Editorial — Artikel Opini

Musuh Sejati Bukanlah Penipu. Melainkan Pendaftar yang Mencairkan Cek-ceknya.

Penipu hanyalah sebuah simpul yang murahan dan mudah diganti dalam perekonomian yang dilanda keputusasaan. Pendaftar yang dengan senyuman menerima kripto miliknya — dan ICANN yang enggan meminta pertanggungjawaban darinya — itulah penyakitnya.

PhishDestroyOperasi penelitian independen anti-phishingWaktu baca: 11 menit
Musuh Sejati Bukanlah Penipu — Melainkan Penyedia Layanan Pendaftaran Nama Domain — sebuah artikel opini dari PhishDestroy

Mari kita jujur tanpa tedeng aling-aling mengenai sesuatu yang tidak suka diungkapkan secara terbuka oleh industri anti-penipuan: kebanyakan penipu bukanlah dalang kejahatan. Mereka tidaklah cerdik. Sebagian besar dari mereka bahkan hampir tidak kompeten.

Berhentilah mengejar prajurit-prajurit biasa

Kami telah melacak para pelaku ancaman selama bertahun-tahun. Kami mengamati mereka beralih dari satu modus penipuan ke modus lainnya: hari ini sebagai operator pencurian data, besok sebagai pengembang program penguras dana, dan kuartal depan sebagai toko penjualan data kartu kredit. Kami mengamati mereka memindahkan identitas palsu dan infrastruktur mereka — di Swiss bulan ini, di Turki bulan depan. Mereka tidak pandai bersembunyi. Mereka meninggalkan jejak yang bahkan bisa dilacak oleh analis pemula sekalipun. Sebagian besar dari mereka terjebak dalam "bisnis" ini karena satu alasan sederhana: mereka tidak punya jalan keluar lain dan tidak cukup cerdas untuk melakukan hal yang sah.

Lalu, mengapa masalah ini terus membesar? Karena jumlah pelaku jahat sangat besar, dan memburu mereka satu per satu secara matematis tidak ada gunanya.

Lihat saja platform intelijen Telegram kami sendiri. Ada hampir 130 ribu pelaku jahat hanya dalam satu set data kami saja — dan itu baru satu set data.

4,678
sumber Telegram yang dipantau (4.394 masih aktif)
12,4 juta+
pesan yang terkumpul
129,718
profil pelaku kejahatan siber yang unik
10×
jumlah pengganti yang muncul setiap kali musuh dikalahkan
Tampilan yang telah disunting dari dasbor intelijen Telegram PhishDestroy — sekitar 95.000 akun yang terdeteksi di 3.485 bot yang dipantau, dengan pengenal individu yang disamarkan
Sekilas tinjauan terhadap bot Telegram yang dipantau: 94,972 menemukan akun-akun di seluruh 3,485 bot. Pengenal individu adalah disensor — muncul dalam daftar pengguna bot yang dipantau adalah sebuah petunjuk, bukan putusan.

Tambahkan ribuan pelaku lain yang teridentifikasi melalui penyelidikan sebelumnya oleh tim peneliti lain, dan gambaran yang muncul jelas: Anda tidak bisa mengatasi masalah dengan penangkapan saja pada populasi sebesar ini. Tangkap satu pelaku, satu kelompok — melalui proses hukum yang memakan waktu berbulan-bulan, masalah yurisdiksi lintas batas yang rumit, dan nilai kasus yang jarang menarik minat penegak hukum — dan sepuluh penggantinya akan bermunculan dalam minggu yang sama. Penipu individu hanyalah sebuah simpul yang murah dan mudah diganti.

Perhitungan matematisnya hanya akan berubah jika kondisi ekonominya diubah. Selama penipuan tetap murah — domain murah, penyedia layanan pendaftaran domain yang tidak menanyakan apa pun, pembayaran kripto tanpa verifikasi sama sekali — penipuan akan tetap marak. Satu-satunya strategi yang bisa diterapkan secara luas adalah membuat penipuan menjadi mahal. Dan hal itu mengarah langsung kepada pihak-pihak yang saat ini membuat penipuan tetap murah:

Petugas pendaftaran.

