88,5 Persen Serangan Phishing Bidik Kredensial Akun, Data Dijual Murah di Dark Web

JawaPos.com - Kaspersky mengkaji berbagai kampanye phishing dan penipuan yang terdeteksi sepanjang Januari hingga September 2025. Hasil analisis menunjukkan bahwa mayoritas serangan dengan sekitar 88,5 persen difokuskan untuk mencuri kredensial akun online.

Sementara itu, 9,5 persen serangan menyasar data pribadi seperti nama lengkap, alamat, dan tanggal lahir, dan sisanya sebesar 2 persen diarahkan pada pengambilan informasi kartu perbankan.

Berdasarkan temuan Kaspersky, sebagian besar situs phishing menyalurkan data hasil curian melalui berbagai jalur, mulai dari email, bot Telegram, hingga panel khusus yang dikelola oleh pelaku kejahatan siber, sebelum akhirnya diperdagangkan kembali secara ilegal.

Olga Altukhova, analis konten web senior di Kaspersky, mengatakan, sebagian besar kampanye phishing saat ini dibangun di sekitar pencurian kredensial karena akses, bukan satu titik data, sekaligus menciptakan nilai jangka panjang bagi penyerang.

“Analisis kami menunjukkan bahwa kredensial mencakup hampir 90 persen dari upaya phishing. Setelah dikumpulkan, login, kata sandi, nomor telepon, dan detail pribadi dikumpulkan, diperiksa, dan dijual kembali, terkadang berlangsung selama bertahun-tahun setelah pencurian awal. Dikombinasikan dengan informasi baru, bahkan kredensial lama pun dapat memungkinkan pengambilalihan akun dan serangan tertarget terhadap individu dan organisasi,” kata Olga dalam keterangannya.

Data yang diperoleh dari aksi phishing umumnya tidak dimanfaatkan hanya sekali. Kredensial dari berbagai kampanye dikumpulkan ke dalam basis data besar dan diperjualbelikan di pasar gelap daring, bahkan dengan harga yang sangat rendah, dalam beberapa kasus hanya sekitar USD 50.

Para pembeli kemudian melakukan proses penyortiran dan verifikasi untuk memastikan akun masih aktif dan dapat digunakan kembali di beragam layanan digital.

Menurut Kaspersky Digital Footprint Intelligence, pada 2025 harga rata-rata data curian bervariasi, mulai dari USD 0,90 untuk akun portal internet global, sekitar USD 105 untuk platform kripto, hingga USD 350 untuk akses perbankan online.

Dokumen identitas pribadi seperti paspor atau kartu identitas dijual dengan harga rata-rata sekitar USD 15, bergantung pada usia akun, saldo yang tersedia, metode pembayaran yang terhubung, serta konfigurasi keamanannya.

Ketika kumpulan data ini terus diperkaya dan digabungkan, pelaku dapat menyusun profil digital yang sangat rinci. Profil tersebut kemudian digunakan sebagai dasar untuk melancarkan serangan yang lebih terarah, menargetkan eksekutif perusahaan, staf keuangan, administrator TI, maupun individu yang memiliki aset bernilai tinggi atau dokumen sensitif. (*)