Penipuan Kripto dan NFT: Kasus Princess Hypio
Bulan lalu, pengguna kripto dan seniman NFT, Princess Hypio, mengungkapkan bahwa ia kehilangan $170.000 dalam bentuk kripto dan token non-fungible setelah seorang penipu meyakinkannya untuk bermain game di Steam. Saat ia “tanpa pikir panjang” bermain dengan penipu tersebut, mereka diam-diam mencuri dananya dan meretas akun Discord-nya. Taktik yang sama juga digunakan pada tiga temannya, seperti yang ia tulis dalam sebuah postingan di X pada 21 Agustus. Ternyata, penipuan ini sudah ada sejak lama dan dikenal sebagai penipuan “coba permainan saya”, yang telah dilaporkan oleh pengguna dalam berbagai bentuk selama bertahun-tahun.
Metode Penipuan yang Populer
Dalam wawancara dengan Cointelegraph, Nick Percoco, kepala keamanan Kraken, menyatakan bahwa metode ini semakin populer.
Bagaimana Cara Kerja Penipuan ‘Coba Permainan Saya’?
Versi kripto dari penipuan ini melibatkan seorang peretas yang bergabung dengan server atau grup Discord, mengamati interaksi pengguna, dan kemudian menggunakan informasi tersebut untuk mendapatkan kepercayaan. Peretas akan bertanya kepada pengguna apakah mereka memiliki kripto atau NFT, sering kali berpura-pura tertarik untuk mengajukan pertanyaan dan mengukur aset digital yang mungkin mereka miliki. Dalam kasus Princess Hypio, mereka mengetahui bahwa ia memiliki NFT Milady, yang menjadikannya target.
Setelah mengidentifikasi target yang memiliki kripto, peretas mengundang korban untuk bermain game, mengirimkan tautan ke server yang mengandung malware Trojan. Malware ini memberikan akses ke perangkat pengguna, memungkinkan peretas mencuri informasi pribadi dan menguras dompet yang terhubung. Dalam kasus Princess Hypio, tipu daya tersebut melibatkan meyakinkannya untuk mengunduh game di Steam dengan janji akan membelinya untuknya. Meskipun game itu sendiri aman, server tempat game tersebut dihosting ternyata berbahaya. Akibatnya, ia kehilangan $170.000 dari serangan tersebut.
Peristiwa ini terjadi hanya beberapa hari setelah Discord merilis penjelasan mengenai kebijakan praktik penipuan, memperingatkan bahwa mempromosikan atau melakukan penipuan finansial di platform tersebut melanggar syarat penggunaan.
“Penipuan ini tidak mengeksploitasi kode; mereka mengeksploitasi kepercayaan. Penyerang menyamar sebagai teman dan menekan orang untuk mengambil tindakan yang biasanya tidak akan mereka ambil,”
kata Percoco.
“Kerentanan terbesar dalam kripto bukanlah kode, tetapi kepercayaan. Penipu mengeksploitasi semangat komunitas dan rasa ingin tahu untuk memanfaatkan niat baik.”
Penyerang menyematkan diri mereka dalam komunitas, mempelajari budaya, meniru teman yang dipercaya, dan kemudian menyerang, tambahnya.
Taktik Penipu Meluas ke Berbagai Sektor
Pada bulan Februari, seorang pengguna bernama RaeTheRaven memposting di forum Malwarebytes bahwa mereka telah menjadi korban “penipuan terkenal” setelah seseorang yang mereka anggap teman mengirimkan tautan berbahaya. Forum Reddit yang dimulai pada bulan Juli juga memperingatkan tentang penipuan yang menargetkan gamer. Percoco menjelaskan bahwa meskipun industri kripto cenderung menjadi yang pertama melihat penipuan ini, taktik ini kini menyebar ke berbagai sektor. Ia menyarankan agar pengguna memiliki “skeptisisme yang sehat”, mengonfirmasi identitas melalui saluran lain, menghindari menjalankan perangkat lunak yang tidak dikenal, dan ingat bahwa “tidak melakukan apa-apa lebih aman daripada mengambil langkah berisiko.”
“Jika sesuatu terasa terburu-buru, murah hati, atau terlalu bagus untuk menjadi kenyataan, itu hampir selalu benar. Jangan percaya, verifikasi.”
Kampanye Perekrutan Palsu yang Semakin Meningkat
Namun, Percoco juga menambahkan bahwa meskipun penipuan Discord sedang meningkat, tren yang lebih luas di industri kripto saat ini melibatkan perekrut palsu. Dalam kasus baru-baru ini pada bulan Juni, seorang aktor ancaman yang terkait dengan Korea Utara menargetkan pencari kerja di industri kripto dengan malware yang dirancang untuk mencuri kata sandi dompet kripto dan pengelola kata sandi.
“Penyamaran Discord meningkat dengan cepat, tetapi tren paling luas yang kami lacak saat ini adalah kampanye perekrutan palsu di mana korban dijebak dengan tawaran pekerjaan dan ditipu untuk mengklik tautan phishing,”
kata Percoco.
