Serangan Seed Flooding: Mengapa PhishDestroy Melakukannya Secara Terbuka
Situs Phishing “Serangan”
Kami tidak menyembunyikannya. Ketika PhishDestroy mendeteksi situs phishing aktif yang mengumpulkan frasa benih dompet kripto, kami membanjiri situs tersebut dengan entri frasa benih dalam format yang valid. Inilah tepatnya yang kami lakukan, mengapa kami melakukannya, dan mengapa kami tidak malu melakukannya.

Masalahnya: Sebuah Situs Phishing Sedang Aktif Saat Ini
Bayangkan Anda menemukan halaman phishing dompet kripto yang menayangkan iklan berbayar di Google Ads. Halaman itu tampak sah. Lalu lintas pengunjungnya cukup ramai. Pengguna sungguhan mengunjungi halaman tersebut setiap beberapa menit sekali, memasukkan frasa benih mereka, dan kehilangan segalanya.
Laporkan hal tersebut ke Google. Laporkan hal tersebut ke pihak pendaftar domain. Kirimkan laporan penyalahgunaan ke penyedia layanan hosting. Lalu kamu menunggu.
Sementara itu, penipu itu menjaring korban ke-47. Lalu ke-48. Lalu ke-49.
Proses pelaporan penyalahgunaan standar memakan waktu 5–10 hari kerja. Situs phishing yang aktif dapat menimbulkan kerugian finansial yang tak dapat diperbaiki hanya dalam hitungan jam. Kesenjangan ini bukanlah bug dalam sistem — melainkan kerentanan struktural yang secara sengaja dimanfaatkan oleh para penipu.

Apa Itu Pembanjiran Benih?
"Seed flooding" adalah teknik anti-phishing di mana format yang valid tetapi kosong/tidak berguna Frasa benih dompet mata uang kripto secara otomatis dikirimkan ke formulir phishing dengan kecepatan yang dikendalikan.

Mengapa Cara Ini Berhasil: Anatomi Kit Phishing Murah
Sebagian besar situs phishing kripto yang aktif merupakan kit salin-tempel yang dibangun di atas layanan pihak ketiga dengan paket gratis. Inilah kelemahan terbesar mereka. Untuk penjelasan yang lebih mendalam, lihat penyelidikan menyeluruh kami.

| Modul | Batas Paket Gratis | Dampak Banjir |
|---|---|---|
| EmailJS | ~200 kiriman per bulan | Habis dalam hitungan jam, menghentikan pengiriman email |
| Formspree | 50 pengajuan per bulan | Langsung tidak berfungsi |
| Web3Forms | 250 pengajuan per bulan | Dengan cepat dinetralkan |
| API Bot Telegram | Terbatas pada laju per detik | Terjebak dalam loop timeout |
| Paket Gratis Firebase | Kuota baca/tulis | Biaya basis data melonjak atau akses terblokir |
Kami telah secara langsung mengamati infrastruktur phishing yang berhenti beroperasi setelah banjir data awal (seed flooding) membuat saluran pemberitahuannya kewalahan. Penipu tersebut tidak tahu mengapa sistem itu berhenti berfungsi. Mereka hanya berhenti menerima data.
Pendekatan Teknis Kami: Cloudflare Workers, Bukan Botnet