Angka-angka menunjukkan bahwa ini adalah krisis. Namun, industri tersebut berpura-pura seolah-olah ini hanya masalah cuaca.

Ini bukan pendapat kami. Inilah kondisi internet yang tercatat:

FBI IC3 · 2024

$16B lost, +33% YoY

IC3 FBI diterima 859.532 keluhan pada tahun 2024 dengan kerugian yang dilaporkan melebihi $16 billion — meningkat 33% dibandingkan tahun 2023 — dan kejahatan siber dengan jumlah pengaduan terbanyak adalah phishing/spoofing. Hampir 150.000 pengaduan berkaitan dengan aset digital, dengan jumlah mencapai $9.3 billion dalam kerugian — naik 66% dibandingkan tahun sebelumnya.

Antarpulau · 2025

Kasus phishing meningkat 180% sejak 2021

Studi tahunan Interisle Consulting, yang menganalisis hampir empat juta laporan phishing antara Mei 2024 dan April 2025, menemukan bahwa jumlah laporan phishing mencapai hampir dua juta serangan — peningkatan lebih dari 180% sejak tahun 2021. Laporan yang sama menyoroti betapa mudahnya para penjahat memanfaatkan kebijakan industri dan praktik bisnis yang longgar untuk memperoleh nama domain.

Baca kembali kalimat terakhir itu. Penelitian independen terkemuka di bidang ini menyatakan persis seperti yang kami katakan: faktor pendorongnya adalah praktik industri yang permisif. Bukan kecerdikan para penipu. Melainkan sikap permisif. Dan konsentrasi membuktikannya: Interisle menemukan bahwa dalam satu kampanye, sampel sebanyak 37.000 nama domain Penipuan Tol Belum Dibayar menunjukkan 65% di antaranya didaftarkan melalui satu penyedia layanan pendaftaran domain asal Tiongkok.

Ekonomi penipuan tidak tersebar secara acak di internet. Ekonomi tersebut terkonsentrasi di sekitar pendaftar domain tertentu — karena para penipu mencari kerahasiaan.

Penyedia layanan pendaftaran domain bukanlah pihak yang netral. Mereka adalah pihak yang dibayar untuk terlibat.

Ada anggapan umum yang nyaman bahwa penyedia layanan pendaftaran domain adalah "infrastruktur netral" — penyedia layanan pasif yang tidak memiliki kepentingan apa pun terhadap apa yang terjadi pada domain yang mereka jual.

Ini bohong. Penyedia layanan pendaftaran domain adalah pihak yang berorientasi pada keuntungan, yang secara langsung memperoleh pendapatan dari setiap domain phishing yang tidak mereka suspend. Setiap laporan penyalahgunaan yang diabaikan berarti pendapatan yang terjamin. Setiap jawaban "kami tidak bisa menilai konten" hanyalah keputusan bisnis yang disamarkan sebagai landasan hukum.

Para penipu tidak memilih penyedia layanan pendaftaran domain berdasarkan halaman harga atau desainnya. Mereka memilih penyedia yang tidak akan mengajukan pertanyaan, tidak akan menangguhkan domain, bersedia menerima pembayaran kripto tanpa verifikasi, dan akan membiarkan laporan penyalahgunaan berlalu begitu saja. Itulah pasar. Itulah produknya. Dan data dari industri itu sendiri menunjukkan siapa yang menjualnya. Per Temuan Interisle, lima pendaftar gTLD teratas berdasarkan volume phishing mentah adalah NameSilo, GoDaddy, GMO (Onamae), PublicDomainRegistry, dan NameCheap; jika dinormalisasi berdasarkan domain yang dikelola, yang paling sering disalahgunakan adalah NiceNIC, URL Solutions, Aceville, WebNic, dan OwnRegistrar — di mana 45% dari portofolio gTLD NiceNIC dilaporkan terlibat dalam aktivitas phishing.

