Indonesia

The Rising Tide of Phishing and Scams in Indonesia

admin

A Surge in Numbers

Recent statistics show a dramatic surge in phishing and scam incidents across Indonesia. The Indonesia Anti-Phishing Data Exchange (IDADX) recorded 26,675 phishing reports in Q1 2023, a sharp increase (+20,569 cases) from Q4 2022. Globally, Kaspersky’s security systems blocked 709,590,011 phishing attempts in 2023, up 40% from the previous year. Locally, Indonesia’s national cybersecurity agency (BSSN) reported a 70% year-over-year rise in phishing cases.

Consumer surveys (FICO) indicated that nearly 23% of Indonesians reported financial losses from scams in 2024—up from 19% in the previous year. From November 2024 to February 2025 alone, Indonesia’s Financial Services Authority (OJK) reported that scam victims collectively lost Rp700 billion (USD 44 million). By April 2025, total reported losses surpassed Rp2.1 trillion (USD 135 million).

Unfortunately, victims often find themselves lost in a maze of unclear complaint procedures. A study by the Tech for Good Institute highlighted that reporting channels remain fragmented, law enforcement is under-equipped, and digital literacy among the population is alarmingly low.

Disturbing Real-World Cases

BRI Priority Customer (Malang, May 2023): Silvia YAP (52), a priority customer of Bank BRI, lost Rp1.446 billion (USD 93,000) after clicking a fake wedding invitation sent via WhatsApp. The APK file contained malware that extracted her OTP and banking credentials. Silvia discovered the theft the next day, but the bank’s response was sluggish. Despite reporting to both OJK and LPS (Deposit Insurance Corporation), she received no response months later.

Palembang APK Scam (Oct 2023): Ratna Aprianingsih lost Rp1.4 billion via a similar APK scam sent through WhatsApp. The file triggered malware that hijacked her mobile banking. Authorities arrested a man named Doni Antoni as the main suspect, but others remain at large.

Mega Theft via Facebook APK (Sep 2023): In another Palembang case, a 23-year-old man bought a malicious APK for just Rp500,000 on Facebook and used it to steal Rp2.3 billion from a victim’s bank account.

Fake Call Center (Jakarta, Nov 2024): A high-profile scam involved a woman calling what she thought was an official bank hotline found on Google. It was a fake number. Within minutes, scammers emptied her husband’s account of Rp600 million, leaving just Rp55.

Other Cases: Dozens more have surfaced, including a WhatsApp scam where a man lost Rp261 million to someone impersonating a bank officer.

Common Phishing Methods in Indonesia

Cybercriminals exploit a wide range of social engineering tactics:

  • WhatsApp/SMS Phishing: Victims receive fake messages from “banks” with links or shortcodes asking them to update information or claim rewards. These links redirect to spoofed login portals to harvest credentials.
  • APK Malware: Widely used in Indonesia, this tactic involves sending Android Package files that install spyware. The malicious apps intercept SMS, OTPs, and allow full access to mobile banking.
  • Fake Call Centers: Victims are tricked into calling a “bank hotline” posted online (e.g., on fake Google ads). These are operated by scammers requesting sensitive data.
  • Spoofed Emails/Websites: Classic phishing methods using cloned websites of banks or fintech apps. Victims enter credentials thinking they’re on the real site.
  • QR Code Phishing (Quishing): Newer scams embed phishing URLs into QR codes. Victims scan codes (e.g., for payments or promotions) and are redirected to credential-stealing websites.

While these methods vary, they all exploit human trust, fear, curiosity, or greed—the cornerstone of modern phishing.

The Government’s Weak and Sluggish Response

The Indonesian government’s response remains, frankly, inadequate. Most reactions are reactive rather than preventive. For example, Silvia (the BRI victim) has yet to receive any reply from the government watchdogs OJK or LPS.

The Tech for Good Institute’s report condemns the current system: reporting mechanisms are disjointed, law enforcement is uncoordinated, and consumer protection is toothless. Victims are often bounced between police, banks, and telecom providers, none of which take full responsibility.

