Internet Indonesia lagi sibuk ngomongin “ekonomi digital”, “AI bikin hidup produktif”, dan “transformasi inklusif”. Di sisi lain, ada angka yang jauh lebih sunyi tapi jauh lebih brutal. Laporan Global Anti-Scam Alliance mencatat kerugian dunia akibat scam tembus lebih dari 1 triliun dolar AS hanya dalam 12 bulan terakhir, dengan hampir separuh korban mengaku proses penipuannya selesai dalam waktu kurang dari satu hari, dari chat pertama sampai uang berpindah tangan. Di Asia Tenggara, Indonesia jadi salah satu “bintang” baru, sayangnya bukan di kategori inovasi, tetapi di kategori laporan penipuan online. Sekitar 66 persen warga Indonesia mengaku pernah jadi target scam dalam setahun terakhir, sementara OJK mencatat kerugian masyarakat akibat penipuan digital mencapai sekitar Rp 6,1 triliun hanya dalam periode November 2024 sampai September 2025, dan sudah menembus Rp 7,3 triliun sejak Satgas anti-scam dibentuk. Itu artinya, setiap hari ada ratusan sampai ribuan orang lokal yang “dipetik” tabungannya, dari pensiunan sampai pekerja migran, bukan cuma “orang yang kurang melek digital” seperti stereotip lama.
Di saat yang sama, Google dan Global Anti-Scam Alliance merilis State of Scams 2025 dan menyimpulkan bahwa lebih dari separuh orang dewasa di dunia pernah kena upaya penipuan dalam setahun terakhir, dan sekitar 23 persen benar-benar kehilangan uang. Para pelaku tidak lagi mengandalkan SMS abal-abal dan bahasa kacau, mereka memakai AI untuk menulis lowongan kerja yang bahasanya halus, bikin situs karier dengan layout mirip perusahaan sungguhan, bahkan meluncurkan aplikasi VPN dan “AI super canggih” yang ternyata cuma pintu belakang malware. Di ujung rantai, korban yang merasa “sudah hati-hati” pun bisa kejebak, karena batas antara antarmuka resmi dan antarmuka palsu makin tipis, seperti bedain kopi susu literan promo dan kopi susu hasil eksperimen kos-kosan. Yang membedakan cuma satu, yang satu bikin melek, yang satu bikin rekening sekarat.
#Indonesia di Peta Scam Global, Dari Angka Triliunan ke Wajah-Wajah yang Hilang Tabungan
Kalau melihat data global, kerugian lebih dari 1 triliun dolar AS akibat scam dalam setahun terdengar seperti angka di laporan ekonomi makro, jauh, abstrak, dan tidak punya wajah. Namun ketika kita zoom in ke Indonesia, angka itu mendadak berubah jadi cerita sehari-hari: OJK mencatat Indonesia sebagai negara dengan jumlah laporan penipuan online tertinggi dibanding beberapa negara lain yang ekonominya jauh lebih besar, dengan sekitar 274 ribu lebih laporan sejak akhir 2024 dan kerugian Rp 6,1 triliun dalam periode kurang dari satu tahun. Laporan terbaru bahkan menyebut total kerugian yang terdata sejak Satgas Pemberantasan Aktivitas Keuangan Ilegal berdiri sudah mencapai sekitar Rp 7,3 triliun, dengan korban yang didominasi pensiunan, pekerja migran, ibu rumah tangga, pelajar, sampai guru. Ini bukan lagi cerita “orang yang terlalu serakah masuk investasi bodong”, tetapi cerminan ekosistem digital yang membuka banyak celah, sementara literasi dan perlindungan jalannya tidak secepat kreativitas penipu.
