Modus Penipuan Baru di Komentar Website dan Cara Mencegahnya

Ok, halo semuanya salam kenal, di artikel gw kali ini mungkin cukup special ya mengingat artikel-artikel sebelumnya ini biasanya di bantu AI hehe. Sebenernya gw kurang pd juga ngetik artikel manual kaya gini, soalnya jarang banget nulis-nulis atau baca-baca buku. Jadi monmaaf bila ntar isinya semrawut hehe.
Oke langsung aja, jadi awal ceritanya gini, beberapa waktu lalu gw lagi semangat semangatnya nyari bahan buat artikel blog, kebetulan juga pengen ngerapiin website ini yg sebenernya udah lumayan lama cuman baru baru ini mulai di urus. hari minggu jam 23.45 WIB tanggal 13/10/2025 gw lagi nulis artikel di blog tiba tiba dapet notifikasi anomali kaya gini :

Kurang lebih isi pesannya kaya gini :

📅⚠️WARNING – You were sent 3.0 BTC! Go to claim >> https://graph.org/RECEIVE-BTC-07-23?hs=83b57c7c25d94a31594d770e19d69287&📅
graph.org/RECEIVE-BTC-07-23
romnik2012@code-gmail.com
109.71.252.97

kalo di translate kurang lebih kaya gini : Perhatian – Kamu dapet 3.0 BTC! cepet ambil sekarang di link berikut : https://graph.org/RECEIVE-BTC-07-23?hs=83b57c7c25d94a31594d770e19d69287 jelas banget kan kalo ini scam ato penipuan. bayangin aja katanya gw dapet 3 BTC sedangkan 1 BTC aja kalo dirupiahin Rp 1.913.527.070 kata website id.beincrypto.com per tanggal 13/10/2025 jam 09.17 WIB. jadi kalo 3.0 BTC = Rp 5.740.581.210 🗿JELAS SANGAT ANOMALI SEKALI. Realistis aja orang gila mana yg mau kirim duit segitu cuma-cuma.

sebenernya tinggal di hapus trus biarin juga gk masalah, cuman karena memang buat bahan konten jadi kita coba analisis aja, analisis versi gw ehe..

Jadi pertama komentar tadi itu adalah penipuan atau scam clasic berbasis soceng ( Social Engineering) yang dimana hipotesis awal tujuanya yaitu :

• Mencuri kredensial dompet crypto
• Menginfeksi perangkat korban dengan malware
• Atau mengerahkan si korban ke situs Phishing untuk perivikasi “Claim BTC”

Domain & URL

Bisa dilihat domain yang tertera yaitu : https://graph.org/RECEIVE-BTC-07-23?hs=83b57c7c25d94a31594d770e19d69287

Domain : graph.org sendiri merupakan platform publik milik Telegram Messenger LLP, digunakan untuk posting konten statis (mirip Medium). Semua orang juga bisa buat konten/halaman/webstatis di halaman graph.org tanpa perlu perifikasi identitas. Path atau halaman seperti RECEIVE-BTC-07-23 bukan bagian dari sistem pembayaran resmi, itu cuma halaman HTML statis biasa. Gk mungkin ngirim atau nerima BTC lewat graph.org, platform ni gk punya integrasi blockchain / gk terintegrasi sama blockchain.

🚩 Red Flag: Penipu menyalahgunakan domain tepercaya (graph.org) buat ngasih kesan legitimasi palsu.

Parameter url : ?hs=83b57c7c25d94a31594d770e19d69287 String hs=... kemungkinan besar adalah tracking ID buat mengidentifikasi korban atau kampanye spam. bisa digunain buat nyari tahu siapa yg meng klik link / menyesuaikan konten phishing berdasarkan sumber trafik.

Alamat Email

Alamat email yang digunakan : romnik2012@code-gmail.com jelas banget kalo code-gmail.com itu bukan email asli/resmi dari domain Google (gmail.com). Itu jelas domain pihak ke 3 yang nyerupain Gmail buat nipu. google gk pernah pake subdo (sub domain) kaya gitu. Karena doaminnya cukup menarik, kita caritahu lebih lanjut tentang domain code-gmail.com. gw coba liat dulu siapa tahu dapet info lain hehe.

Pertama gw cek domainya di sini : whois.com for your info : Whois.com itu situs yang nyediain layanan buat ngecek informasi kepemilikan dan data teknis dari sebuah domain website. karena gw pengen nyaritahu domain code-gmail.com jadi masukin aja domainya di form di website whois.com tadi.

