Cara Cek Link Phishing (WA/IG/SMS): Jangan Klik Sebelum Baca Ini

Kalau kamu pernah dapat pesan seperti “akun kamu bermasalah”, “paket ditahan”, “pembayaran gagal”, atau “kamu dapat hadiah” lalu disuruh klik link, kemungkinan besar itu mengarah ke salah satu ancaman paling sering saat ini: phishing.
Phishing itu bukan virus yang “lompat” sendiri, tapi jebakan yang memancing kamu mengklik dan mengisi data di halaman palsu yang dibuat mirip layanan resmi.

Korban phishing biasanya tidak merasa “bodoh”. Justru seringnya mereka sedang capek, terburu-buru, atau panik.
Penipu tahu cara menekan emosi: membuat kamu merasa harus bertindak sekarang.
Nah, artikel ini aku buat sebagai panduan lengkap ala blogger:
cara cek link phishing dari WhatsApp/Instagram/SMS, tanda-tandanya, cara aman mengecek tanpa klik sembarangan, dan langkah darurat kalau kamu terlanjur klik.

Apa itu phishing, dan kenapa berbahaya?

Phishing adalah teknik penipuan yang tujuannya mencuri informasi sensitif, misalnya:

• Username & password akun (marketplace, email, media sosial)
• Kode OTP (one-time password) untuk login/transfer
• PIN m-banking atau kode verifikasi
• Data kartu (nomor kartu, CVV, masa berlaku) atau data identitas

Begitu data itu kamu masukkan di halaman palsu, penipu bisa mengambil alih akun kamu, meminjam uang,
melakukan transaksi, atau menjadikan akun kamu sebagai alat menipu orang lain.

Ini tanda paling umum link phishing (yang sering muncul di WA/IG/SMS)

Sebelum membahas cara cek, kenali dulu red flag-nya. Link phishing biasanya punya ciri:

1) Pesannya bikin panik atau terburu-buru

• “Akun kamu akan diblokir dalam 30 menit.”
• “Segera verifikasi untuk menghindari penutupan akun.”
• “Paketmu tertahan, konfirmasi sekarang.”
• “Transfer gagal, klik untuk ulang pembayaran.”

2) Mengaku dari brand besar, tapi kirim dari nomor/akun random

Ini yang sering terjadi di WA dan SMS. Pesan mengaku dari bank/marketplace/ekspedisi,
tapi dikirim dari nomor pribadi yang tidak jelas, kadang pakai foto logo supaya meyakinkan.

3) Domain/URL terlihat “aneh” atau mirip tapi palsu

Penipu sering membuat alamat yang mirip layanan resmi, misalnya menambah:

• Huruf/angka tambahan
• Tanda strip yang tidak umum
• Subdomain panjang yang membingungkan
• Ekstensi domain asing yang tidak relevan

Yang berbahaya: sekilas terlihat “mirip resmi”, padahal beda tipis.

4) Meminta kamu login/isi data yang seharusnya tidak diminta di chat

Layanan resmi jarang minta kamu memasukkan password/OTP lewat link yang dikirim lewat chat random.
Kalau link meminta:

• login ulang
• OTP
• PIN
• data kartu

…anggap itu bahaya sampai terbukti sebaliknya.

5) Link pendek / disamarkan

Misalnya link pendek yang tidak memperlihatkan domain asli.
Tidak semua link pendek itu phishing, tapi untuk urusan akun & uang, lebih baik jangan ambil risiko.

Aturan emas: jangan cek link dengan cara “asal klik”

Kalau kamu ingin aman, hindari kebiasaan ini:

• Jangan klik link dari WA/IG/SMS yang meminta verifikasi atau login.
• Jangan memasukkan OTP/PIN di halaman apa pun selain aplikasi resmi.
• Jangan percaya “CS” yang memaksa verifikasi lewat link.

Kalau memang ada masalah akun, cara paling aman adalah: buka aplikasi resmi atau ketik alamat situs resmi sendiri di browser.