Di level modus, laporan-laporan lokal memperlihatkan pola yang konsisten dengan tren global. Ada penipuan belanja online berkedok toko dadakan dengan rekening pribadi, pinjaman online ilegal yang memeras data dan kontak, hingga social engineering yang mengaku sebagai kerabat butuh uang, ditambah love scam yang memanfaatkan kesepian di media sosial. Di sisi lain, lembaga seperti Indonesia Anti-Scam Center dan kolaborasi OJK dengan perbankan dan marketplace sudah berhasil memblokir sebagian dana penipuan, namun persentasenya masih kecil dibanding total kerugian yang sudah terlanjur hilang. Dari kacamata korban, ini terasa seperti main bola di lapangan becek melawan tim profesional: wasitnya sedikit, garis lapangannya kabur, sementara lawannya pakai sepatu baru dan punya pelatih taktik sendiri. Jika tidak ada pembenahan struktur, edukasi, dan penegakan, cerita ini akan berulang di headline yang sama tiap tahun, hanya angka kerugian dan jenis aplikasinya yang berubah.
#Lowongan Kerja Palsu, Ketika Proses Rekrutmen Jadi Jalur Masuk Malware dan Perdagangan Manusia Digital
Tren yang paling gampang menggoda dan paling sering disebut di laporan Google serta GASA adalah penipuan lowongan kerja online. Di permukaan, formatnya rapi: ada logo perusahaan besar, deskripsi pekerjaan yang terdengar profesional, dan janji gaji cukup tinggi untuk posisi yang pekerjaannya generik, misalnya “admin chat dari rumah, fleksibel, tanpa target berat”. Pelaku meminjam bahasa HR sungguhan, lengkap dengan istilah onboarding, training, dan remote work, lalu menyebarkan iklan via platform lowongan, grup WA, hingga DM di media sosial. Di balik itu, skripnya hampir selalu sama, yaitu mengarahkan calon korban ke situs karier palsu, formulir pendaftaran, atau aplikasi “interview online” yang justru berisi Remote Access Trojan, pencuri password, atau modul yang bertugas mengintip aktivitas finansial di perangkat.
Dalam banyak kasus, permintaan data awal terdengar wajar, misalnya KTP, nomor rekening, atau NPWP dengan alasan untuk payroll dan administrasi HR. Setelah rasa percaya terbentuk, korban diminta menebus “biaya administrasi”, “deposit seragam”, atau “biaya training”, dan sebagian lainnya didorong untuk memasang aplikasi di luar Play Store dengan dalih “tools internal perusahaan”. Ada pula dimensi yang lebih gelap, ketika lowongan palsu ini menjadi gerbang perekrutan paksa ke pusat-pusat scam lintas negara, dimana korban yang tadinya mencari pekerjaan layak justru dijadikan operator scam yang tugasnya menipu orang lain. Globalisasi ala penipu di sini cukup sederhana, mereka tidak bicara supply chain industri 4.0, yang mereka butuhkan hanya aliran CV yang masuk dan calon korban yang rela mengisi data pada malam-malam ketika tagihan bulanan sedang menekan.
Bagi generasi muda yang terbiasa melihat lowongan di Instagram Story atau channel Telegram, bedain mana HRD sungguhan dan HRD palsu itu mirip membedakan mana kopi literan yang benar-benar pakai biji bagus dan mana yang cuma gula plus essence. Bedanya, kalau kopi abal-abal paling banter bikin begadang dan naik asam lambung, sedangkan lowongan abal-abal bisa menguras tabungan, mencuri identitas, bahkan memaksa orang terlibat dalam lingkaran kejahatan yang jauh lebih besar dari yang mereka bayangkan ketika menekan tombol “Apply”.
#Penipuan Berbaju AI, Dari Aplikasi Gadungan sampai Deepfake yang Minta Transfer “Sekarang Juga”
Begitu AI jadi kata kunci favorit perusahaan teknologi, penipu tidak mau ketinggalan ikut menempelkan label yang sama. Google dan sejumlah lembaga keamanan mencatat naiknya aplikasi dan situs yang meniru layanan AI populer, mulai dari chatbot, generator gambar, sampai tools produktivitas “super pintar”, namun sebenarnya tidak punya kemampuan berarti selain mencuri data dan mendorong korban ke langganan mahal. Lembaga seperti GASA mencatat sekitar sepertiga korban merasa AI digunakan dalam penipuan yang menimpa mereka, entah untuk menulis pesan yang lebih meyakinkan, membuat situs yang tampak profesional, atau memproduksi suara dan video palsu. Dari sisi visual, antarmuka aplikasi gadungan ini sering kali rapi, modern, dan meyakinkan, lengkap dengan klaim keamanan berlapis, padahal di belakang layar mereka mengumpulkan kredensial email, akun keuangan, atau akses ke berkas-berkas penting di perangkat.