Punishments for scammers are usually based on generic articles in the Penal Code or the ITE Law (Electronic Transactions), with weak enforcement. Moreover, banks face no real accountability for lapses in cybersecurity—even when priority customers lose billions of rupiah.

Meanwhile, inter-agency coordination is nonexistent. Agencies like BSSN, Kominfo, OJK, and law enforcement operate in silos. This fragmented defense creates huge delays in blocking malicious domains, arresting suspects, or even acknowledging complaints.

Technical Recommendations for the Indonesian Government

To stop this phishing epidemic, Indonesia needs a technical overhaul, not just public service announcements. The following are things that the government has done or should do:

  • National-Scale DNS Filtering. Deploy Protective DNS Filtering to block access to malicious domains at the network level. This strategy—used effectively by the US CISA and Singapore’s Cyber Agency—prevents browser access to known phishing sites before harm occurs.
  • Mandatory Multi-Factor Authentication (MFA). Require MFA for all online banking and digital financial transactions. Encourage use of app-based OTPs or biometric tokens instead of SMS, which are vulnerable to interception.
  • Massive Public Cybersecurity Education. Launch a nationwide digital literacy campaign, not just passive infographics. Partner with schools, religious institutions, and media outlets to educate citizens on phishing tactics, secure app usage, and how to spot scams.
  • Unified Reporting System (One-Stop Hotline). Establish a centralized national anti-scam hotline that connects OJK, BSSN, banks, and police. Victims should report once and trigger a coordinated multi-agency response including instant bank account freezes and domain takedowns.
  • Telecom–Finance Industry Coordination. Encourage data-sharing between telecoms and banks to monitor fraud signals. For instance, telcos should notify banks of suspicious SIM registrations or unusual device changes tied to mobile banking.
  • Enforce Cybersecurity Standards for Banks. Mandate that all banks adopt up-to-date cybersecurity frameworks and submit to regular audits. OJK should penalize banks that fail to meet minimum standards or delay fraud response.
  • Filter Scam SMS, Emails, and Ads. Work with ISPs and mobile operators to block scam messages and fake search ads. Kominfo should maintain a national blacklist of known fraud phone numbers, email domains, and shortcodes.

Indonesia is at a crossroads: act decisively or let cybercrime spiral out of control. The technical playbook is there. Other nations have shown what works. The question is—will Indonesia follow, or continue to let scammers walk free while citizens foot the bill?

April 2025 Trends Report on Phishing Emails
Terjemahan Bahasa Indonesia dan Referensi

Lonjakan Phishing dan Scam di Indonesia

Statistik terkini memperlihatkan lonjakan dramatis kasus phishing dan penipuan online di Indonesia. Misalnya, laporan IDADX (Indonesia Anti-Phishing Data Exchange) mencatat pada kuartal I 2023 terdapat 26.675 laporan phishing, meningkat tajam (+20.569 kasus) dibanding kuartal IV-2022 (api.idadx.id). Tren serupa terlihat global: sistem keamanan Kaspersky mencegah 709.590.011 upaya akses situs phishing sepanjang 2023, naik 40% dari tahun sebelumnya (indotelko.com). Di dalam negeri, Badan Siber dan Sandi Negara (BSSN) bahkan melaporkan kenaikan kasus phishing 70% tahun-ke-tahun (360info.org). Survei konsumen (FICO) mengungkap hampir 23% masyarakat Indonesia melaporkan kerugian finansial akibat scam pada 2024, naik dari 19% tahun sebelumnya (techforgoodinstitute.org).

Bukan hanya jumlah insiden yang melonjak, kerugian finansialnya pun masif. Otoritas Jasa Keuangan (OJK) mencatat total kerugian korban scam keuangan yang dilaporkan Rp700 miliar hanya dalam periode Nov 2024–Feb 2025 (money.kompas.com), dan hingga April 2025 telah mencapai Rp2,1 triliun (antaranews.com). Banyak laporan korban juga dilaporkan terhambat di berbagai kanal yang terpisah. Sebuah riset Tech for Good Institute menyoroti bahwa “saluran pengaduan masih terfragmentasi, penegakan hukum belum memadai, dan literasi digital masyarakat masih rendah” (techforgoodinstitute.org), sehingga korban kerap kebingungan harus melapor ke mana.