Kami menggunakan Cloudflare Workers. Permintaan berasal dari jaringan tepi milik Cloudflare sendiri. Tidak ada alamat IP perumahan yang disalahgunakan. Tidak ada botnet. Tidak ada server pihak ketiga yang terbebani. Hanya sistem pengumpulan data penipu yang terpengaruh.
Aliran Banjir
Pembatasan laju: Ketat 2 submissions per 10 seconds. Bukan serangan DDoS. Sebuah kontaminasi yang lambat, terencana, dan terarah, dalam skala yang membuat tingkat infeksi per situs—sekecil apa pun—menjadi signifikan ketika diterapkan pada puluhan target secara bersamaan.
Kami tidak bermaksud untuk menjatuhkan server. Kami membuat hari kerja para penipu menjadi menyiksa dan membuat basis data mereka tidak berguna — tanpa menimbulkan dampak apa pun terhadap infrastruktur yang sah.
Studi Kasus Langsung: Pengendalian Kontaminasi dalam Praktik
Operasi-operasi di bawah ini diambil secara harfiah dari catatan produksi kami. Nama domain dan pengenal penyedia hanya disamarkan jika publikasinya dapat memfasilitasi upaya penghindaran; rekaman lalu lintas HTTP tidak diubah sama sekali. Kedua target tersebut aktif pada saat intervensi dilakukan, telah terkonfirmasi menerima lalu lintas masuk dari iklan berbayar, dan telah diklasifikasikan secara independen sebagai phishing oleh ≥ 2 penyedia layanan eksternal di VirusTotal sebelum kami mengambil tindakan apa pun.
Doktrin Operasional
Setiap operasi penyebaran benih dilaksanakan dalam kerangka lima prinsip yang sama. Tidak ada pengecualian; operasi yang tidak dapat memenuhi kelima prinsip tersebut tidak akan dilaksanakan.
Kasus 1 — Formspark Exfil Endpoint, Kuota Bulanan Telah Habis
checkblochn.pages.dev DinetralkanPola ancaman: Umpan pemulihan dompet (“Dapp Node Sync”) yang mencuri frasa benih BIP-39 berisikan 12 kata dan mengirimkannya ke titik akhir Formspark yang dikendalikan penyerang pada paket gratis. Terkonfirmasi adanya lalu lintas iklan berbayar dari dua platform iklan pada awal interaksi.
messageJadwal Operasional (UTC, dianonimkan hingga titik nol (T-zero) keterlibatan)
submit-form.com/32BrdUqfX diekstrak dari halaman JS; bentuk muatan dianalisis secara terbalik. analisis2 req / 10 s, satu Cloudflare Worker, string UA yang teridentifikasi, asal yang ditandatangani.200 OK dengan formspark-quota: 64. Data awal telah diperoleh.formspark-quota melewati nol → titik akhir berhenti meneruskan tanpa pemberitahuan. tirai pengeringformspark-quota: −18. Petugas penanggulangan banjir diberhentikan.Pengiriman melalui saluran (kode tersebut hanyalah umpan semata — 12 kata acak BIP-39 yang tidak terkait dengan dompet mana pun yang sebenarnya)
Respons — T+01:02 (nilai acuan, sisa kuota)
Respons — T+06:12 (kuota habis, titik akhir tetap menampilkan kode 200 tetapi tidak akan meneruskan permintaan)
Dampak yang dapat diamati. Mulai dari T+06:08 hingga penghentian akhir pada T+19:30 — a Jendela waktu 13 jam dan 22 menit — setiap korban sejati yang berhasil checkblochn.pages.dev dan menyelesaikan alur pemulihan dengan mengirimkan frasa benih mereka ke sebuah titik akhir yang mengembalikan 200 OK tetapi tidak lagi meneruskan muatan tersebut ke kotak masuk operator. Halaman phishing tersebut muncul agar berhasil di peramban korban (tanpa kesalahan, tanpa tanda peringatan), yang memang diinginkan: reaksi refleksif “tidak berhasil” sering kali membuat pengguna memasukkan kembali kredensial yang sama di situs palsu berikutnya yang mereka temukan. Di sini, interaksi dihentikan tanpa sepengetahuan operator.
Jendela perlindungan selama 13 jam bagi setiap pengunjung berikutnya ke situs yang masih secara aktif dipromosikan melalui iklan berbayar. Jendela tersebut tertutup ketika Cloudflare Pages menanggapi laporan penyalahgunaan jalur paralel kami — persis seperti yang dirancang. Serangan lalu lintas tersebut tidak menggantikan penutupan yang sah; melainkan menutupi selang waktu tersebut sampai Tindakan penindakan yang sah itu berhasil dilakukan.
Kasus 2 — EmailJS Relay, Pengenal yang Diterbitkan oleh Operator
allsyncapp.pages.dev Operasi AktifPola ancaman: Umpan “sinkronisasi” dompet yang mengirimkan seed yang dimasukkan korban ke kotak surat operator melalui EmailJS — layanan SaaS email transaksional yang sah. Halaman phishing tersebut menyertakan service_id, template_id dan user_id dalam JavaScript sisi klien, karena tanpa pengenal-pengenal tersebut, peramban korban tidak dapat menyelesaikan permintaan POST yang memicu pengiriman email. Oleh karena itu, pengenal-pengenal tersebut merupakan bagian dari permukaan serangan publik yang secara sukarela diungkapkan oleh operator.
Pengiriman yang terekam — bentuk payload persis seperti yang terdapat dalam permintaan POST dari halaman phishing itu sendiri
Ekstraksi pengenal (ekspresi reguler satu baris pada kode sumber halaman phishing)