Level yang lebih menakutkan datang ketika AI dipakai untuk manipulasi emosi secara langsung. Kasus-kasus deepfake suara dan video yang meniru anggota keluarga atau atasan, kemudian meminta transfer dana mendesak, memang lebih banyak terdokumentasi di luar negeri, tetapi fondasi logisnya sangat relevan di Indonesia yang budaya komunikasinya masih kuat mengandalkan kepercayaan personal. Kombinasi nama panggilan yang tepat, nada suara yang menyerupai, dan konteks cerita yang masuk akal, misalnya “butuh biaya rumah sakit” atau “butuh dana talangan proyek”, membuat banyak orang tidak sempat berpikir panjang untuk memastikan sumber panggilan sebelum menekan tombol kirim. Di sini, AI bukan sekadar template teknologi, melainkan mesin amplifikasi, membuat trik lama menjadi jauh lebih halus dan jauh lebih sulit dibantah oleh korban.
Di tengah gempuran ini, platform besar tentu berusaha menambah lapisan proteksi, tapi kenyataannya ada batas seberapa jauh filter otomatis bisa bekerja. Aplikasi AI palsu bisa lolos sebentar sebelum ditendang keluar, ekstensi browser berbahaya bisa sempat diunduh sebelum ditandai, dan kampanye iklan yang mengarahkan ke situs scam bisa punya umur beberapa hari sebelum dihapus. Dalam rentang waktu singkat itu, sudah cukup banyak korban yang iseng coba, lupa membaca syarat, dan mengizinkan akses yang mestinya tidak pernah disetujui. Pada akhirnya, narasi “AI akan memudahkan hidup” punya versi bayangan yang jarang muncul di panggung konferensi, yaitu AI yang memudahkan hidup para penipu.
#VPN Palsu dan Aplikasi Keamanan Gadungan, Ketika Label “Privasi” Jadi Kedok Merampok
Jika AI adalah kata sakti di satu sisi, maka “VPN” adalah kata sakti di sisi lain, terutama bagi pengguna yang khawatir soal privasi dan blokir konten. Peringatan keamanan Google terbaru menunjukkan bahwa aplikasi VPN (Virtual Private Network) palsu sudah menjangkau miliaran perangkat Android, sebagian besar diinstal oleh pengguna yang percaya mereka sedang mengamankan koneksi, padahal justru memasang saluran khusus bagi malware masuk ke perangkat. Beberapa di antaranya bahkan diterbitkan oleh entitas yang mengaku firma keamanan, lengkap dengan branding profesional dan ulasan yang tampak positif di toko aplikasi, sebelum identitas aslinya terbongkar sebagai bagian dari operasi penipuan.
Setelah terinstal, VPN palsu ini tidak berhenti pada fungsi “mengalihkan IP” seperti yang dijanjikan. Ia mulai mengirimkan muatan berbahaya, dari pencuri informasi, trojan akses jarak jauh, sampai trojan perbankan yang memantau histori penelusuran, pesan pribadi, kredensial finansial, dan dompet kripto. Data itu bisa dipakai langsung oleh operator penipuan, dijual ke jaringan kriminal lain, atau menjadi bahan untuk serangan lanjutan yang lebih spesifik. Yang menarik, banyak korban menginstal aplikasi ini bukan karena mereka bodoh, tetapi karena mereka terlalu percaya pada narasi “VPN = aman” tanpa menyadari bahwa di pasar yang penuh iklan agresif, label “aman” bisa dibeli dan dipasang di kemasan apa pun, termasuk produk yang sebetulnya memposisikan diri sebagai pencuri di saku belakang.