Empat puluh lima persen dari portofolio tersebut dilaporkan terlibat dalam aksi phishing. Pada titik mana "infrastruktur netral" berubah menjadi "rantai pasokan kriminal"?

Siapa yang mengawasi para pendaftar domain? Secara teknis, ICANN. Namun dalam praktiknya, tidak ada yang mengawasinya.

Di atas para pendaftar terdapat ICANN. Di atas ICANN tidak ada siapa pun.

Sebuah URL phishing yang disamarkan dengan segel akreditasi sementara dunia kripto terus merosot — celah penegakan aturan di ICANN
Akreditasi sebagai sekadar formalitas belaka: Pasal 3.18 RAA mewajibkan lembaga pendaftaran untuk menindak penyalahgunaan — namun, sistem kepatuhan di mana kepatuhan bersifat opsional bukanlah regulasi.

Perjanjian Akreditasi Pendaftar ICANN Tahun 2013, Bagian 3.18, mewajibkan secara kontrak setiap pendaftar terakreditasi untuk menyediakan saluran kontak pelaporan penyalahgunaan serta mengambil langkah-langkah yang wajar dan segera guna menyelidiki dan menanggapi laporan penyalahgunaan tersebut dengan tepat. Secara tertulis — suatu kewajiban yang dapat ditegakkan.

Dalam praktiknya? Berdasarkan apa yang kami saksikan setiap hari di garis depan, kami memperkirakan bahwa satu pendaftar domain yang memfasilitasi penyalahgunaan setidaknya melanggar pasal 3.18 ~1.000 kali setahun — laporan yang diabaikan, “penyelidikan” semu, serta domain phishing yang dibiarkan aktif selama berminggu-minggu sementara para korban terus menderita. Jika hal ini diterapkan secara luas di seluruh industri selama lima tahun, jumlah sebenarnya dari kegagalan sekelas 3,18 kemungkinan besar mencapai satu juta laporan yang diabaikan atau ditangani secara keliru. Tak ada yang tahu angka pastinya, karena tak ada yang diwajibkan untuk menghitungnya. Itulah intinya.

Lalu bagaimana dengan perangkat penegakan aturan ICANN? Pada dasarnya hanya satu tombol nuklir: mencabut akreditasi. Tidak ada denda. Tidak ada sanksi berjenjang. Tidak ada ganti rugi bagi korban. Dan tombol itu hampir selalu ditekan terhadap pendaftar yang sudah mati — perusahaan cangkang yang berhenti membayar biaya. Mengapa? Karena ICANN didanai oleh biaya dari pendaftar yang justru “diatur” olehnya. Memutus hubungan dengan pendaftar besar, menguntungkan, dan sering melakukan penyalahgunaan berarti memotong pendapatan ICANN sendiri. Secara struktural, ICANN tidak mungkin ingin menegakkan aturan.

ICANN secara simbolis mengambil alih peran sebagai regulator — tepatnya untuk menjaga kemandiriannya dan mencegah campur tangan pemerintah. Hasilnya: sebuah aturan yang tidak ditakuti oleh para pendaftar nama domain. Ya, memang ada presedennya — pemberitahuan kepatuhan dan peringatan (Kasus WebNIC (di antaranya). Lihatlah konsekuensinya. Sebuah surat yang ditulis dengan nada tegas versus model bisnis yang menghasilkan jutaan. Sistem kepatuhan yang mengizinkan kepatuhan bersifat opsional bukanlah regulasi. Itu hanyalah sandiwara.

