Serangan siber terhadap pengguna PayPal kembali meningkat dengan munculnya modus baru bernama TOAD (Telephone-Oriented Attack Delivery). Pelaku menipu korban melalui faktur palsu dan situs kontak perusahaan untuk mencuri data keuangan. Pakar keamanan memperingatkan: jangan membayar dan jangan menelepon nomor yang tercantum. PayPal menegaskan sedang memperkuat sistem deteksi penipuan seiring evolusi taktik para pelaku.
Fokus Utama:
■ Modus baru phishing: Serangan “TOAD” memanfaatkan faktur palsu dan formulir kontak resmi untuk mencuri data pengguna.
■ Ancaman lintas sektor: Penyerang mulai menargetkan industri perbankan, hukum, dan asuransi menggunakan akun email sah yang diretas.
■ Respon PayPal: Perusahaan memperbarui sistem keamanan, memperingatkan pengguna agar tidak menanggapi faktur mencurigakan, dan menindak tegas akun-akun pelaku.
Serangan phishing baru menargetkan pengguna PayPal dengan faktur palsu dan formulir kontak sah. Pakar keamanan menyebut modus ini sebagai TOAD. PayPal memperingatkan pengguna agar tidak membayar atau menelepon nomor dalam email mencurigakan.
Gelombang serangan siber kembali menghantam pengguna PayPal, platform pembayaran digital dengan lebih dari 430 juta pengguna global. Modusnya kali ini lebih licik: pelaku mengirimkan faktur palsu seolah-olah dari PayPal, dan menyertakan nomor kontak palsu untuk menjerat korban.
Pakar keamanan dari KnowBe4, perusahaan keamanan siber berbasis di Amerika Serikat, menyebut metode ini sebagai TOAD (Telephone-Oriented Attack Delivery). “Korbannya menerima email dari alamat resmi PayPal, berisi tagihan pembelian besar yang tidak pernah mereka lakukan, serta nomor yang bisa dihubungi untuk mengajukan keberatan,” ujar analis KnowBe4.
Namun, begitu korban menelepon nomor tersebut, mereka justru tersambung ke penipu yang berusaha menggali informasi sensitif seperti nomor kartu kredit, akun PayPal, bahkan transfer uang langsung.
Serangan TOAD ini semakin berbahaya karena sebagian dikirim melalui alamat email PayPal yang valid. “Email-nya memang asli, tetapi faktur di dalamnya palsu,” kata KnowBe4 seperti dikutip Forbes.
Peneliti keamanan dari Malwarebytes, Pieter Arntz, menemukan varian baru serangan serupa yang dikirim dari akun Gmail sah, bukan dari domain PayPal. “Yang membuatnya menarik untuk dilaporkan adalah skalanya—serangan ini dikirim massal ke banyak alamat sekaligus,” ujarnya.
Meski menggunakan Gmail, sistem autentikasi email seperti SPF, DKIM, dan DMARC tetap lolos pemeriksaan karena pesan dikirim dari server sah milik Google. “Artinya, email itu bukan hasil spoofing, tapi tetap saja bukan dari PayPal,” jelas Arntz.
Isi email pun hampir kosong, hanya berisi lampiran faktur dengan pesan menakutkan: “Akun Anda telah ditagih US$823.00. Pembayaran akan diproses dalam 24 jam. Tidak melakukan pembelian ini? Hubungi PayPal Support sekarang.” Format pesan seperti ini sengaja dibuat untuk menimbulkan kepanikan dan reaksi cepat, teknik klasik dalam phishing.
Ancaman Baru: Click-to-Contact Attack
Selain TOAD, laporan terbaru dari KnowBe4 Threat Lab mengungkap modus lain yang disebut click-to-contact attack. Pelaku memanfaatkan formulir “Contact Us” atau “Book Appointment” di situs resmi perusahaan.
“Penyerang membuat akun Microsoft gratis, mengisi nama dan informasi palsu, lalu mengatur agar semua balasan otomatis diteruskan ke daftar alamat yang mereka kendalikan,” tulis laporan tersebut.
Begitu korban mengisi formulir itu, sistem perusahaan tanpa sadar mengirimkan email otomatis kepada penyerang, membuka jalan bagi phishing dengan kedok komunikasi resmi.
Serangan ini kini menargetkan sektor hukum, perbankan, kesehatan, dan asuransi—industri dengan data sensitif bernilai tinggi.
Respons PayPal: Jangan Bayar, Jangan Telepon
Menanggapi serangan ini, PayPal mengeluarkan imbauan keras. “Kami tidak mentoleransi aktivitas penipuan di platform kami, dan tim kami bekerja tanpa henti untuk melindungi pelanggan,” ujar juru bicara PayPal.
PayPal meminta pengguna tidak membayar atau menanggapi permintaan tagihan mencurigakan, dan segera melapor melalui aplikasi resmi PayPal atau halaman bantuan daring.
Perusahaan juga memperkuat sistemnya melalui kombinasi investigasi manual, algoritma pendeteksi penipuan, dan pemblokiran akun berisiko tinggi.
Konteks Global: Lonjakan Phishing 2025
Menurut laporan IBM X-Force Threat Intelligence Index 2025, phishing menyumbang 33% dari seluruh insiden siber global tahun ini—naik signifikan dibanding 27% pada 2024.
Sementara riset Statista (Oktober 2025) menunjukkan lebih dari 4,5 juta pengguna di seluruh dunia menjadi korban penipuan keuangan berbasis email pada kuartal ketiga 2025 saja.
Dengan meningkatnya konektivitas digital dan sistem pembayaran global seperti PayPal, ancaman ini diperkirakan akan terus tumbuh, terutama di negara-negara dengan penetrasi e-commerce tinggi seperti Amerika Serikat, Korea Selatan, dan Indonesia.
Digionary:
● BCC (Blind Carbon Copy) – Metode pengiriman email ke banyak penerima tanpa menampilkan daftar alamat lain.
● DKIM (DomainKeys Identified Mail) – Sistem autentikasi email untuk memverifikasi asal pesan.
● DMARC (Domain-based Message Authentication, Reporting & Conformance) – Protokol keamanan email yang mencegah pemalsuan alamat.
● KnowBe4 – Perusahaan pelatihan kesadaran keamanan siber asal Amerika Serikat.
● Malwarebytes – Perusahaan keamanan digital yang berfokus pada deteksi malware dan phishing.
● Phishing – Teknik penipuan dengan mengelabui korban agar memberikan data pribadi melalui email atau situs palsu.
● SPF (Sender Policy Framework) – Protokol email untuk memastikan bahwa pengirim sah dari domain yang digunakan.
● TOAD (Telephone-Oriented Attack Delivery) – Modus phishing di mana pelaku meminta korban menghubungi nomor telepon palsu untuk mencuri data.
#PayPal #Cybersecurity #TOADAttack #PhishingAlert #KeamananDigital #SeranganSiber #OnlineFraud #DigitalPayments #ClickToContact #PayPalScam #KnowBe4 #Malwarebytes #DataProtection #FraudPrevention #SecurityAwareness #DigitalSafety #FintechSecurity #ScamWarning #TeknologiKeamanan #Phishing2025