Bagi pengguna Indonesia yang sering berhadapan dengan koneksi tidak stabil, pembatasan akses, dan promo kuota yang membingungkan, frasa seperti “VPN gratis dan cepat” terdengar sangat menggoda. Ditambah iklan yang memanfaatkan isu geopolitik atau clickbait seksual, aplikasi-aplikasi ini menyasar mereka yang sedang mencari solusi instan, bukan mereka yang hobi membaca kebijakan privasi panjang. Dalam situasi ini, saran klasik untuk “hanya unduh dari sumber resmi” memang membantu, tetapi tidak cukup, karena beberapa aplikasi berbahaya sempat mampir ke toko resmi sebelum dihapus. Lagi-lagi, faktor penentu akhirnya kembali ke kebiasaan kita membedakan mana proteksi sungguhan dan mana yang cuma stiker keamanan ditempel di pintu yang tidak punya gembok.
#Lighthouse dan Ekonomi “Phishing-as-a-Service”, Ketika Scam Jadi Layanan Berlangganan
Di balik semua SMS paket tertahan dan link akun bank diblokir, ada infrastruktur yang jauh lebih rapi dari sekadar “komplotan kecil di ruko pinggiran kota”. Gugatan terbaru Google di pengadilan Amerika Serikat membuka tirai ke sebuah platform bernama Lighthouse, yang digambarkan sebagai jaringan phishing-as-a-service yang menyediakan paket lengkap bagi penipu lain di seluruh dunia. Dalam dokumen perkara dan laporan media, Lighthouse disebut menawarkan ratusan template situs palsu yang meniru lembaga resmi, bank, layanan pos, hingga raksasa teknologi, menyediakan sistem pengiriman pesan massal via SMS, iMessage, dan RCS, serta panel admin untuk memantau data yang dicuri. Skalanya tidak main-main, dalam rentang sekitar 20 hari saja platform ini diperkirakan memfasilitasi pembuatan hingga 200 ribu situs phishing, menarget lebih dari satu juta calon korban di sedikitnya 120 negara, dengan nilai pencurian yang diperkirakan bisa mencapai sekitar 1 miliar dolar AS.
Konsep phishing-as-a-service ini berarti penipu pemula tidak perlu lagi mahir coding, membuat infrastruktur, atau merancang trik dari nol. Mereka cukup membayar langganan, memilih template lembaga yang ingin mereka tiru, memasukkan teks pesan sesuai selera, lalu memanfaatkan jaringan bot dan kanal distribusi yang sudah disediakan. Dengan model seperti ini, kejahatan digital bergerak ke arah yang sama dengan banyak industri legal, yaitu spesialisasi dan outsourcing. Satu pihak mengurus teknologi, satu pihak lagi mengurus distribusi, dan pengguna akhir tinggal fokus menghaluskan pendekatan ke korban. Kalau dunia startup punya istilah “growth as a service”, ekosistem ini bisa dengan sinis disebut sebagai “fraud as a service”, lengkap dengan fitur-fitur yang didesain supaya pelanggannya, alias para penipu, bisa “scale up” lebih cepat.
Sekilas, kasus Lighthouse ini tampak jauh dari Indonesia karena menyasar sistem tol dan lembaga di Amerika Serikat, tetapi pola yang sama sudah lama terasa gaungnya di sini, lewat SMS tagihan tol palsu, link paket ekspedisi fiktif, dan berbagai pesan massal lain yang memakai nama brand besar. Ketika sebuah platform bisa memproduksi ratusan ribu situs sejenis dalam hitungan hari, tidak butuh waktu lama sampai sebagian dari situs itu ikut mendarat di layar ponsel pengguna di Jakarta, Makassar, atau Surabaya. Di titik ini, batas antara “scam luar negeri” dan “scam lokal” menjadi kabur, yang tersisa hanyalah rantai global dimana data, uang, dan rasa percaya mengalir ke arah yang sama, yaitu menuju kantong operator yang jarang tersentuh aparat.
#Musim Diskon, Paket Tertahan, dan Scam Recovery, Putaran Kedua dari Penipuan yang Sama
Setiap kali kalender masuk musim diskon, laporan penipuan ikut naik grafiknya. Google dalam advisory keamanannya menyebut meningkatnya kampanye penipuan yang memanfaatkan Black Friday, Cyber Monday, dan momen belanja musiman lain dengan situs toko palsu, iklan barang super murah, dan pesan paket tertahan yang meminta biaya administrasi. Di Indonesia, pola ini menyatu dengan budaya belanja online dan FOMO promo, sehingga banyak korban yang awalnya hanya ingin memanfaatkan “gratis ongkir terakhir” berakhir mengklik link pembayaran yang membawa mereka ke halaman pembayaran yang tidak pernah terhubung ke marketplace mana pun. Cerita-cerita tentang paket yang tidak pernah tiba sering berakhir bukan di meja kurir, tetapi di forum pengaduan dan grup keluarga yang penuh kalimat “kok bisa sih sampai kirim OTP”.