Studi kasus: NameSilo — "yang paling cepat berkembang," yang paling cepat mengabaikan

NameSilo adalah perusahaan yang terdaftar di bursa saham. Perusahaan ini menyerahkan laporan ke bursa saham yang menunjukkan pendapatan mencapai jutaan, serta mempromosikan diri sebagai salah satu penyedia layanan pendaftaran domain dengan pertumbuhan tercepat di dunia. Selain itu, berdasarkan penelitian independen yang disebutkan di atas, perusahaan ini juga menduduki peringkat teratas dalam hal volume phishing mentah. Kebetulan? Inilah yang kami saksikan secara langsung:

Tercatat

Dua puluh laporan, lalu "tidak ada laporan sebelumnya"

Kami telah melaporkan sebuah situs phishing ke NameSilo. Bukan hanya sekali — setidaknya 20 laporan yang tercatat di domain tersebut, disertai bukti, tangkapan layar, salinan pindaian, dan analisis. Tak ada tindakan apa pun hingga kami mengangkat kasus ini ke ranah publik di Twitter/X. Tanggapan publik NameSilo: bahwa mereka "belum menerima laporan sebelumnya." Sebuah registrar yang terdaftar di bursa saham, yang dihadapkan pada bukti terdokumentasi mengenai dua puluh laporan penyalahgunaan yang diabaikan, secara terbuka mengklaim bahwa laporan-laporan tersebut tidak ada. Hal ini bisa jadi disebabkan oleh sistem penanganan penyalahgunaan yang rusak yang mereka tolak untuk diperbaiki, atau sebuah kebohongan publik. Keduanya tidak dapat diterima — dan keduanya menguntungkan.

Berapa banyak permintaan perlindungan bagi pengguna di AS yang diabaikan begitu saja oleh NameSilo demi menghindari kerugian pendapatan? Kami akan menjawab berdasarkan pengalaman: bukan hanya banyak — kami yakin sebagian besar. Dan sama sekali tidak ada pertanggungjawaban atas hal itu.

Bahkan lebih dari itu. NameSilo secara terbuka menjelaskan bahwa mereka telah membantu seorang klien — klien yang menurut mereka tidak pernah menerima keluhan apa pun — agar deteksi VirusTotal dihapus. Simak penjelasannya:

  • Diminta untuk menangguhkan domain phishing: "Kami tidak memiliki kewenangan untuk menentukan apa yang bersifat berbahaya."
  • Membantu klien yang telah membayar: tiba-tiba berwenang untuk membatalkan keputusan deteksi yang dikeluarkan oleh vendor keamanan Fortune 500.

Anda tidak bisa menggunakan ketidakmampuan teknis sebagai tameng sekaligus mengklaim otoritas teknis sebagai layanan. Pilih salah satu saja. Ini bukan kebetulan dan bukan pula kasus yang terisolasi. Ini adalah pola yang berulang: mengutamakan uang, tidak berbuat apa-apa, dan tidak bertanggung jawab kepada siapa pun.

Seberapa berharganya sebenarnya akreditasi ICANN: Trustname, saat ini

Konflik kepentingan ini bersifat struktural dan sederhana: Sebuah badan pengatur tidak boleh memperoleh pendapatannya secara langsung dari pihak-pihak yang diaturnya. ICANN memang melakukannya — dan kami memahami bahwa sekitar 400 pegawainya itu, tak diragukan lagi, sedang disibukkan dengan urusan-urusan yang lebih mendesak daripada keselamatan para pengguna yang dompetnya menjadi sasaran pengurasan oleh domain-domain tersebut.

Inilah nilai akreditasi tersebut dalam praktiknya, seperti yang terjadi saat ini. Pertimbangkan Nama Perwalian (Fewmoretaps OÜ) — sebuah perusahaan pendaftar nama domain yang kami didokumentasikan secara terperinci. Secara resmi, ini adalah perusahaan Estonia; namun secara operasional, perusahaan ini dikelola dari Belarus oleh seorang pemilik sekaligus pengelola — pemegang saham 100%, CEO, dan satu-satunya karyawan perusahaan tersebut. Pendapatan yang dilaporkan untuk tahun 2024: €120. Perusahaan ini baru mulai menjual domain secara serius pada tahun ini. Dan akreditasi ICANN-nya (IANA #4318) adalah masih beroperasi meskipun perusahaan tersebut sedang dalam proses likuidasi. Dari sekitar 7.641 domain yang dikelolanya, 86% dari yang masih aktif telah dipastikan berbahaya.