Kasus-Kasus Nyata Meresahkan

Kasus nasabah BRI (Malang, Mei 2023): Nasabah prioritas BRI bernama Silvia YAP (52) kehilangan Rp1,446 miliar usai meng-klik tautan undangan pernikahan palsu yang dikirim via WhatsApp (metrotvnews.commetrotvnews.com). Setelah klik, malware segera mengirim OTP dan login korban ke pelaku. Silvia baru sadar keesokan harinya saat notifikasi transfer masuk. BRI hanya memblokir rekening korban pasca-analisis, yang dinilai korban “sia-sia” (metrotvnews.com). Silvia pun melapor ke polisi (Polda Jatim) dan mengadu ke OJK/LPS — namun sampai kini OJK dan LPS belum memberikan tanggapan apapun atas pengaduannya (metrotvnews.com).

Kasus undangan APK (Palembang, Okt 2023): Seorang warga Sumsel, Ratna Aprianingsih, korban modus serupa. Pelaku mengirimkan file APK lewat WhatsApp (dicamouflasekan sebagai undangan), lalu berhasil mengambil alih mobile banking-nya. Total dana nasabah ini terkuras hingga Rp1,4 miliar sebelum kasus terbongkar (regional.kompas.com). Polisi berhasil menangkap tersangka utama, Doni Antoni, dalam kasus yang turut melibatkan dua pelaku lain (sedang DPO) (regional.kompas.com).

Pembobolan rekening (Palembang, Sep 2023): Kasus lain di Palembang, pelaku berinisial ES (23) menguras saldo korban hingga Rp2,3 miliar hanya dengan satu file APK berharga Rp500.000 yang dibeli melalui Facebook (regional.kompas.com). Korban mengklik APK palsu tersebut, dan pelaku berhasil meretas akun email dan mobile banking-nya sehingga bisa menguras dana (regional.kompas.com).

Panggilan Call Center Palsu (Jakarta, Nov 2024): Seorang nasabah bank merugi Rp600 juta setelah istrinya menghubungi nomor “call center” yang dicari lewat Google. Nomor yang tampak resmi itu ternyata palsu, dan operator telepon meminta data korban. Para penipu akhirnya memindahkan dana korban hingga hanya tersisa Rp55 (ntvnews.idntvnews.id). Kasus ini viral di media sosial, mengungkap celah pengamanan nomor telepon resmi di mesin pencari publik.

Laporan Pengguna Lainnya: Selain itu, banyak kasus lain dipublikasikan: misalnya, tersangka D (30) ditangkap di Jakarta setelah menipu korban Rp261 juta via pesan WhatsApp penyamar bank (kumparan.com). Kasus-kasus ini menunjukkan beragam metode phishing yang marak diterapkan.

Modus Umum Phishing di Indonesia

Penjahat siber menerapkan berbagai taktik manipulasi (social engineering) untuk mengelabui korban:

