PayPal mengeluarkan peringatan global “Do Not Pay, Do Not Phone” setelah gelombang serangan siber terbaru menggunakan email resmi perusahaan untuk mengirim tagihan palsu. Pengguna diimbau tidak membayar atau menelepon nomor yang tercantum karena diarahkan ke sindikat peretas yang menyamar sebagai layanan pelanggan resmi. Modus ini dikenal sebagai Telephone-Oriented Attack Delivery (TOAD), dan tengah menyebar cepat di seluruh dunia.
Fokus Utama:
● Serangan phishing baru menyamar lewat tagihan resmi PayPal dengan alamat email asli untuk menipu pengguna.
● PayPal mengimbau pengguna agar tidak membayar atau menelepon nomor yang tertera dalam email mencurigakan.
● Serangan ini menunjukkan evolusi taktik kejahatan siber global yang memanfaatkan kepercayaan terhadap merek besar.
PayPal mengeluarkan peringatan global “Do Not Pay, Do Not Phone” setelah serangan phishing menggunakan email resmi perusahaan. Modus baru ini menargetkan pengguna global dengan tagihan palsu. Ketahui cara menghindarinya.
Di era transaksi digital yang makin masif, serangan siber kini memanfaatkan kepercayaan publik terhadap nama besar seperti PayPal. Pekan ini, perusahaan pembayaran global itu mengeluarkan peringatan keras bertajuk “Do Not Pay, Do Not Phone”, setelah maraknya laporan pengguna yang menerima tagihan palsu dari email PayPal resmi.
Modusnya canggih. Pengguna menerima email tagihan dengan alamat asli PayPal—bukan tiruan. Isinya menampilkan tagihan pembelian besar yang tak pernah dilakukan korban, disertai nomor telepon untuk mengajukan keberatan. Begitu nomor itu dihubungi, penelepon justru tersambung ke operator palsu, yakni anggota sindikat siber yang berpura-pura sebagai staf PayPal.
Menurut analis keamanan dari KnowBe4, serangan ini merupakan bentuk Telephone-Oriented Attack Delivery (TOAD). “Kejahatan ini meniru komunikasi resmi dengan tujuan menciptakan rasa panik dan mendesak korban untuk segera menelepon,” ujar Roger Grimes, CISO Advisor KnowBe4. “Begitu korban menelepon, mereka diminta membagikan data kartu kredit atau membayar biaya ‘pengamanan akun’. Padahal semua itu jebakan.”
PayPal sendiri mengakui bahwa email tersebut memang dikirim dari sistem mereka, tetapi isinya direkayasa pelaku yang membuat akun palsu untuk memanfaatkan fitur faktur (invoice). Karena datang dari domain resmi, email ini lolos dari filter keamanan—menjadikannya salah satu bentuk serangan paling sulit dideteksi.
Perusahaan menyarankan pengguna untuk tidak menekan tautan, membuka lampiran, atau menghubungi nomor telepon yang tertera dalam email mencurigakan. Sebaliknya, pengguna diminta masuk langsung ke aplikasi atau situs PayPal untuk memeriksa transaksi.
Dalam pernyataan resminya, juru bicara PayPal menegaskan, “Kami tidak mentoleransi aktivitas penipuan di platform kami. Tim kami bekerja tanpa henti untuk melindungi pelanggan dan terus memperbarui sistem deteksi penipuan.” PayPal juga mengingatkan agar pengguna mengaktifkan autentikasi dua faktor (2FA) dan menggunakan passkey sebagai langkah pencegahan tambahan.
Fenomena ini menandai peningkatan pesat dalam serangan berbasis rekayasa sosial (social engineering). Data dari Cybersecurity Ventures memperkirakan kerugian akibat kejahatan siber global akan mencapai US$10,5 triliun per tahun pada 2025, naik tajam dari US$3 triliun satu dekade lalu.
Di Amerika Serikat, Federal Trade Commission (FTC) mencatat lebih dari 1 juta laporan penipuan digital pada semester I-2025, dengan kerugian melampaui US$4,1 miliar. Sebagian besar terjadi lewat platform populer seperti PayPal, Amazon, dan Google Pay.
Sebagai bagian dari upaya edukasi, PayPal meluncurkan kampanye global “Smarter Than Scams” bersama Financial Technology Association untuk meningkatkan literasi keamanan digital masyarakat. Perusahaan juga bermitra dengan Better Business Bureau dan Aspen Institute guna memperluas jangkauan edukasi anti-penipuan.
Intinya: jika Anda menerima tagihan mencurigakan—meskipun dari email PayPal asli—jangan membayar, jangan menelepon, dan jangan panik. Cek langsung di akun resmi Anda sebelum mengambil langkah apa pun.
Digionary:
● 2FA (Two-Factor Authentication): Sistem keamanan tambahan yang meminta dua bentuk verifikasi sebelum login.
● FTC (Federal Trade Commission): Lembaga pemerintah AS yang menangani perlindungan konsumen.
● Invoice Phishing: Penipuan dengan mengirimkan tagihan palsu yang tampak sah untuk mencuri data keuangan.
● KnowBe4: Perusahaan keamanan siber global yang fokus pada edukasi dan pencegahan phishing.
● Passkey: Teknologi autentikasi baru yang menggantikan kata sandi dengan kunci kriptografi unik.
● Phishing: Upaya memperoleh data pribadi melalui pesan palsu yang tampak resmi.
● Smarter Than Scams: Kampanye global PayPal untuk edukasi anti-penipuan digital.
● Social Engineering: Teknik manipulasi psikologis untuk menipu korban agar memberikan informasi sensitif.
● TOAD (Telephone-Oriented Attack Delivery): Serangan siber berbasis telepon yang memanfaatkan rasa takut atau urgensi.
#PayPal #PhishingAttack #DoNotPayDoNotPhone #CyberSecurity #DigitalFraud #ScamAlert #OnlineSafety #TOAD #TechNews #DataProtection #FraudPrevention #HackerAlert #CyberAwareness #DigitalTrust #InternetSecurity #KnowBe4 #PayPalScam #OnlineThreats #FintechSecurity #PrivacyProtection
