Pernahkah Anda menerima pesan menggiurkan: "Selamat! Limit PayLater Anda naik jadi Rp50 juta, klik link ini untuk aktivasi"? Jika ya, waspadalah. Itu bukan rejeki nomplok, melainkan jebakan phishing yang telah menjerat ribuan korban di seluruh Indonesia.

Di tengah pesatnya adopsi layanan Buy Now Pay Later (BNPL) yang tumbuh di atas 140% per tahun (data OJK 2019-2023), penjahat siber juga berpesta pora. Kaspersky mencatat Indonesia sebagai negara kedua terbanyak di Asia Tenggara yang menjadi target serangan phishing keuangan pada 2024, dengan lebih dari 85.000 serangan terdeteksi. Ancaman terbesar bukan datang dari kelemahan sistem platform resmi, melainkan dari teknik manipulasi psikologis yang mengeksploitasi kelengahan pengguna.

Baca Juga: Laporan FICCI-EY 2026: Serangan Siber Jadi "Mimpi Buruk" Utama Bisnis India, Geser Risiko Geopolitik

Para pelaku kejahatan terus berevolusi. Berikut adalah tiga modus operandi utama yang wajib diwaspadai:

1. Situs Tiruan (Typosquatting): Pelaku mengirim link via WhatsApp/SMS yang mengarahkan ke situs web yang nyaris identik dengan aslinya, namun dengan perbedaan domain tipis (misal: spaylatter.com vs shopee.co.id). Tujuannya adalah memanen username, password, dan kode OTP korban.
2. Vishing & Smishing: Penipuan via telepon (Voice Phishing) dan SMS kini makin canggih. Pelaku mengaku sebagai Customer Service dengan nada mendesak ("Akun Anda dibobol!"). Laporan BSSN bahkan mencatat penggunaan Deepfake AI untuk meniru suara petugas resmi agar korban percaya.
3. Akun Palsu Medsos: Akun Instagram/Facebook tiruan yang menawarkan "bantuan teknis" atau "promo kenaikan limit". Korban yang terjebak akan diarahkan mengisi formulir data pribadi (Credential Harvesting).

Secara regulasi, pengguna PayLater di Indonesia dilindungi oleh payung hukum yang kuat:

• UU PDP (No. 27/2022): Mewajibkan platform menjaga data pribadi. Pelanggaran berat bisa didenda hingga 2% pendapatan tahunan atau pidana 6 tahun.
• POJK No. 32/2025: Aturan terbaru OJK yang mewajibkan penyelenggara BNPL menerapkan prinsip kehati-hatian dan perlindungan data nasabah yang ketat mulai Desember 2025.

Namun, regulasi saja tidak cukup. Pengguna harus menjadi "Human Firewall" bagi diri sendiri.

• Aktifkan 2FA: Wajib nyalakan Two-Factor Authentication di semua aplikasi keuangan.
• Stop Bagikan OTP: Kode OTP, PIN, dan CVV adalah rahasia mutlak. Petugas resmi tidak akan pernah memintanya.
• Cek URL: Jangan klik link sembarangan. Selalu akses layanan via aplikasi resmi.

Lonjakan kasus phishing PayLater ini menegaskan bahwa identitas digital adalah mata uang baru. Penjahat siber tidak lagi perlu meretas server perusahaan yang sulit; mereka cukup meretas pikiran pengguna yang lengah (Social Engineering).

Celah keamanan terbesar seringkali terletak pada sisi pengguna akhir (end-point user). Meskipun platform telah menerapkan enkripsi standar industri, jika pengguna menyerahkan OTP kepada penipu, sistem keamanan teknis menjadi tidak relevan. Di Fourtrezz, kami melihat urgensi bagi penyedia layanan PayLater untuk tidak hanya fokus pada fitur, tetapi juga pada edukasi pengguna yang proaktif. Fitur keamanan seperti biometric verification (wajah/sidik jari) untuk setiap transaksi besar harus menjadi standar wajib, bukan opsional, untuk meminimalisir dampak jika kredensial tercuri.