Poin doktrinal utama. Kasus ini sangat bermanfaat sebagai pelajaran justru karena kami tidak menemukan titik akhir apa pun. Operator tersebut menerbitkan tiga pengenal yang diperlukan agar EmailJS mengirimkan seed ke kotak surat mereka. Setiap browser yang menampilkan halaman phishing tersebut memiliki ketiga pengenal tersebut. Worker kami melakukan hal yang sama seperti yang dilakukan browser korban — mengirimkan formulir dengan format dan pengenal persis seperti yang ditentukan oleh halaman itu sendiri. Perbedaannya terletak pada muatannya: kata-kata acak BIP-39, bukan kredensial dompet yang sebenarnya.
Pola hasil. Setelah batas bulanan tercapai, EmailJS akan mengembalikan 402 Payment Required atau 429 Too Many Requests dan templat tersebut tidak terkirim. Kotak masuk penipu menjadi sepi. Di saat yang sama, tim Trust & Safety EmailJS menerima pengaduan resmi yang disertai dengan identifikasi layanan/templat/pengguna serta tautan ke paket bukti yang telah kami publikasikan — yang, berdasarkan preseden sebelumnya, mengakibatkan akun EmailJS milik operator tersebut dipecat, tidak ada batasan kuota. Operator harus membuat akun EmailJS baru, membuat ulang pengenal, mengedit halaman phishing yang telah diterbitkan, dan membatalkan keabsahan setiap tautan distribusi yang ada — sebuah alur kerja yang memakan waktu berjam-jam untuk setiap rotasi.
Perbandingan Profil Serangan: Apa yang Bukan Termasuk dalam Seed Flooding
Tuduhan yang sering dilontarkan adalah bahwa kami melancarkan “serangan” terhadap situs phishing. Pandangan seperti itu akan runtuh begitu Anda membandingkan profil lalu lintas yang sebenarnya dengan profil aktivitas yang sering disalahartikan sebagai serangan tersebut.
| Dimensi | Penyiraman Benih (metode kami) | DDoS / Serangan banjir L7 | Penyalahgunaan pengiriman spam | Operasi penyamaran LE |
|---|---|---|---|---|
| Tujuan | Perlindungan korban — penuhi kuota pengambilan data penipu sebelum korban berikutnya | Serangan penolakan layanan terhadap infrastruktur | Keuntungan komersial / penyebaran pesan | Pengumpulan bukti, penipuan terkendali |
| Laju pemrosesan | 0,1 – 0,3 permintaan per detik — di bawah ini Ketentuan Layanan Penyedia | 103 – 108 req/s — berorientasi pada saturasi | Burst / otomatis dengan volume tinggi | Interaksi tunggal biasanya |
| Target | Seorang penyerang yang menggunakan satu titik akhir eksfiltrasi telah mempublikasikan | Tingkat server web / jaringan dari organisasi korban | Formulir kontak dari situs-situs resmi | Infrastruktur atau identitas yang mencurigakan |
| Dampak terhadap infrastruktur | Tidak ada — penghitung penyedia berjalan sesuai dengan batasan yang ditetapkan dalam Ketentuan Layanan (ToS) | Gangguan layanan, kemacetan pada jaringan hulu | Penumpukan pesan masuk, perubahan CAPTCHA, beban moderasi | Tergantung pada operasinya |
| Pengguna sah yang terdampak | Nol — formulir phishing tidak memiliki pengguna yang sah | Semuanya | Karyawan / moderator yang bertanggung jawab atas formulir | Mekanisme penghindaran yang dirancang sejak awal |
| Identitas asal | Dinamakan PhishDestroy Cloudflare Workers — dapat diaudit | Botnet, sumber palsu, refleksi | Proksi sekali pakai | Infrastruktur rahasia |
| Model otorisasi | Titik akhir adalah diundang: formulir secara eksplisit meminta masukan ini, dan pengenal-pengenal tersebut dipublikasikan di halaman tersebut | Tidak ada — volume permintaan itu sendiri yang menjadi masalah | Melewati tujuan penggunaan yang dimaksudkan, mengabaikan sinyal anti-penyalahgunaan | Kewenangan berdasarkan undang-undang |
| Tindakan hukum paralel | Laporan kasus pelecehan yang diajukan sebelumnya banjir mulai terjadi, dengan ID kasus | Tidak tersedia | Tidak tersedia | Terintegrasi dalam operasi |
Pengiriman "seed-flood" adalah satu permintaan POST HTTPS berukuran sekitar 140 byte, yang berasal dari satu Cloudflare Worker yang membawa asal (origin) kami yang telah ditandatangani, dengan frekuensi yang jauh lebih rendah daripada batas yang ditetapkan penyedia layanan sebagai batas yang dapat diterima, dan ditujukan ke titik akhir (endpoint) yang pengidentifikasinya telah dipilih oleh operator untuk disematkan dalam halaman web publik. Itulah seluruh artefak yang dapat diamati. Setiap unsur struktural yang menjadikan suatu permintaan sebagai “serangan” — akses tanpa izin, niat untuk menghabiskan sumber daya, saturasi volumetrik, pihak ketiga yang terdampak, asal yang disembunyikan — tidak terdapat di sini. Analisis hukum yang akan dijelaskan berikut ini bukanlah argumen yang dipaksakan; melainkan merupakan alami pembacaan undang-undang setelah gambaran fakta dijelaskan dengan jelas.
Analisis Hukum — Apakah Hal Ini Sah Secara Hukum? Apakah Hal Ini Etis?

