Peringatan terbaru dari FBI menyoroti meningkatnya skema penipuan pengambilalihan akun (ATO) yang dilakukan oleh para pelaku kejahatan siber dengan menyamar sebagai lembaga keuangan. Tujuannya jelas: mencuri uang atau informasi sensitif untuk melakukan akses ilegal ke akun korban. Serangan ini menargetkan individu, bisnis, hingga organisasi lintas sektor dan telah menghasilkan lebih dari $262 juta kerugian sejak awal tahun, dengan lebih dari 5.100 laporan masuk ke FBI.
Skema ATO merujuk pada aktivitas yang memungkinkan penyerang mendapatkan akses tidak sah ke akun lembaga keuangan, sistem payroll, atau rekening kesehatan online. Para pelaku biasanya memulai serangan dengan teknik social engineering SMS, panggilan telepon, atau email yang mengandalkan rasa takut korban serta situs web palsu yang dirancang menyerupai layanan resmi. Banyak korban diarahkan untuk memasukkan kredensial mereka pada halaman phishing, bahkan terkadang diminta mengklik tautan untuk melaporkan transaksi penipuan fiktif.
Dalam banyak kasus, pelaku memanipulasi korban untuk menyerahkan kredensial login lengkap, termasuk kode MFA atau OTP dengan menyamar sebagai staf bank, dukungan pelanggan, atau teknisi. Setelah memperoleh data login, pelaku kemudian masuk ke situs resmi lembaga keuangan, melakukan reset kata sandi, dan mengambil alih seluruh kontrol akun.
Modus lain yang semakin sering muncul melibatkan pelaku yang berpura-pura sebagai institusi keuangan yang memberi tahu adanya pembelian mencurigakan termasuk pembelian senjata api—dan meminta korban menyerahkan informasi akun kepada penipu kedua yang menyamar sebagai penegak hukum. FBI juga menyoroti penggunaan SEO poisoning, yaitu manipulasi mesin pencari dengan iklan berbahaya yang mengarahkan pengguna ke situs tiruan yang sangat mirip dengan halaman asli.
Apa pun metode yang digunakan, tujuannya selalu sama: mencuri kontrol akun dan mengirim dana secara cepat ke rekening lain di bawah kendali pelaku, lalu mengganti kata sandi untuk mengunci akses pemilik asli. Rekening tujuan biasanya terhubung dengan dompet kripto untuk mengubah dana menjadi aset digital, sehingga jejak transaksi semakin sulit ditelusuri.
Untuk mengurangi risiko, FBI menyarankan pengguna berhati-hati saat membagikan informasi pribadi di media sosial, rutin memeriksa aktivitas rekening, menggunakan kata sandi yang kuat dan unik, memastikan keaslian URL sebelum login ke layanan perbankan, serta meningkatkan kewaspadaan terhadap panggilan atau pesan yang mencurigakan. Informasi pribadi yang tampak tidak berbahaya—seperti nama hewan peliharaan, sekolah, atau tanggal lahir sering kali cukup untuk membantu penipu menebak kata sandi atau jawaban pertanyaan keamanan.
Menurut Jim Routh, Chief Trust Officer di Saviynt, sebagian besar insiden ATO berakar dari kredensial yang telah disusupi oleh pelaku yang memahami proses internal lembaga keuangan. Ia menekankan bahwa verifikasi manual dan persetujuan via SMS masih menjadi mekanisme paling efektif, meski solusi tanpa kata sandi kini sudah tersedia.
Peringatan FBI muncul di waktu yang sama dengan laporan dari Darktrace, Flashpoint, Forcepoint, Fortinet, dan Zimperium mengenai ancaman besar yang meningkat menjelang musim liburan—mulai dari penipuan Black Friday, serangan QR code, pencurian saldo gift card, hingga kampanye phishing berskala tinggi yang meniru merek besar seperti Amazon dan Temu. Banyak serangan kini memanfaatkan kecerdasan buatan (AI) untuk menciptakan email phishing, situs palsu, dan iklan media sosial yang sangat meyakinkan, sehingga pelaku dengan kemampuan rendah sekalipun bisa melancarkan serangan yang efektif.
Data dari Fortinet FortiGuard Labs menunjukkan bahwa lebih dari 750 domain berbahaya bertema liburan didaftarkan dalam tiga bulan terakhir, banyak di antaranya menggunakan kata kunci populer seperti “Christmas,” “Black Friday,” atau “Flash Sale.” Lebih dari 1,57 juta akun login e-commerce juga ditemukan beredar di pasar gelap selama periode tersebut. Pelaku bahkan mengeksploitasi kerentanan pada berbagai platform e-commerce seperti Adobe/Magento, Oracle E-Business Suite, WooCommerce, dan Bagisto, termasuk CVE-2025-54236, CVE-2025-61882, dan CVE-2025-47569.
Zimperium zLabs mencatat peningkatan empat kali lipat pada situs mobile phishing (mishing) yang memanfaatkan nama merek tepercaya untuk mendorong korban mengklik atau mengunduh pembaruan palsu. Sementara itu, Recorded Future memperingatkan tren baru berupa purchase scam, di mana pelaku membuat toko online palsu untuk mencuri data korban dan memproses pembayaran untuk produk fiktif. Teknik ini bekerja melalui serangkaian tahapan yang memanfaatkan sistem distribusi lalu lintas (TDS) guna menyaring target ideal sebelum mengarahkan mereka ke halaman transaksi terakhir.
Keunggulan utama purchase scam adalah pembayaran dilakukan langsung oleh korban, sehingga pelaku menerima keuntungan segera tanpa proses panjang seperti mencairkan data curian. Beberapa operasi bahkan menggunakan layanan “transaction recovery” untuk mencoba dua transaksi berurutan dan menggandakan nilai monetisasi. Ekosistem gelap yang berkembang pesat memungkinkan pelaku mendirikan infrastruktur purchase scam baru dengan cepat, lengkap dengan promosi ala pemasaran tradisional, termasuk penjualan data kartu curian di forum bawah tanah seperti PP24.
Pada akhirnya, penipu mendanai kampanye iklan menggunakan kartu pembayaran curian, menyebarkan purchase scam lebih luas, dan mencuri lebih banyak data, menciptakan siklus penipuan yang terus berputar. Ancaman ini menegaskan bahwa pengambilalihan akun, phishing modern, dan skema penipuan yang didukung AI kini berkembang lebih cepat daripada sebelumnya.
