Di atas kertas, fitur username WhatsApp (WA) adalah kabar baik untuk privasi. Kita tidak perlu lagi mengumbar nomor ponsel ke sembarang orang.
Namun, di balik kemudahan ini, ada bahaya nyata yang sedang mengintai masyarakat kita: maraknya modus penipuan (phishing) gaya baru.
Bagi sebagian besar masyarakat Indonesia, istilah phishing mungkin terdengar asing atau terlalu teknis. Namun, jika bicara soal “link paket kurir palsu”, “undangan nikah digital yang menguras rekening”, atau “pesan dari layanan pelanggan bank gadungan”, semua orang pasti langsung paham. Itulah wujud nyata dari penipuan digital yang memanfaatkan manipulasi psikologis (phishing).
Ada alasan kuat mengapa para pelaku kejahatan berpotensi bergerilya lewat WA ketimbang Media Sosial (medsos).
Pertama, WA pada dasarnya bukanlah area publik tempat semua orang bisa saling memantau, melainkan ruang pribadi dan tertutup. Di sinilah letak titik rawan itu. Ketika pesan tipu-tipu masuk ke WA, interaksinya terjadi secara intim, langsung satu lawan satu di layar ponsel korban.
Prinsipnya:
“Jangan mudah kaget dan jangan mudah terkesima” (Ojo kagetan, ojo gumunan)
Kedua, apabila fitur username ini aktif, pesan dari nomor asing hanya akan menampilkan username tanpa memperlihatkan nomor teleponnya. Akibatnya, kita akan kesulitan memverifikasi identitas asli di balik username tersebut. Gawatnya, penipu bisa menyamar sebagai tetangga, keluarga, atau teman kita dengan dalih ponsel lama mereka telah di-hack atau alasan lainnya. Ditambah lagi, foto profilnya bisa dibuat sama persis.
Perhatian!
Artikel ini bertujuan memberi peringatan, bukan mengajarkan kejahatan.
Bagaimana Penipu Memanfaatkan Username?
Selama ini, ruang gerak penipu di WA agak terbatas karena mereka harus menggunakan nomor ponsel biasa. Ketika ada nomor asing (+628xxxxxxxxxx) dengan foto profil Bank mengaku sebagai “Layanan Pelanggan Bank”, masyarakat lambat laun mulai curiga karena formatnya yang tidak resmi.
Dengan adanya username, peta permainan berubah total. Penipu kini bisa menyamar dengan nama-nama yang meyakinkan.
- Ilusi Akun Resmi: Penipu bisa membuat nama pengguna seperti
@HaloBankX_Official,@KementerianX_Pusat, atau@Kurir_X_Express. Bagi masyarakat awam—terutama orang tua atau mereka yang tidak bermain medsos—nama-nama ini terlihat sangat meyakinkan dan resmi. - Modus “Pancingan” (Phishing): Setelah korban percaya dengan username tersebut, penipu akan mengirimkan pesan mendesak. Misalnya: “Akun Anda diblokir, silakan klik link ini untuk aktivasi.” Begitu link tersebut diklik, data pribadi atau saldo rekening korban bisa langsung amblas.
Mengapa Ini Berbahaya bagi Pengguna Non-Media Sosial?
Bagi generasi muda yang aktif di medsos, konsep username bertanda centang biru mungkin sudah biasa. Mereka bisa membedakan mana akun asli dan mana yang tiruan.
Namun, WA adalah aplikasi sejuta umat di Indonesia. Penggunanya mencakup kakek-nenek di desa, pedagang pasar, hingga pekerja informal yang sama sekali tidak punya akun medsos. Kelompok inilah yang paling rentan.
Mereka yang terbiasa berpikir bahwa “semua yang ada di WA itu nyata” akan dengan mudah terkecoh oleh username palsu. Mereka tidak menyangka bahwa di balik nama @Pemenang_Undian_BankX bisa jadi adalah seorang penipu yang sedang beroperasi dari bilik warnet atau rumah kontrakan.
Kalau kita bedah sisi psikologisnya, ada perbedaan kontras antara isi kepala seseorang saat membuka media sosial dengan saat membuka WA. Perbedaan sikap ini yang dapat dimanfaatkan oleh para penipu.
Pengguna medsos biasanya sudah kenyang melihat drama di internet, mulai dari akun bodong, iklan palsu, sampai kasus peretasan. Ditambah lagi, mereka yang aktif di medsos rata-rata memang lebih melek teknologi. Efeknya, “radar curiga” mereka otomatis menyala. Begitu ada akun asing tiba-tiba mengirim pesan pribadi (DM) yang aneh-aneh, mereka akan langsung pasang kuda-kuda dan mengabaikannya.
