter spam, nonaktifkan pratinjau link, dan perbarui sistem. Selain itu, terapkan tips menjaga keamanan akun Indodax agar perlindungan kamu semakin berlapis.
- Pisahkan identitas kontak untuk transaksi. Satu nomor/email khusus layanan keuangan mengurangi ekspos data.
- Laporkan & hapus. Di AS, pelaporan disalurkan ke ReportFraud.ftc.gov; rujukan ini berguna untuk memahami mekanisme pelaporan yang benar saat kamu mengedukasi audiens.
Semakin disiplin kamu mengikuti kebiasaan ini, semakin kecil peluang pelaku menembus pertahanan.
Studi Kasus Singkat
Dua contoh ini membantu kamu mengenali pola dengan cepat.
Kasus “Denda Tol”
SMS menyebut ada tunggakan kecil; link menuju halaman bayar dengan tampilan menyerupai layanan resmi. Banyak penerima tergoda karena nominalnya kecil dan ancamannya terasa nyata. Peringatan MassDOT menegaskan praktik ini murni smishing dan meminta warga mengabaikannya.
Kasus “Akun Bank Diblokir”
Pesan meniru nomor/label kontak resmi, mengarahkan ke laman masuk palsu. Bank di Indonesia—termasuk BCA—sudah berulang kali mengingatkan bahwa mereka tidak meminta OTP atau data sensitif via tautan SMS.
Jika alurnya terasa “paksa verifikasi sekarang” lewat tautan, hampir pasti itu jebakan.
Upaya Brand & Penegak Hukum
Perlindungan bukan cuma tugas pengguna—institusi juga bergerak.
Bank menerbitkan edukasi berkala tentang smishing, termasuk varian fake BTS yang meniru kanal resmi. Di sisi penindakan, polisi siber membongkar jaringan SMS blasting lintas negara dengan pelaku WNA dan ribuan pesan umpan. Kolaborasi edukasi publik dan penegakan hukum ini menutup ruang gerak penipu dari dua arah.
Semakin kamu mengandalkan kanal resmi dan melaporkan insiden, semakin kuat ekosistem pertahanan kita.
Kesimpulan
Smishing 2025 telah berevolusi menjadi operasi yang terencana, memadukan rekayasa sosial dan teknologi distribusi canggih. Bukan lagi sekadar SMS berisi ejaan kacau, melainkan pesan yang dibungkus rapi, disebarkan lewat kanal modern seperti iMessage dan RCS, bahkan dipancarkan langsung melalui fake BTS yang memintas jalur operator. Tema yang diangkat — mulai dari denda tol hingga pemblokiran akun — dipilih untuk memicu reaksi spontan, sebelum kamu sempat memeriksa kebenarannya.
Kerugian finansial yang tercatat di berbagai negara, termasuk data FTC yang mencapai ratusan juta dolar, hanyalah puncak gunung es. Di baliknya, ada rantai monetisasi yang mengalir cepat: data yang kamu masukkan dikirim real-time, diproses bot, dan diubah menjadi transaksi ilegal dalam hitungan detik.
Di titik ini, pertahanan terbaik bukan sekadar “awas SMS palsu”, tapi membangun refleks keamanan digital:
- Menahan diri untuk tidak mengklik tautan tanpa verifikasi.
- Mengandalkan aplikasi atau kanal resmi untuk semua transaksi.
- Menutup rapat akses ke OTP dan kredensial perbankan.
Jika kebiasaan ini menjadi budaya digital kamu, maka meskipun teknologi penipu semakin canggih, peluang mereka untuk menembus pertahanan akan terus menipis. Dalam ekosistem serangan yang kian agresif, kesadaran dan disiplin pribadi adalah firewall paling kuat yang bisa kamu miliki. Pelajari juga panduan keamanan digital untuk pemula agar langkah pencegahanmu makin matang.
Itulah informasi menarik tentang “SMS Phishing” yang bisa kamu eksplorasi lebih dalam di artikel Akademi crypto di INDODAX. Selain memperluas wawasan investasi, kamu juga bisa terus update dengan berita crypto terkini dan pantau langsung pergerakan harga aset digital di INDODAX Market. jangan lupa aktifkan notifikasi agar kamu selalu mendapatkan informasi terkini seputar aset digital dan teknologi blockchain hanya di INDODAX Academy.
Kamu juga dapat mengikuti berita terbaru kami melalui Google News untuk akses informasi yang lebih cepat dan terpercaya. Untuk pengalaman trading yang mudah dan aman, download aplikasi crypto terbaik dari INDODAX di App Store atau Google Play Store.
Maksimalkan juga aset kripto kamu dengan fitur INDODAX Earn, cara praktis untuk mendapatkan penghasilan pasif dari aset yang kamu simpan.
Ikuti juga sosial media kami di sini: Instagram, X, Youtube & Telegram
FAQ
1. Apa beda smishing dengan phishing biasa?
Smishing adalah phishing via pesan teks (SMS/RCS/iMessage). Target utamanya adalah mendorong kamu membuka tautan palsu dan memberikan data sensitif/OTP.
2. Kenapa tema “tunggakan tol” sering dipakai?
Karena universal, bernuansa mendesak, dan gampang memancing klik. Otoritas transportasi seperti MassDOT telah memperingatkan pola smishing ini.
3. Benarkah iMessage/RCS lebih aman dari SMS?
Tidak otomatis aman. Ada kampanye yang memang sengaja memanfaatkan iMessage/RCS dengan teknik rotasi domain/ID agar lolos filter.
4. Seberapa besar kerugian dari penipuan berbasis pesan teks?
FTC mencatat kerugian US$470 juta pada 2024—naik tajam dibanding 2020 meski jumlah laporan menurun.
5. Apakah bank pernah meminta OTP lewat SMS atau tautan?
Tidak. Bank menegaskan tidak meminta OTP atau data perbankan melalui tautan/ pesan singkat. Jika ada yang meminta, itu indikasi penipuan.
6. Saya terlanjur mengisi data di situs yang dikirim lewat SMS. Apa yang harus dilakukan?
Segera hubungi bank untuk blokir/ubah kredensial, ganti kata sandi, dan laporkan lewat kanal resmi. Untuk referensi alur pelaporan serupa, FTC menyediakan halaman.
Polkadot 10.77%
BNB 0.3%
Solana 5.32%
Ethereum 1.84%
Cardano 1.53%
Polygon Ecosystem Token 1.94%
Tron 2.39%
Pasar