WhatsApp Channel · TitikTerang
Dapatkan kilasan berita, analisis pedas, dan cerita ekologis ala TitikTerang langsung di WhatsApp-mu. TitikTerang hadir di WhatsApp
Yang menarik, di atas semua kerusakan ini, muncul satu jenis penipuan baru yang menyasar korban untuk kedua kalinya, dikenal sebagai scam recovery. Google menandai tren dimana orang-orang yang sudah kehilangan uang kemudian dihubungi pihak yang mengaku sebagai “tim pemulihan dana”, “konsultan legal”, atau “agen investigasi” yang menawarkan jasa membantu menarik kembali uang yang hilang, tentu dengan biaya tertentu yang harus dibayar di depan. Bagi korban yang sudah putus asa dan merasa malu melapor ke institusi resmi, tawaran ini terdengar seperti pelampung di tengah laut, padahal pada praktiknya uang yang tersisa justru hanyut lagi. Pola ini memperlihatkan satu hal, yaitu penipu tidak cuma menghitung kelemahan teknis, tetapi juga menghitung kelelahan emosional dari orang yang sudah jatuh.
Fenomena ini menantang cara kita memandang narasi “korban harus lebih hati-hati”. Di satu sisi, edukasi penting supaya orang tidak mudah tergiur iming-iming. Di sisi lain, sistem yang tidak ramah korban, proses pengaduan yang sering lambat dan rumit, serta rasa malu sosial ketika mengakui pernah tertipu, membuat banyak orang lebih memilih jalan pintas yang justru mengantarkan mereka ke scammers generasi berikutnya. Di sini, lubang sistemis tidak hanya ada di infrastruktur digital, tetapi juga di tata cara menangani manusia yang sudah kehilangan rasa percaya.
#Regulasi, Platform, dan Kita, Siapa yang Sebenarnya Pegang Rem?
Melihat angka kerugian triliunan rupiah dan jutaan korban global, pertanyaan yang wajar muncul adalah “siapa yang sebenarnya bertanggung jawab memegang rem”. Di level global, organisasi seperti GASA mendorong kerangka kerja yang menyatukan pemerintah, bank, dan platform digital dalam satu front anti-scam yang lebih terkoordinasi, sementara di Indonesia, OJK bersama Anti-Scam Center mencoba memotong aliran dana penipu dengan memblokir rekening mencurigakan, bekerja sama dengan perbankan dan marketplace. Di saat yang sama, Kementerian dan lembaga lain bicara tentang perlindungan data, keamanan sistem, dan edukasi warga, meski sering kali narasinya tidak selaju inovasi yang memanjakan industri.
Di sisi platform teknologi, Google, operator seluler, dan penyedia layanan lain punya peran ganda yang agak ironis. Mereka adalah pintu gerbang tempat banyak scam masuk, tetapi juga benteng pertahanan utama yang berusaha mendeteksi dan memblokir apa yang tidak semestinya lolos. Google misalnya mengklaim memperkuat AI keamanan di Search, Gmail, Android, dan Maps, menindak malvertising, menandai situs berbahaya, sampai menambah fitur pelaporan pemerasan ulasan negatif untuk pelaku usaha. Namun, proteksi ini juga punya batas, baik karena skala serangan yang masif maupun karena pelaku selalu mengadaptasi trik mereka begitu celah lama tertutup. Tidak realistis berharap satu perusahaan bisa merapikan seluruh hutan rimba internet yang penuh jebakan di berbagai sudut.