Cara cek link phishing (praktis, aman, dan bisa dilakukan siapa saja)

1) Baca domainnya pelan-pelan (ini langkah paling penting)

Domain itu bagian inti dari alamat website. Contoh sederhana:

• Jika link: https://help.nama-brand.com/… maka domainnya adalah nama-brand.com
• Jika link: https://nama-brand.com.verify-login.xyz/… maka domainnya adalah verify-login.xyz

Penipu sering menaruh kata “brand” di depan, tapi domain aslinya justru di belakang.
Jadi, fokuslah pada nama domain utama, bukan kata-kata panjang di depannya.

2) Periksa ejaan yang “hampir sama” (typo)

Waspadai ejaan yang terlihat mirip, misalnya:

• huruf O diganti angka 0
• huruf l (L kecil) mirip angka 1
• tambahan satu huruf: “sh0pee”, “tok0pedia”, “instagrarn” (mirip “instagram”)

Kalau kamu harus “mikir” apakah ini resmi atau bukan, anggap itu tidak aman.

3) Cek apakah link itu masuk akal dengan konteks pesan

Beberapa pertanyaan sederhana:

• Apakah kamu benar-benar sedang menunggu paket?
• Apakah kamu benar-benar punya transaksi gagal?
• Apakah kamu benar-benar mengajukan komplain?

Kalau kamu tidak merasa punya urusan apa pun, pesan mendadak seperti “akun bermasalah” itu patut dicurigai.

4) Jangan login dari link; cek langsung dari aplikasi resmi

Ini cara cek yang paling aman tanpa perlu pusing analisis link:

• Jika pesan mengaku dari marketplace: buka aplikasi marketplace, cek notifikasi resmi dan status pesanan.
• Jika mengaku dari bank: buka aplikasi bank, cek notifikasi dan pesan resmi di dalam aplikasi.
• Jika mengaku dari ekspedisi: cek nomor resi di aplikasi/website resmi ekspedisi, bukan dari link chat.

Kalau di aplikasi resmi tidak ada masalah, besar kemungkinan link itu jebakan.

5) Cari “jejak” link atau domainnya di Google

Kalau kamu masih ragu, copy domain (bukan seluruh link panjang) lalu Google:
tambahkan kata phishing, penipuan, atau scam.

Contoh:

• namadomain.xyz phishing
• namadomain.xyz penipuan

Kadang domain yang sama sudah dilaporkan oleh banyak orang.

6) Waspadai halaman yang minta OTP/PIN atau data kartu

Halaman phishing biasanya cepat mengarah ke:

• Form login
• Form OTP
• Form data kartu

Aturan emasnya: OTP itu bukan “kode verifikasi biasa”. OTP adalah kunci akses.
Layanan resmi tidak pernah meminta OTP lewat chat untuk “membatalkan blokir” atau “verifikasi hadiah”.

7) Kenali ciri halaman palsu (kalau terlanjur kebuka)

Aku tidak menyarankan kamu menguji link phishing. Tapi kalau kamu terlanjur kebuka (tanpa isi data apa pun),
beberapa ciri halaman palsu yang sering terlihat:

• Bahasa yang aneh, campur aduk, atau terkesan mesin.
• Banyak tombol “lanjut” yang mendesak, tapi informasi perusahaan minim.
• Tidak ada halaman kebijakan/footernya aneh.
• Alamat situs tidak sesuai dengan brand yang diklaim.
• Tampilan mirip, tapi ada detail yang terasa “murahan” atau tidak konsisten.

Contoh pesan phishing yang sering beredar (biar kamu langsung ngeh)

Ini pola, bukan contoh persis. Tujuannya supaya kamu mengenali gaya bahasanya:

• Bank palsu: “Transaksi Anda ditahan. Verifikasi sekarang di link berikut.”
• Marketplace palsu: “Akun Anda terdeteksi melanggar. Klik untuk pemulihan akun.”
• Ekspedisi palsu: “Paket Anda tertahan di gudang. Konfirmasi alamat di link ini.”
• Hadiah palsu: “Selamat! Anda mendapatkan hadiah. Klaim sebelum hangus.”

Semua pesan di atas menyerang emosi: panik, takut, atau serakah. Itu ciri khas phishing.

Langkah aman kalau kamu terlanjur klik link phishing

Terlanjur klik itu bukan akhir dunia. Yang penting adalah apa yang kamu lakukan setelahnya.