  • Phishing via WhatsApp/SMS: Pesan singkat atau WhatsApp mengaku dari bank/pengelola akun, berisi link palsu atau shortcode (nomor pendek). Contoh: undangan pernikahan atau update data bank, di mana korban diminta mengisi data pribadi/OTP (regional.kompas.com). Setelah korban memasukkan kredensial, pelaku langsung menguras rekening korban. Kasus Silvia (BRI) dan Doni (Palembang) menggunakan metode ini (metrotvnews.comregional.kompas.com).
  • Undangan APK Palsu: File Android Package (APK) disisipkan dalam pesan (biasanya WhatsApp). Setelah korban mengunduh/aplikasi berjalan, APK itu mengandung malware yang mencuri data login. Contoh kasus Palembang (Ratna dan ES) di atas. Pelaku berperan menyebarkan APK, lalu mengeksekusi peretasan begitu korban meng-klik (regional.kompas.comregional.kompas.com).
  • Call Center/Telepon Palsu: Penipu menelepon korban mengaku dari bank atau institusi resmi. Mereka meminta verifikasi data atau OTP. Sebuah kasus di Jakarta (Nov 2024) memperlihatkan istri korban kontak nomor “call center” melalui Google, padahal nomor tersebut milik penipu – korban kehilangan Rp600 juta (ntvnews.idntvnews.id).
  • Phishing via Email/Website Imitasi: Penipu membuat situs web atau email yang meniru bank/jasa keuangan. Korban diajak login ke situs palsu, sehingga data tersangka masuk. Kasus lain (konfirmasi pinjaman online palsu, hadiah undian palsu, dll) banyak terjadi.
  • QR Code Palsu (Quishing): Modus baru disebut quishing – penipuan lewat kode QR. Pelaku mengirim atau menempelkan QR code palsu yang saat dipindai mengarahkan korban ke situs phising. Ahli keamanan menyebut quishing sebagai “phishing menggunakan QR code sebagai sarana penipuan” (kompas.com). Korban yang memindai QR ini diarahkan ke situs palsu dan diminta masukkan data rahasia. Modus ini sulit dideteksi karena QR tidak terlihat mencurigakan oleh mata manusia (kompas.comkompas.com).

Setiap metode tersebut memanfaatkan kepercayaan atau kelalaian manusia—misalnya korban terpancing rasa takut (transaksi mencurigakan), keserakahan (hadiah besar), atau penasaran (kupon promo). Modus lama seperti fake login page dan SMS phising pun terus dilakukan, meski ada teknologi baru seperti AI yang juga mulai disalahgunakan (indotelko.com360info.org).

Kelemahan Respons dan Regulasi Pemerintah

Penanganan pemerintah atas tsunami phishing ini masih mendapat sorotan tajam. Masyarakat mengkritik bahwa upaya pemblokiran domain atau penegakan hukum berjalan lemot di lapangan. Misalnya, korban Silvia telah melaporkan kasusnya ke OJK dan LPS, tetapi “kedua lembaga tersebut belum memberikan tanggapan hingga saat ini” (metrotvnews.com). Hal ini menunjukkan lemahnya korespondensi antar lembaga perlindungan konsumen.

Studi Tech for Good Institute menegaskan banyak kekurangan: kanal pengaduan yang terfragmentasi, penegakan hukum yang belum memadai, serta literasi digital yang masih rendah di banyak lapisan masyarakat (techforgoodinstitute.org). Misalnya, belum ada satu sistem terpadu nasional untuk menerima laporan scam, sehingga korban bingung melapor ke polisi, bank, atau penyedia layanan telekomunikasi (techforgoodinstitute.org). Regulasi yang ada pun belum cukup memberi efek jera: pelaku sering dijerat pasal umum KUHP atau UU ITE dengan ancaman maksimal 6-10 tahun penjara, tetapi proses penyidikan dan penahanan masih lamban, sehingga penjahat bereplikasi cepat. Sementara itu, bank dan lembaga keuangan dinilai kurang disanksi jika gagal melindungi nasabah – banyak kasus nasabah yang dirugikan justru berujung “saling lempar tanggung jawab” (metrotvnews.comtechforgoodinstitute.org). Secara umum, kritikus menilai bahwa koordinasi antar instansi (BSSN, Kepolisian, OJK, Kominfo, dll.) belum terintegrasi dengan baik dalam penanggulangan cybercrime secara holistik.

Rekomendasi Teknis Berbasis Best Practice

Menanggapi situasi kritis ini, pemerintah harus segera mengadopsi langkah teknis teruji dari praktik terbaik dunia. Yang sudah atau perlu dilakukan Pemerintah Indonesia adalah:

  • DNS Filtering dan Pemblokiran Proaktif: Implementasikan mekanisme DNS filtering berskala nasional untuk memblokir akses ke domain atau IP berbahaya. DNS filter (Protective DNS) akan menolak permintaan terhubung ke situs phishing berdasarkan daftar hitam yang terus diperbarui (vercara.com). Dengan demikian, sebelum browser korban mencapai situs jahat, tautan tersebut sudah terhalang di level jaringan. Langkah ini bersifat cost-effective dan dapat diterapkan pada infrastruktur ISP dan pemerintahan (vercara.com).
  • Meningkatkan Autentikasi Ganda (Multi-Factor Authentication): Tetapkan standar wajib MFA (misalnya OTP lewat aplikasi/token) untuk semua transaksi perbankan dan finansial digital. Implementasi otentikasi biometrik atau token SMS/APP yang lebih aman dapat memperkecil keberhasilan pencurian kredensial. Di beberapa negara, verifikasi dua langkah pada setiap transaksi dinilai sangat menurunkan serangan phishing yang hanya mengandalkan satu kata sandi.
  • EdukasI Nasional Masif: Gelar kampanye literasi digital dan keamanan siber secara besar-besaran. Pemerintah dan BSSN harus bekerja sama dengan sekolah, universitas, dan media massa untuk mengajarkan masyarakat cara mengenali modus phising: misalnya tidak meng-klik tautan sembarangan, memeriksa keaslian URL, dan waspada permintaan data pribadi. Studi menunjukkan rendahnya literasi digital di Indonesia menjadi pintu masuk kejahatan ini (techforgoodinstitute.org). Edukasi juga perlu terintegrasi dengan komunitas lokal (gotong royong), misalnya “siskamling siber” agar penyebaran informasi scam bisa dideteksi dini.
  • Sistem Pelaporan Terpadu (Hotline Nasional): Segera wujudkan hotline nasional atau pusat aduan terpadu untuk penipuan online. Model ini sudah diusulkan oleh berbagai stakeholder (techforgoodinstitute.org). Satu kanal terpadu akan menyalurkan laporan korban ke lembaga terkait (OJK, kepolisian, BSSN, dll) secara cepat dan terkordinasi. Dengan begitu, korban tidak perlu bingung harus melapor ke institusi mana, dan proses tindak lanjut (misalnya pemblokiran rekening) dapat dipercepat secara instan.
  • Koordinasi Lintas Sektor (Telco & Finansial): Dorong kerja sama B2B di industri telekomunikasi dan perbankan. Contohnya, terapkan sistem fraud alert multi-sektor: operator seluler (telco) secara otomatis memberi tahu bank bila terdeteksi aktivitas mencurigakan (mis. registrasi kartu SIM aneh) (techforgoodinstitute.org). Telko juga perlu memblokir nomor-nomor telepon kontributor scam dan memberlakukan screening KYC yang lebih ketat saat aktivasi SIM baru. Kolaborasi ini akan memadukan data real-time untuk pencegahan lebih awal, mirip inisiatif anti-scam center di Singapura (en.antaranews.com).
  • Penguatan Infrastruktur Keamanan Finansial: OJK perlu menuntaskan keikutsertaan semua bank dalam “Anti-Scam Center” yang telah dicanangkan. Kesemua perbankan diwajibkan bergabung agar laporan penipuan bisa langsung ditangani bersamaen.antaranews.com. Selain itu, wajibkan implementasi standar keamanan siber (mis. SEOJK keamanan siber untuk bank) secara ketat, termasuk audit rutin dan ujicoba penangkalan phising (phishing simulation) di lingkungan internal.
  • Filter Konten dan SMS/Email: Terapkan pemfilteran SMS dan email berbahaya. Kominfo dapat bekerja dengan penyedia layanan internet (ISP) dan operator seluler untuk memblokir SMS phishing dan email massal. Misalnya, mendaftarkan daftar hitam (blacklist) pengirim SMS/email penipuan, serta mendorong penggunaan short code resmi untuk pengiriman OTP (menghindari email gateway yang bisa dipalsu).

Indonesia perlu bergerak cepat tanggap teknologi: memperkuat pertahanan digital (filter dan MFA), meningkatkan kapasitas deteksi (big data dan AI pada fraud), serta memberdayakan masyarakat melalui edukasi. Tanpa perbaikan regulasi dan implementasi teknis yang tegas, laju penipuan online di Indonesia hanya akan semakin tak terkendali.

SHARE THIS STORY

WhatsAppX (Twitter)TelegramBlueskyFacebookLinkedInThreadsEmailPrint