Lalu bagaimana dengan pengguna, yang sering dijadikan ujung tombak terakhir dengan kalimat “jangan mudah tertipu”. Di satu level, pengguna memang perlu mengubah kebiasaan, mulai dari tidak sembarangan instal aplikasi sampai disiplin memakai autentikasi dua langkah dan membaca alamat situs sebelum mengetikkan password. Di level lain, beban jangan dibiarkan sepenuhnya jatuh ke mereka, terutama ke kelompok rentan yang tidak punya banyak waktu, kapasitas teknis, atau akses edukasi digital. Kalau kita terus-terusan menyalahkan korban tanpa memperbaiki desain sistem, regulasi, dan mekanisme pertanggungjawaban, kita hanya mengganti nama-nama korban di berita, bukan mengurangi jumlah baris di kolom kerugian.
Checklist Bertahan Hidup di Era Scam Berbasis AI
Sedikit daftar praktis, supaya punya pegangan jelas setelah membaca semua gambaran suram di atas:
-
Selalu cek ulang lowongan kerja yang menawarkan gaji di atas wajar untuk pekerjaan generik, pastikan domain, alamat email, dan proses rekrutmennya sesuai standar perusahaan resmi, bukan hanya numpang nama di flyer digital.
-
Hindari menginstal aplikasi dari link di chat, DM, atau website acak, terutama jika aplikasi itu mengaku VPN, AI canggih, atau tool investasi super mudah, dan cek izin apa saja yang mereka minta sebelum menekan “setuju”.
-
Jangan pernah memberikan OTP, PIN, atau password lewat chat, telepon, atau form apa pun yang tidak jelas sumber resminya, meskipun pengirim mengaku dari bank, marketplace, atau lembaga pemerintah.
-
Gunakan autentikasi dua langkah di akun penting seperti email, perbankan, dan media sosial, dan pertimbangkan untuk memakai password manager agar tidak mengulang password yang sama di banyak layanan.
-
Kalau uang sudah terlanjur hilang, prioritas pertama adalah mengamankan akun dan melapor ke bank serta lembaga resmi, bukan mencari “jasa pemulihan dana” di internet yang tidak bisa diverifikasi.
-
Biasakan memberi jeda beberapa menit sebelum menekan link atau tombol transfer, terutama jika pesan yang masuk bernada mendesak dan bermain di rasa takut, apakah itu ancaman rekening diblokir ataupun tawaran diskon kelewat besar.
#Di Tengah 1 Triliun Dolar yang Hilang, Waras Jadi Barang Mewah
Kalau ditarik lagi ke cerita awal, kita hidup di internet yang setiap hari menjual mimpi produktivitas baru, AI yang bisa menghemat waktu, aplikasi yang menjanjikan privasi total, dan promo yang seolah dirancang khusus untuk dompet gajian tengah bulan. Di lorong yang sama, ada barisan pintu yang mengarah ke kebocoran data, rekening kosong, dan rasa malu mengakui bahwa kita pernah salah klik. Data global dan nasional sudah cukup jelas memperlihatkan bahwa ini bukan masalah segelintir orang “kurang cerdas”, tetapi masalah sistem yang membuka ruang sangat besar bagi penipu untuk beroperasi dengan sedikit risiko dan banyak sekali insentif.
Teknologi akan terus berkembang, AI keamanan akan terus dilatih, daftar hitam akan terus diperbarui, dan kasus seperti Lighthouse akan terus dikejar di pengadilan, namun tidak ada skema yang bisa sepenuhnya menggantikan satu kebiasaan sederhana: berhenti sebentar, membaca ulang, dan bertanya apakah sesuatu yang muncul di layar masuk akal atau hanya terlihat masuk akal karena kita sedang lelah dan ingin percaya. Di era ketika AI bisa menulis, berbicara, dan bahkan meniru wajah, mungkin kemampuan paling penting bukan soal hafal semua jenis malware, melainkan kemampuan mengatakan “tunggu dulu” di detik ketika jari sudah ada di atas tombol konfirmasi.
Karena pada akhirnya, di tengah triliunan uang yang hilang dan jutaan korban yang bertambah, keputusan terkecil untuk menunda satu klik bisa jadi garis tipis yang memisahkan kita dari sekadar jadi pengguna internet biasa atau nama baru di statistik kerugian berikutnya.
