Akankah penguncian akun X membendung phishing kripto dengan secara otomatis menangguhkan postingan pertama?

Langkah pengamanan baru di X bertujuan untuk membendung penipuan bertema kripto saat platform meluncurkan penguncian akun x untuk membatasi penyerang yang mengeksploitasi profil tepercaya demi skema phishing.

X memperkenalkan penangguhan otomatis untuk posting kripto pertama kali

Platform media sosial X, milik Elon Musk, sedang menerapkan sistem keamanan baru yang akan secara otomatis menangguhkan akun saat pertama kali mereka memposting tentang mata uang kripto. Namun, pengguna yang terdampak akan dapat memulihkan hak untuk memposting setelah menyelesaikan proses verifikasi tambahan yang dirancang untuk memastikan kendali yang sah atas profil.

Nikita Bier, Direktur Produk platform tersebut, mengumumkan inisiatif ini langsung di X. Ia menjelaskan bahwa langkah ini terutama menargetkan phishing kripto dan skema pengambilalihan akun, di mana profil yang dibajak digunakan untuk mempromosikan promosi token palsu dan penipuan lain kepada pengikut yang tidak menyangka.

Bier berpendapat bahwa model ini merusak kelayakan bisnis para penyerang. Selain itu, ia mengklaim sistem baru tersebut “harus mematikan 99% insentif” bagi para kriminal yang mengandalkan akun sosial yang dikompromikan untuk menjalankan kampanye penipuan.

Bagaimana penyerang mengeksploitasi akun pengguna

Pengumuman itu menyusul adanya akun yang banyak dibagikan dari seorang pengguna yang mengatakan mereka terkunci setelah menanggapi peringatan pelanggaran hak cipta yang tampaknya resmi. Namun, email yang ditautkan mengarah ke halaman login palsu yang dirancang untuk mengumpulkan nama pengguna, kata sandi, dan detail autentikasi dua faktor.

Setelah penyerang menangkap kredensial dan kode autentikasinya, mereka menghalangi pemilik asli untuk mengakses profil. Lalu, mereka menggunakan akun yang dikompromikan itu untuk mendorong skema penipuan mata uang kripto kepada audiensnya, memanfaatkan kepercayaan dan jangkauan akun yang sudah mapan.

Insiden pengambilalihan akun yang dikompromikan ini cenderung mengikuti pola permainan yang serupa. Seorang penyusup merebut kendali atas profil yang asli, lalu mempromosikan memecoin palsu, airdrop fiktif, atau penawaran penggandaan mata uang kripto yang disebut-sebut. Namun, legitimasi yang ditandai oleh riwayat dan pengikut dari orang nyata secara signifikan meningkatkan peluang agar para korban terlibat.

Karena transfer mata uang kripto biasanya tidak dapat dibatalkan secara desain, dana yang dikirim ke alamat penipuan tidak dapat dipulihkan begitu transaksi dikonfirmasi. Selain itu, ketidakdapatbalikan ini membuat taktik social engineering menjadi semakin menggiurkan bagi para kriminal.

Preseden historis: peretasan kripto Twitter tahun 2020

Salah satu contoh paling terkenal dari pola serangan ini muncul pada tahun 2020, ketika kriminal siber membobol sistem administratif Twitter. Mereka memperoleh akses ke beberapa akun terverifikasi berprofil tinggi, termasuk Apple, Barack Obama, dan Elon Musk.

Profil yang dikompromikan mempromosikan hadiah Bitcoin palsu yang menjanjikan untuk menggandakan mata uang kripto apa pun yang dikirim ke alamat tertentu. Skema ini mengumpulkan lebih dari $100,000 dalam Bitcoin sebelum dihentikan. Pada akhirnya, pelaku dijatuhi hukuman penjara lima tahun, yang menegaskan risiko hukum yang terkait dengan operasi-operasi tersebut.

Namun, skala kerusakan akibat insiden seperti ini terus mendorong platform seperti X untuk menyempurnakan perlindungan mereka. Strategi penangguhan otomatis yang baru mencerminkan pelajaran yang dipetik dari kejadian ini dan serangan-serangan serupa, terutama terkait seberapa cepat para penipu dapat mengeksploitasi akun tepercaya.

Dorongan keamanan lintas platform dan strategi auto-suspension

X telah melakukan kampanye yang lebih luas untuk membatasi aktivitas penipuan di jaringan mereka. Langkah-langkah sebelumnya telah mencakup penghapusan bot otomatis, pembatasan API yang lebih ketat, serta sistem pengenalan pola yang ditingkatkan untuk menandai perilaku mencurigakan sebelum menyebar dalam skala besar.

Menjelang akhir 2025, X melaporkan pembongkaran skema korupsi yang terkait dengan operasi penipuan kripto. Pengguna yang dilarang diduga mencoba membayar perantara yang mengklaim mereka dapat menyuap karyawan internal untuk memulihkan akun yang ditangguhkan, yang menyoroti sejauh mana aktor jahat bersedia pergi untuk mempertahankan akses.

Sistem penguncian akun x terbaru memperluas sikap keamanan ini dengan melakukan intervensi pada titik yang oleh X dianggap sebagai asal mula penipuan. Ketika profil yang dibajak tidak dapat memublikasikan konten kripto baru tanpa memicu penangguhan akun otomatis, nilai aset tersebut bagi para penjahat siber turun tajam.

Bier menekankan bahwa X masih ingin diskusi yang benar-benar terjadi tentang aset digital di platform tersebut. Namun, ia membuat perbedaan yang jelas antara debat yang sah dan skema yang “menciptakan insentif untuk melakukan spam, melakukan raid, dan melecehkan,” yang secara eksplisit ditujukan untuk dibatasi oleh kontrol baru ini.

Perdebatan tentang tanggung jawab dan phishing berbasis email

Bersamaan dengan perubahan internal X, Bier secara terbuka mengkritik Google atas apa yang ia sebut sebagai perlindungan gmail terhadap phishing yang tidak memadai. Ia berargumen bahwa filter Gmail membiarkan terlalu banyak pesan berbahaya, termasuk umpan bertema hak cipta, mencapai kotak masuk pengguna, di mana mereka dapat memulai pencurian kredensial.

Menurut Bier, pertahanan email yang lebih kuat akan secara signifikan mengurangi jumlah pengguna yang terpapar halaman login yang menipu tersebut sejak awal. Selain itu, hal itu dapat melengkapi pengamanan di dalam platform X dengan membatasi salah satu vektor serangan utama untuk pencegahan phishing kripto.

Kontrol otomatis baru di X masih dalam tahap pengembangan, dengan perkiraan peluncuran dalam waktu dekat. Namun, perusahaan memberi sinyal bahwa penyalahgunaan terkait kripto tetap menjadi perhatian keamanan utama, dan perusahaan bersedia membatasi posting kripto baru untuk sementara jika itu berarti mengurangi penipuan berskala besar.

Sebagai rangkuman, X memasangkan kontrol yang lebih ketat untuk pesan kripto dengan peningkatan keamanan yang lebih luas untuk mengganggu kampanye social engineering. Jika kerangka penangguhan otomatis bekerja sesuai rencana, hal itu dapat membuat profil yang dikompromikan jauh lebih tidak berguna bagi para penipu sekaligus tetap menyisakan ruang untuk diskusi kripto yang sah.