Mengirimkan data ke formulir web yang terbuka untuk umum — bahkan data palsu sekalipun — pada dasarnya tidak ilegal dalam sebagian besar kerangka kerja. Kami tidak mengakses sistem pribadi, memanfaatkan kerentanan tanpa izin, atau menyadap komunikasi. Penipu itu telah menyiapkan jebakan. Kami sedang mengisinya dengan batu.
PhishDestroy tidak memberikan nasihat hukum. Hal ini berada dalam wilayah abu-abu yang sesungguhnya, yang bervariasi tergantung yurisdiksi. Kami beroperasi dengan sepenuhnya menyadari kompleksitas ini.
Apa yang Terjadi dengan Basis Data Penipu Itu?
Itu menjadi tidak berguna — ribuan entri memerlukan verifikasi manual, rasio sinyal terhadap gangguan pun anjlok. Atau itu rusak — Firebase Spark dan instans MongoDB bersama memiliki batasan yang tidak dapat dilampaui. Jika batasan tersebut tercapai, akan ada konsekuensinya.
Kedua Hasilnya Baik
Apakah basis data tersebut akan menjadi tidak berguna atau putus sama sekali — frasa benih milik korban yang sebenarnya tidak pernah sampai ke tangan penyerang dalam bentuk yang dapat dimanfaatkan. Setiap frasa benih yang belum diproses merupakan dompet yang tidak akan dikosongkan.
Kapan Kita Mengaktifkan Sistem Penggenangan Benih?
| Kriteria | Periksa | Mengapa Hal Ini Penting |
|---|---|---|
| Trafik aktif telah dikonfirmasi | Wajib | Platform iklan atau alat pengukur lalu lintas memastikan bahwa pengguna asli benar-benar mengunjungi situs tersebut |
| Analisis anatomi phishing | Wajib | Modul eksfil tingkat gratis telah teridentifikasi sebelum kami melakukan serangan banjir |
| Laporan kasus pelecehan yang diajukan | Wajib | Kami selalu menempuh jalur yang sah secara bersamaan |
| Tidak ada penghentian layanan dalam SLA | Pemicu yang umum | Tidak ada tanggapan dari penyedia layanan pendaftaran domain/hosting dalam waktu yang wajar |
| Situs iklan berbayar dengan volume tinggi | Pemicu langsung | Iklan berbayar berarti kami bertindak tanpa harus menunggu proses birokrasi |
Gambaran yang Lebih Luas
Ekosistem kripto mengalami kerugian miliaran dolar per tahun terhadap phishing. Pihak pertahanan selama ini cenderung bersikap reaktif. PhishDestroy hadir untuk memperkenalkan gangguan proaktif ke dalam siklus ini.
Kami tidak beroperasi secara tertutup. Kami mempublikasikan metodologi kami. Kami menjelaskan teknik-teknik yang kami gunakan. Kami mendokumentasikan perangkat phishing yang kami analisis. Komunitas keamanan berhak mengevaluasi metode-metode anti-phishing, bukan sekadar menggunakan layanan yang bersifat black-box.

Apa yang Bisa Anda Lakukan
- Laporkan ke Google Safe Browsing, PhishTank, dan penyedia layanan pendaftaran domain
- Kirimkan kepada kami — kami memprioritaskan ancaman aktif yang memiliki volume lalu lintas tinggi
- Periksa basis data anatomi kami untuk memahami apa yang sedang Anda lihat
- Sebarkan kesadaran — kebanyakan korban tidak tahu seperti apa tampilan halaman phishing yang menargetkan frasa benih sampai semuanya sudah terlambat
Jika menurut Anda memberi uang kepada para penjahat adalah tindakan yang tidak etis — itu adalah pendapat Anda, dan Anda berhak memegangnya. Kami sudah menyampaikan pendapat kami dengan jelas.