Nah dr gambar diatas kita jadi tahu :
Domain code-gmail.com itu pertama di daftarin 2023-07-14 artinya doamin inituh masih tergolong baru. Lalu masa berlaku domain ini sampai tahun 2026-07-14. Selanjutnya name server : ns1.stackdns.com,
ns2.stackdns.com, ns3.stackdns.com, ns4.stackdns.com ini nunjukin kalo domain itu di-host menggunakan StackDNS sebuah penyedia layanan DNS yang umum dipakai untuk domain publik atau layanan hosting tertentu. Registrar: Tucows Domains Inc. adalah perusahaan registrar domain besar yang berbasis di Kanada. IANA ID: 69 yaitu ID resmi registrar di bawah otoritas ICANN. Lalu selanjutnya ada kontak resmi untuk melaporkan penyalahgunaan domain domainabuse@tucows.com & +1.4165350123. nah selanjutnya ada info registrant (Pemilik domain) State: Bandung dan Country : ID ini nunjukin kalo lokasi pendaftaran domain berasal dari Indonesia, khususnya Bandung. Nah selanjutnya ada info kontak : https://tieredaccess.com/contact/… nah kontak email ini anonim yang disembunyikan oleh sistem privasi Whois, Whois melindungi identitas pemilik dengan mengganti alamat email asli menggunakan TieredAccess. apa itu TieredAccess? (Platform untuk privasi WHOIS yang mematuhi GDPR) jadi daripada nampilin email asli mereka bikin kontak sementara. selanjutnya gw cek lagi di : DNSDumpster.com didapetlah info kalo pelakuni beli shared hosting di TWENTYI (20i)

IP Address 109.71.252.97

Selanjutnya ini gw coba cek ip address di ipinfo.io didapatlah info IP sumber spam: 109.71.252.97 → milik Datalix, Jerman (infrastruktur hosting). Loh Loh Loh, trus katanya tadi di bandung? Jadi ni yg mana yg bener? 🗿

Coba kita urai satu-satu :

1. Hipotesis 1 Lokasi Registrant “Bandung” itu Kemungkinan Spoofed / Fiktif

Jadi waktu si scammer ini daftarin domain, dia bisa aja isi data lokasi apa aja semau dia. Walaupun registrat seperti Tucows nyediain perlindungan WHOIS Privacy (TieredAccess), kadang penipu tetap ngisi data asal-asalan biar keliatan lokal / ngeyakinin target tertentu. Contohnya di sini, mungkin si scammer ini sengaja tulis “Bandung” supaya keliatan seolah dari Inonesia, padahal hosting fisiknya ada di eropa.

Fakta : Informasi WHOIS Registrant State/Country tidak bisa 100% dipercaya karena bisa disamarkan (spoofed) atau dilindungi layanan privasi.

2. Hipotesis 2 IP Address 109.71.252.97 itu Bukan Lokasi Asli Pelaku

Dari pengecekan di ipinfo.io, IP tersebut milik infrastruktur hosting bernama Datalix, yang biasanya dipake buat shared hosting, VPN, ato mungkin bulletproof hosting. Jadi bisa aja si scammer ini cuma sewa hosting murah ato VPS di provider itu buat nyebarin konten phishing.

Fakta : Banyak penipu sengaja sewa server di luar negeri agar sulit dilacak oleh pihak berwenang, terutama kalau negaranya punya hukum cybercrime yang ketat.

3. Hipotesis 4 Pola Serangan Ini Termasuk Phishing Multi-layer

Biasanya skema kek gini gk langsung minta data pribadi. Dia bikin halaman “klaim hadiah” dulu, trus disitu korban disuruh login ke dompet crypto atau download “walet verifier” yg sebernya malware. Bentuknya bisa macem macem, misalnya file .exe atau .apk (buat injeksi keyloger). Atau bisa jadai aa form palsu dengan input “Private key” atau “Seed Phrase”. Atau bisa juga redirect atau ngalihin korban ke halaman situs tiruan kek blockchain.info atau coinbase.app

Fakta : Model social engineering kek gini umum di phishing modern, si scammer ini bikin korban ngerasa aman dulu sebelum dimintain data sensitif.

Nah sejauh ini mungkin udah cukup jelas ya, oh ya gk lupa juga kita coba tehnik yg sangat sangat SANGAT populer di kalangan Hengker indonesia yaitu dorking hehe…

pertama gw pengen nyaritahu dulu udah berapa banyak sih web-web yg kena kasus scam serupa kaya gini. kita coba pake dork simpel aja :

intext:”graph.org/RECEIVE-BTC-07-23″

intext:”WARNING – You were sent 3.0 BTC! Go to claim”

Fyi : intext itu fungsinya ngelacak teks spesifik yang ada di konten halaman, jadi misalnya kita mau cari kata atau kalimat tertentu yang percis / jelas banget bahwa kalimat atau kata itu bener-bener ada di konten halaman website. buat lebih jelasnya bisa kalian praktikan aja ya, atau kalo mau baca-baca artikel / mau belajar tentang itu bisa cek langsung aja di google ya mislanya : idwebhost.com atau cuma butuh cheatsheetnya aja disini.