Jika kamu hanya klik tapi tidak memasukkan apa pun

• Tutup halaman.
• Jangan klik tombol apa pun di halaman tersebut.
• Hapus pesan/link dari chat.
• Jika kamu merasa khawatir, lakukan pemindaian keamanan di perangkat (opsional) dan periksa akun penting.

Jika kamu memasukkan username & password

• Segera ganti password akun tersebut melalui aplikasi/website resmi (ketik alamat sendiri, jangan pakai link tadi).
• Aktifkan 2FA (verifikasi dua langkah) kalau tersedia.
• Keluar dari semua perangkat (logout all sessions) jika fitur ada.
• Cek aktivitas login dan perangkat yang terhubung.

Jika kamu memberikan OTP/PIN

Ini kondisi darurat karena OTP bisa dipakai untuk mengambil alih akun atau melakukan transaksi.

• Segera hubungi layanan resmi (bank/marketplace) melalui kanal resmi.
• Amankan akun: ganti password, aktifkan 2FA, cek perangkat tertaut.
• Jika terkait perbankan/keuangan: minta arahan tindakan cepat (blokir, pembekuan sementara, atau prosedur keamanan).

Template balasan untuk menolak link “verifikasi” yang mencurigakan

Kalau kamu mau tetap sopan tapi tegas, copas saja:

Maaf, saya tidak bisa klik link atau memasukkan data/OTP dari pesan seperti ini.
Jika memang ada masalah, saya akan cek langsung lewat aplikasi/website resmi.
Terima kasih.

Kalau pihak tersebut ngotot atau menekan, itu makin menguatkan kecurigaan kamu.

Kebiasaan anti-phishing yang paling efektif (buat jangka panjang)

1) Biasakan akses lewat aplikasi resmi atau ketik alamat sendiri

Kalau ada pesan soal akun atau transaksi, jangan “ikut link”. Cek langsung di aplikasi atau ketik alamat resmi.

2) Aktifkan 2FA di akun penting

2FA membantu mengurangi risiko akun diambil alih hanya dengan password.

3) Jangan bagikan OTP ke siapa pun

OTP adalah kunci akses. Pihak resmi tidak akan memintanya lewat chat.

4) Ajarkan keluarga (terutama orang tua) SOP singkat

Phishing sering menargetkan orang yang tidak terbiasa “curiga”.
Ajarkan 3 kalimat sederhana:

• Jangan klik link dari SMS/WA yang bikin panik.
• Jangan pernah kasih OTP.
• Kalau ragu, tanya dulu.

5) Gunakan prinsip “3 detik berhenti”

Sebelum klik link apa pun, berhenti 3 detik dan tanya:
“Saya benar-benar sedang butuh ini?” Kalau tidak, tutup.

FAQ: pertanyaan tentang phishing

Apakah link phishing selalu terlihat aneh?

Tidak selalu. Banyak phishing yang domainnya terlihat “rapi” dan desainnya mirip asli.
Karena itu, cara paling aman adalah jangan login lewat link dari chat.

Kalau pesannya pakai nama saya dan data saya, berarti resmi?

Belum tentu. Data bisa bocor dari mana saja. Penipu sering memakai data untuk membuat pesan lebih meyakinkan.

Apakah saya aman kalau tidak isi data?

Lebih aman, ya. Tapi tetap waspada. Yang paling berbahaya adalah ketika kamu memasukkan data login/OTP/PIN atau data kartu.

Penutup: jangan klik sebelum cek

Phishing itu seperti pancing: bukan ikannya yang memaksa, tapi umpannya yang tampak menarik atau mengancam.
Cara menangnya bukan “lebih pintar dari penipu”, tapi lebih disiplin:
jangan panik, jangan klik link sembarangan, dan selalu cek lewat aplikasi resmi.

Kalau kamu cuma ingat satu pesan dari artikel ini, ingat ini:
Link yang meminta login/OTP dari WA/IG/SMS itu hampir selalu berbahaya.
Dan seperti motto JelasAman: Cek Dulu, Baru Transfer.
Dalam konteks phishing, versinya: Cek Dulu, Baru Klik.