Kondisinya berbalik 180 derajat begitu orang membuka WA. Sebagian besar masyarakat kita—terutama orang tua atau warga yang tidak punya akun medsos—membuka WA dengan perasaan tenang dan tanpa prasangka. Bagi mereka, WA adalah aplikasi untuk keluarga: tempat bertukar kabar dengan anak, koordinasi kerjaan, atau sekadar ngobrol di grup pengajian. Karena terbiasa menerima pesan dari orang-orang terdekat, pertahanan mereka langsung melorot.
Para pelaku kejahatan sangat paham celah psikologis ini. Mereka tahu, memancing korban di tengah ramainya linimasa medsos itu susah bukan main. Jauh lebih mudah menyelinap langsung ke ruang obrolan pribadi WA, di mana korban sedang santai, merasa aman, dan sama sekali tidak siap untuk diserang.
Fitur Username Key
Username Key adalah lapisan keamanan tambahan berupa PIN khusus yang bisa diatur oleh pengguna WA. Fitur ini diciptakan khusus agar kita tidak kebanjiran pesan spam, promosi judi online, atau pesan dari orang tidak dikenal yang asal menebak nama username kita. Hanya orang yang benar-benar kita berikan PIN yang bisa menghubungi kita lewat jalur username.
Jika fitur ini diaktifkan, orang asing yang menemukan @username kita di internet tidak bisa langsung mengirim pesan begitu saja. Saat mereka mencoba memulai chat, WA akan meminta mereka memasukkan PIN tersebut.
Jika seseorang sudah tahu nomor telepon kita (misalnya teman lama atau rekan kerja) dan langsung menyimpan atau mengetik nomor kita di WA, maka fitur username key tidak akan berlaku. Pesan dari mereka akan langsung masuk seperti biasa tanpa dimintai PIN atau kunci apa pun.
Username Key hanya mengunci “pintu masuk” yang lewat jalur pencarian @username. Jalur masuk konvensional lewat nomor telepon tetap terbuka normal seperti WA yang kita kenal sekarang, sehingga potensi penipuan / phishing tetap terbuka.
Serangan Multi Level Phishing
Bahaya dari fitur username ini tidak berhenti pada penipuan satu lawan satu. Kita kini harus mewaspadai apa disebut sebagai Serangan Multi-Level Phishing. Logikanya mirip dengan praktik Multi-Level Marketing (MLM) yang sering kita dengar: pelaku tidak hanya mengincar satu target, tetapi menjadikan satu korban yang berhasil diretas sebagai “pintu masuk” untuk menyerang seluruh jaringan kontaknya.

Begitu satu akun berhasil dikuasai melalui tautan berbahaya, peretas akan memiliki akses ke daftar kontak dan grup WA korban. Dari sana, penipu akan mengirimkan pesan berisi tautan berbahaya ke semua orang yang ada di daftar kontak korban tersebut, dengan menyamar sebagai pemilik akun asli. Karena pesan datang dari orang yang dikenal dan dipercayai—seperti teman dekat, anggota keluarga, atau rekan kerja—pertahanan calon korban akan jauh lebih rendah.
Fenomena ini menciptakan efek bola salju atau multiplikasi korban yang sangat cepat. Satu akun yang terkompromi bisa menyebarkan malware atau phishing ke puluhan, bahkan ratusan orang lainnya dalam hitungan menit. Ini adalah sebuah lingkaran setan digital; ketika kita lalai menjaga satu akun, kita secara tidak sadar sedang membuka pintu bagi peretas untuk menyerang orang-orang terdekat kita.
Tantangan Literasi di Akar Rumput
Sistem username ini ibarat pisau bermata dua. Di satu sisi, ia melindungi nomor ponsel kita agar tidak tersebar. Di sisi lain, ia memberi topeng yang lebih rapi bagi para kriminal siber untuk mengelabui korban.
Menghadapi era baru ini, edukasi di tingkat keluarga menjadi kunci. Masyarakat harus mulai diberi tahu bahwa siapa pun bisa membuat username apa pun di WA. Nama yang tertera di layar bukan lagi jaminan bahwa orang di ujung sana adalah orang yang sama dengan yang kita pikirkan.
Pada akhirnya, secanggih apa pun fitur keamanan yang dibuat oleh Meta, benteng pertahanan terakhir tetap ada pada jempol kita sendiri: jangan mudah percaya, jangan asal klik link, dan selalu verifikasi ulang lewat jalur resmi.

Leave a Reply