Balik lagi ke topik tadi, jadi pas gw cek di google ternyata hasilnya BUANYAK banget web-web yang kena. contoh nya ini :

Abistu kana gw penasaran ama bentukan webnya kaya gimana gw coba buka aja itu web, gk lupa gw idupin vpn + burpsuite buat intercept request siapa tau nemu sesuatu. Tapi ternyataaaa booom, 404. halamanya udah gk ada 🫂 Tapi tenang kita masih bisa cari link lain yg masih ada isi kontenya lewat dorking tadi.

hasilnya gw dapet salah satu link ini : https://graph.org/Get-your-BTC-09-04 polanya sama kaya sebelumnya jadi gw yakin kalo link ini itu, yg buatnya orang yang sama. Ok coba kita caritahu.. jadi pas gw akses link nya muncullah halaman kek gini, karena sekali lg kalo graph.org ini cuma bisa bikin konten statis, jai aman aman aja langsung di buka, mungkin hehe. Soalnya setau gw script js g bisa dimasukin ato disisipin di graph.org ini. dan pas gw buka di link ini cuma ada tulisan kaya gini :

Di halaman itu kalo di translate kurang lebih, “Ambil BTC kamu” trus di bawahnya ada tulisan “Binance” dan waktu “September 04, 2025” Tapi Coba kalian perhatiin tulisan >>>GET<<< , perhattin aja tapi jangan di klik hehe. sejauh ini mungkin kalian udah pada paham itu teks kalo di klik bakal di alihkan ke link atau web lain. cuman mungkin yg kalian bingung di arahinya ke mana bang, cara liatnya gampang sih, kalo di browser yg gw pake sekarang ini Chrome, itu kalo kita arahin doang kursor ke teks >>>GET<<< tadi, itu di pojok kiri halaman biasanya suka ada url atau alamat link yg dituju kalo kita klik. kalo gk coba pas buka link tadi ketik short cut CTRL + U / view-source:https://graph.org/Get-your-BTC-09-04 dan disitu bakal keliatan link url tujuan yaitu : https://getpro*********el=70.

Waktu gw cek trus perhatiin request yg di intercept tadi, gk ada yg aneh sih, cuman server masih loading lama, pending terus terusan. gw coba dorking lagi domain ini : www.getprox.cc dapet tu beberapa link yg ke index google, tapi tetep aja gw coba pending semua. 🗿

Nah gw kepikiran 1 hal, gimana kalo scammer nya socengin balik. Kek misal gw kirim dia email yg tentunya bukan email pribadi trus kita bilang ke yg nyebar komentar scam tadi kalo misalkan link buat klaim BTC nya gk bisa dibuka, sebelumnya kita buat tuh halaman di graph.org yg kurang lebih isi halamanya sama atau mirip sama yg dibikin si scammer, tapi yg dirubah ini url atau link tujuanya, nah kita arahin ke hosting atau layanan kita atau kalo gk ada pake yg gratisan bnyk, kek misal github, surge, vercel atau pake tunneling kek ngrok dll, bikin code java script yg dimana isinya kurang lebih ambil IP dari visitor trus fetch/ kirim ke host yg satu lg yg dimana fungsi host ini dia nerima kiriman, walaupun ip yg didapat ini sih gk begitu pengaruh ya. bisa aja dia pake vpn atau tor, jadi cek alamat cuma dari ip visitor gk akurat paling banter negara, trus kota itupun kurang akurat terakhir ISP. Tapi bisa di kembangin misalnya script js buat minta izin lokasi ke si scammer ini, ini biasanya lebih akurat, trus minta izin kamera. ya kalo scammer ini ngizinin mungkin dapet, tapi kemungkinannya kecil. Jadi balik lagi ke cara kita bikin alur yg masuk akal supaya si scammer ini percaya trus gk sengaja kena perangkap.

Tapi ya tentu balik lg, itu butuh effort, blm tentu email kita d liat ama dia apa engga, belum tentu dia kemakan perangkap. Karena berhubung kapasitas informasi otak gw sampe situ doang, jadi daripada pusing mikirin hal-hal kek tadi, kita lakuain aja pa yg bisa kita lakuin.

Langkah-langkah mitigasi ( Pencegahan )

Mungkin buat langkah mitigasi yg bisa gw saranin, pertama, sekiranya kolom komentar public itu gk penting-penting amat ya non aktifin aja. Kalo bener bener butuh coba aktifin moderasi manual supaya setiap orang yg mau komen di artikel kudu minta izin dulu ama admin. Trus yg ke 2, blokir otomatis aja keyword / kata kunci terlarang misalnya : BTC, bitcoin, claim, graph.org, code-gmail.com, romnik2012, free money, wallet, private key. yang ke 3, pakein webnya reCAPTCHA v3 atau perifikasi anti bot. yang ke 4, filter url external / blokir semua link external di komentar. yang ke 5, edukasi pengunjung web di bagian bawah artikel contohnya : ⚠️ Peringatan: Kami tidak pernah mengirim hadiah Bitcoin atau meminta Anda mengklik link klaim. Abaikan komentar mencurigakan. Trus jangan lupa backup harian atau mingguan website, audit juga komentar komentarnya tiap minggu. Dan saran yg terakhir menurut gw. Laporin atau report kalo nemu atau terkena pola scam kaya gini ke pihak yg semestinya. Masalah di tindak lanjuti apa engga, itu balik lagi ke lembaganya hehe…

Bila kalian punya saran, masukan mungkin bisa di taro di kolom komentar ya.