Inilah pihak yang diberi tanda kepercayaan oleh ICANN. Dan ini bukanlah penilaian kami mengenai cara mereka menangani penyalahgunaan — melainkan penilaian Trustname sendiri kebijakan penanggulangan pelecehan yang diterbitkan sendiri:

“Berdasarkan pedoman ICANN, dalam kebanyakan kasus, untuk mengambil tindakan terhadap sebuah domain, pendaftar domain harus menerima perintah pengadilan yang sah atau persetujuan dari pemilik domain.”

“Laporan yang diterima semata-mata melalui sistem analisis ancaman otomatis diperlakukan sebagai petunjuk penyelidikan, bukan bukti yang bersifat konklusif… Trustname juga dapat meminta konfirmasi bahwa dugaan penyalahgunaan tersebut masih berlangsung pada saat peninjauan.”

“Laporan penyalahgunaan yang dikirim melalui layanan email gratis atau anonim (misalnya, @gmail.com, @proton.me) akan melalui proses verifikasi tambahan.”

“Kami tidak menentukan keabsahan konten suatu situs dan hanya akan bertindak atas arahan penegak hukum atau dalam kasus-kasus yang jelas melanggar ketentuan kami.”

Jika dilihat sebagai sebuah sistem, desainnya sangat jelas: sebuah desain yang valid putusan pengadilan menyentuh suatu domain; temuan nyata diturunkan statusnya menjadi sekadar “petunjuk”; permintaan agar Anda mengonfirmasi kembali penipuan tersebut adalah masih hidup pada saat peninjauan — setelah mereka menunda-nunda cukup lama; “verifikasi” tambahan bagi siapa pun yang melapor melalui Gmail atau Proton; serta penolakan mutlak untuk menilai konten, dengan sopan diarahkan ke “hubungi penyedia hosting Anda.” Gabungkan itu dengan sistem perlindungan privasi milik pendaftar domain yang menerima pembayaran kripto dan mengabaikan surat fisik, dan Anda tidak akan memiliki proses penanganan penyalahgunaan. Yang Anda miliki adalah tahan peluru berkat dokumen — dan tertulis di kop surat sebuah registrar yang terakreditasi oleh ICANN.

Hal ini secara langsung menuduh ICANN. Sebuah entitas yang dikelola oleh Belarus, beranggotakan satu orang, dengan pendapatan €120 — yang sedang dalam proses likuidasi — masih memegang akreditasi yang aktif dan secara terbuka mempublikasikan kebijakan yang dirancang sedemikian rupa agar tidak pernah menangguhkan apa pun. Alat terkuat yang dimiliki ICANN sebagai tanggapan hanyalah sebuah surat; tanggapan yang kami lihat terhadap surat-surat semacam itu adalah pembaruan Ketentuan, bukan penangguhan. Sebuah badan pengawas yang sanksi tertingginya hanyalah sebuah surat — yang dibalas dengan revisi terhadap Ketentuan — bukanlah sebuah badan pengawas. Sementara itu, setiap hari, orang-orang biasa mengalami kerugian finansial akibat .com dan domain-domain lain yang melewati operator-operator semacam ini sementara proses administrasi berlarut-larut. Tiga perintah pengadilan untuk menonaktifkan halaman phishing yang masih aktif bukanlah proses hukum yang semestinya; itu hanyalah sandiwara, dan ICANN turut mendukung sandiwara tersebut dengan memberikan akreditasi kepada operator-operator yang menuntut hal itu.

