Peringatan Keamanan: Situs Web Palsu “Pudgy World”
Sebuah situs web palsu yang menyamar sebagai game browser “Pudgy World” yang baru diluncurkan oleh Pudgy Penguins berusaha mencuri kata sandi dompet cryptocurrency. Peringatan ini disampaikan oleh perusahaan keamanan siber Malwarebytes Labs pada hari Selasa. Dalam laporan mereka, Malwarebytes menyatakan bahwa operasi phishing yang menggunakan domain pudgypengu-gamegifts[.]live ini memanfaatkan replika antarmuka dompet crypto yang sangat meyakinkan untuk menipu pengguna.
“Beberapa fitur terkait dengan koleksi digital dan item dalam game yang disimpan di dompet cryptocurrency. Ini berarti game resmi kadang-kadang meminta pemain untuk menghubungkan dompet crypto mereka untuk memverifikasi kepemilikan item atau membuka fitur tambahan,” kata Stefan Dasic, insinyur penelitian malware senior dan penulis laporan tersebut.
“Situs phishing menyalahgunakan langkah ini: Ketika seorang pengunjung memilih dompet mereka di situs palsu ini, tampak seperti layar kunci dompet yang sebenarnya. Bagi pengguna, itu terlihat seperti perangkat lunak dompet crypto yang sudah mereka percayai.”
Statistik Phishing dan Dampaknya
Phishing tetap menjadi salah satu bentuk kejahatan siber yang paling umum. Menurut Pusat Pengaduan Kejahatan Internet FBI (IC3), penipuan phishing dan spoofing menyumbang 193.407 pengaduan pada tahun 2024, dengan kerugian yang dilaporkan melebihi $70 juta. Belum diketahui apakah ada yang menjadi korban dari situs tertentu ini.
Peluncuran “Pudgy World” dan Target Penipuan
Peringatan ini muncul seminggu setelah peluncuran “Pudgy World”, sebuah game browser gratis yang terkait dengan merek NFT Pudgy Penguins. Game ini, yang diluncurkan pada 10 Maret, memungkinkan pemain untuk menjelajahi dunia virtual, menyesuaikan avatar penguin, dan menyelesaikan misi, dengan beberapa fitur yang mengharuskan pengguna untuk menghubungkan dompet cryptocurrency.
Pudgy Penguins telah berkembang pesat sejak diakuisisi oleh CEO Luca Netz pada tahun 2022, bertransformasi dari koleksi NFT menjadi merek konsumen yang lebih luas dengan produk ritel, game mobile, dan kini game berbasis browser. Koleksi ini memiliki harga dasar 4,25 ETH ($9.500), menurut CoinGecko, jauh di bawah 88,3% dari puncaknya pada Desember 2024 yang mencapai 36,33 ETH.
“Rentang dompet yang menjadi target juga signifikan. Kampanye ini hampir tidak meninggalkan titik buta dompet,” ujarnya. “Apakah korban memegang Ethereum, Solana, atau aset multi-chain, ada pemalsuan yang meyakinkan menunggu mereka.”
Taktik Penipuan dan Saran Keamanan
Dasic menyatakan bahwa waktu kampanye ini tampaknya disengaja, bertepatan dengan peluncuran game dan masuknya pengguna baru yang mungkin tidak akrab dengan praktik keamanan dompet crypto. “Membangun 11 pemalsuan UI spesifik dompet bukanlah tugas yang sepele,” tambah Dasic, mencatat bahwa ini menunjukkan baik “aktor ancaman yang memiliki sumber daya baik” atau penggunaan kembali kit phishing komersial yang dirancang untuk kelas serangan ini.
Taktik semacam itu umum dalam penipuan terkait crypto, di mana penyerang mendaftarkan domain yang sangat mirip dengan yang sah atau memanipulasi iklan pencarian agar terlihat autentik. Misalnya, penipu dapat mengirim email yang terlihat resmi menggunakan domain dengan .qov alih-alih .gov dengan harapan orang tidak akan memperhatikan perbedaan kecil tersebut.
Pudgy Penguins sebelumnya telah menjadi target penipu yang menggunakan situs palsu. Pada bulan Desember 2024, perusahaan keamanan blockchain Scam Sniffer memperingatkan bahwa penyerang menggunakan iklan Google berbahaya untuk menyamar sebagai platform Pudgy Penguins dan menipu pengguna agar menghubungkan dompet mereka.
Rekomendasi untuk Pengguna
Pengguna disarankan untuk mengakses situs resmi hanya melalui bookmark yang tepercaya, menghindari mengklik tautan dari media sosial atau pesan langsung, dan ingat bahwa permintaan kata sandi dompet yang sah tidak muncul di dalam konten halaman web. Malwarebytes juga merekomendasikan untuk segera mengganti kata sandi dompet jika kredensial dimasukkan di situs yang mencurigakan dan mempertimbangkan untuk memindahkan dana ke dompet baru jika ada dugaan kompromi.
Pudgy Penguins telah dihubungi untuk memberikan komentar.