Trustname bukanlah kecelakaan yang tak terduga; itulah yang terjadi ketika proses akreditasi dilakukan dengan sembarangan dan tanpa pertanggungjawaban. Beberapa yurisdiksi Uni Eropa — termasuk Estonia di antaranya (yang menjadi tempat berdirinya sejumlah besar perusahaan cangkang semacam itu, Keitaro (termasuk), serta Inggris dengan proses pendirian perusahaan yang sangat murah — menjual akses ke perusahaan dan layanan dengan harga yang mengabaikan proses verifikasi yang sesungguhnya. Akibatnya, tercipta lingkungan yang sarat ketidakpercayaan, bahkan bagi bisnis yang sah, karena tidak ada yang memeriksa dan tidak ada yang bertanggung jawab. Kami juga menemui berbagai varian hambatan perintah pengadilan yang sama dengan operator-operator berkode negara tertentu; hal tersebut akan kami dokumentasikan secara terpisah.

// The regulator that isn’t

Apa yang dimiliki oleh sebuah badan pengatur yang berfungsi dengan baik

  • Denda berjenjang yang disesuaikan dengan tingkat kerugian yang ditimbulkan
  • Hukuman yang tidak berupa hukuman mati
  • Ganti rugi disalurkan kepada para korban
  • Audit independen — bukan pernyataan sendiri
  • Pendanaan yang tidak bergantung pada pihak yang diatur
  • Kemampuan untuk menghentikan bahaya yang sedang terjadi dalam hitungan jam

Apa yang dimiliki ICANN

  • Satu sanksi: surat yang bernada tegas
  • Hanya untuk menghentikan — umumnya digunakan pada shell yang sudah mati
  • Nol denda. Nol ganti rugi.
  • Kepatuhan terhadap sistem kehormatan dan pernyataan mandiri
  • Dibiayai oleh iuran dari para pendaftar yang “diberi pengawasan” olehnya
  • Korban kekerasan dibiarkan hidup selama berminggu-minggu karena tuntutan “perintah pengadilan”
€120Pendapatan Trustname yang diumumkan untuk tahun 2024
86%dari domain aktifnya, yang berbahaya
$0denda yang dapat dikenakan oleh ICANN
1alat penegakan — sebuah surat

ICANN tidak gagal dalam mengatur perekonomian domain.
Memang tidak pernah dirancang untuk itu.

Solusinya jelas: denda dan pertanggungjawaban

Kami tidak meminta kewenangan sensor. Kami meminta apa yang sudah dimiliki oleh setiap industri lainnya: konsekuensi finansial atas kelalaian dalam memenuhi kewajiban kontrak.

Denda berjenjang

  • Apakah penyedia layanan pendaftaran mengabaikan tiga laporan penyalahgunaan yang didukung bukti — termasuk bukti, salinan digital, dan analisis yang dilampirkan — terkait domain berbahaya yang sama? Sanksi otomatis.

Tanggung jawab terhadap para korban

  • Denda yang harus dibayarkan kepada korban, atau kepada negara tempat tindak pidana tersebut terjadi.
  • Jika seorang pengguna di AS mengalami kerugian dana akibat domain phishing yang telah diperingatkan kepada penyedia layanan pendaftaran domain namun tidak ditindaklanjuti — penyedia layanan pendaftaran domain tersebut turut bertanggung jawab karena gagal memenuhi kewajibannya yang tegas untuk meminimalkan kerugian.

Transparansi publik

  • Kewajiban transparansi pelaporan kasus pelecehan publik — jumlah laporan yang diterima, waktu respons, serta tindakan yang diambil — dipublikasikan setiap tiga bulan dan dapat diaudit.
  • NameSilo tidak akan pernah bisa menyatakan "tidak ada laporan sebelumnya" terkait log publik.

Audit independen

  • Audit independen terhadap penanganan kasus pelecehan sebagai syarat perpanjangan akreditasi — bukan pernyataan mandiri.

Para pendaftar akan beralasan bahwa mereka "tidak bisa diharapkan untuk menentukan apa itu phishing." Pertanyaan balik: kalian mampu menerima uang dan menandatangani kewajiban akreditasi — tapi tidak mampu memenuhinya? Jika sebuah registrar benar-benar tidak mampu mengevaluasi laporan penyalahgunaan yang dilengkapi bukti, maka tidak pantas bagi mereka untuk memegang akreditasi yang secara kontrak mewajibkan hal tersebut.

Apa yang seharusnya menggantikannya: sebuah buku besar pelanggaran yang terbuka dan real-time

Kami tidak mengusulkan dibentuknya ICANN kedua — kami tidak membutuhkannya. Dua sistem penopang utama internet sudah menunjukkan gambaran jawabannya: Transparansi Sertifikat TLS/SSL dan WHOIS — catatan yang terbuka, dapat dicari, dan bersifat publik. Penanganan penyalahgunaan seharusnya berjalan dengan cara yang sama: daftar yang jelas dan terbuka mengenai setiap laporan pelanggaran yang diterima oleh lembaga pendaftaran, beserta tindakan spesifik yang diambilnya sebagai tanggapan — dilengkapi cap waktu, dapat diaudit, dan tidak dapat disangkal setelah kejadian.

Dengan adanya buku besar tersebut, sebagian besar teater masa kini pun runtuh:

  • Tidak ada perintah pengadilan luar negeri untuk menghentikan ancaman yang sedang terjadi. Halaman phishing yang menguras dompet merupakan ancaman yang nyata dan langsung; untuk memblokirnya, seharusnya tidak perlu menunggu putusan pengadilan dari suatu pulau di wilayah lepas pantai. Buktinya tercantum dalam laporan, dan catatan publik menunjukkan apakah pihak pendaftar telah mengambil tindakan.
  • Proses triase dapat dilakukan secara otomatis. Penyedia layanan pendaftaran domain bersikeras bahwa mereka kewalahan oleh “serangan” dan laporan sampah — yang justru merupakan jenis penyaringan yang Lapisan AI berfungsi dengan baik: menyaring informasi yang tidak relevan, menonjolkan kasus-kasus yang didukung bukti, dan mencatat setiap keputusan. Sebuah sistem sederhana dan jujur yang dipasang di depan alur penanganan penyalahgunaan sudah pasti akan lebih unggul daripada proses manual yang tidak terstruktur saat ini. Anda tidak memerlukan sosok nomor dua di ICANN untuk itu.
  • Alasan itu tidak berlaku lagi. Penyedia layanan pendaftaran domain mendapat bayaran dari setiap domain yang dijualnya; menangani penyalahgunaan merupakan bagian lain dari transaksi tersebut, bukan sekadar layanan tambahan. Alasan NameSilo yang selalu mengatakan “kami tidak memiliki kualifikasi” hanyalah keputusan bisnis, bukan batasan teknis — dan perusahaan yang benar-benar tidak mampu membedakan antara kit phishing dan lalu lintas yang sah seharusnya fokus pada bisnis lainnya, bukan secara otomatis mendukung operasi penipuan dan phishing.
  • Tidak ada lagi alasan “kami tidak pernah menerima laporan.” WebNic dan NiceNic membalas kami dengan balasan otomatis yang meminta tangkapan layar yang sebenarnya sudah dilampirkan pada laporan tersebut; NameSilo menyatakan kepada publik bahwa “belum pernah ada satu keluhan pun.” Tak satu pun dari tindakan tersebut dapat bertahan saat dikonfrontasikan dengan catatan publik yang dilengkapi cap waktu.

Dan buku besar itu menghasilkan satu konsekuensi yang paling penting dapat ditegakkan. Ketika seorang korban kehilangan uangnya akibat domain beberapa hari kemudian Laporan yang didukung bukti sudah ada dalam arsip — dan catatan publik menunjukkan bahwa petugas pendaftaran menunda-nunda penanganannya — sehingga hal ini tidak lagi merupakan wilayah abu-abu yang disayangkan. Ini adalah kegagalan yang tercatat dengan cap waktu, dan petugas pendaftaran harus bertanggung jawab secara finansial atas insiden spesifik tersebut.

Tentukan saja denda bagi penyedia layanan pendaftaran domain yang membiarkan dana di dompetnya terkuras habis setelah kami memperingatkannya, dan setiap penyedia layanan pendaftaran domain di dunia akan langsung menunjukkan kompetensinya dalam semalam.

Itulah keseluruhan mekanismenya. Begitu biaya mengabaikan sebuah laporan melebihi biaya menindaklanjutinya, dalih “kami tidak memiliki kewenangan” pun berakhir, unit penanganan pelaporan penyalahgunaan tiba-tiba mendapatkan anggaran dan tenaga kerja, dan para penipu yang berusaha membeli kebisuan menyadari bahwa tidak ada lagi yang bisa dibeli — lalu diam-diam meninggalkan domain-domain yang semula mereka andalkan.

Keterbukaan adalah solusinya. Anda tidak bisa diam-diam mengabaikan laporan yang terlihat oleh semua orang bahwa Anda telah menerimanya.

Intinya

$16 billion in reported losses in a single year. Phishing up 180% since 2021. 130,000 malicious actors in one monitoring dataset alone. And the entire pipeline still starts the same way: a cheap domain, sold by a registrar that will never answer for its silence.

Penipu hanyalah gejalanya — sebuah simpul yang bisa diganti dan umumnya kurang cerdas dalam perekonomian yang dilanda keputusasaan. Pihak pendaftar yang dengan senyuman menerima kripto miliknya, mengabaikan dua puluh laporan penyalahgunaan, lalu berbohong tentang hal itu di depan umum — itulah penyakitnya. Dan "regulasi" ICANN yang sekadar hiasan itulah sistem kekebalan yang memilih untuk tidak bertindak.

Penipuan akan tetap merajalela selama hal itu masih murah. Dan hal itu akan tetap murah selama para pendaftar domain tetap diam — dan tidak dikenakan biaya apa pun atas kebisuan mereka.

Kami akan terus menyebut nama-nama mereka. Kami akan terus mempublikasikan bukti-bukti. Penyedia layanan pendaftaran domain tidak netral. Impunitas adalah model bisnis mereka. Sudah waktunya membuat hal itu menjadi mahal.

Sumber & referensi

  1. Pusat Pengaduan Kejahatan Internet FBI (IC3) — Laporan Kejahatan Internet 2024 (859.532 pengaduan; kerugian yang dilaporkan sebesar $16,6 miliar; phishing/spoofing menempati peringkat pertama berdasarkan jumlah pengaduan).
  2. Interisle Consulting Group — Lanskap Phishing Tahun 2025 (≈2 juta serangan phishing; naik 180% sejak 2021; konsentrasi pada pendaftar domain/TLD; sampel penipuan tagihan yang melibatkan 37.000 domain).
  3. ICANN — Perjanjian Akreditasi Pendaftar Tahun 2013, Pasal 3.18 (kontak khusus untuk kasus pelecehan; kewajiban untuk mengambil langkah-langkah yang wajar dan segera guna menyelidiki dan menanggapi kasus pelecehan).
  4. Kepatuhan Kontrak ICANN — Pemberitahuan Pelanggaran kepada Web Commerce Communications (WebNic), 29 Juli 2025.

Angka-angka tersebut diambil dari sumber-sumber primer di atas; penafsiran dan komentarnya merupakan pandangan para penulis.

Sebutkan pihak yang memfasilitasi. Tentukan harga untuk diam.

Tim PhishDestroy — Sebuah inisiatif penelitian independen tentang anti-phishing