Minggu lalu, Bu Ratna — pemilik toko batik online di Jogja yang orderannya 90% masuk lewat WhatsApp — telpon saya setengah panik. "Mas, ada yang kirim pesan dari nomor saya ke semua pelanggan minta transfer ke rekening yang bukan rekening saya. Saya nggak ngerti ini gimana bisa terjadi."

Ternyata akunnya sudah diambil alih. Seseorang berhasil menautkan perangkat mereka ke WhatsApp Bu Ratna tanpa sepengetahuannya. Selama empat hari, orang itu membaca semua chat dengan pelanggan, mempelajari pola komunikasinya, lalu mulai mengirim pesan minta transfer atas nama Bu Ratna ke rekening palsu. Tiga pelanggan sudah transfer total Rp 4,7 juta sebelum ada yang sadar.

Kasus Bu Ratna bukan kasus unik. Dan sekarang kita tahu skalanya jauh lebih besar dari yang kita kira.

FBI dan CISA Mengonfirmasi: Ribuan Akun WhatsApp dan Signal Sudah Dibobol

Pada 21 Maret 2026, FBI dan CISA (badan keamanan siber AS) merilis peringatan resmi bahwa aktor yang berafiliasi dengan intelijen Rusia telah berhasil membobol ribuan akun WhatsApp dan Signal di seluruh dunia. Direktur FBI menyatakan kampanye ini menargetkan pejabat pemerintah, militer, politisi, dan jurnalis — tapi teknik yang digunakan bisa menyerang SIAPA SAJA, termasuk pelaku bisnis di Indonesia.

Kenapa ini penting untuk bisnis Indonesia? Karena kita hidup dan berbisnis lewat WhatsApp. Order masuk lewat WhatsApp. Koordinasi tim lewat WhatsApp. Invoice dikirim lewat WhatsApp. Kalau akun WhatsApp bisnis Anda diambil alih, itu bukan sekadar kehilangan akun — itu kehilangan kepercayaan pelanggan dan potensi kerugian finansial yang sangat nyata.

Bagaimana Serangan Ini Bekerja (Sederhana Tapi Mematikan)

Ada dua metode utama yang digunakan, menurut advisory FBI/CISA:

Metode 1 — Minta Kode Verifikasi: Penipu menghubungi Anda berpura-pura jadi "WhatsApp Support" dan meminta kode verifikasi atau PIN. Kalau Anda kasih, akun Anda langsung pindah ke perangkat mereka. Anda kehilangan akses sepenuhnya.

Metode 2 — Link atau QR Code Jahat: Penipu mengirim link atau QR code yang kalau diklik akan menautkan perangkat penipu ke akun WhatsApp Anda — seperti menambah WhatsApp Web baru. Anda TIDAK kehilangan akses, jadi Anda tidak sadar. Tapi penipu bisa membaca SEMUA pesan Anda secara real-time, termasuk riwayat chat.

Metode kedua ini yang paling berbahaya untuk bisnis. Penipu bisa diam-diam membaca semua percakapan Anda dengan pelanggan selama berhari-hari, mempelajari cara Anda berkomunikasi, lalu menyerang pada momen yang tepat.

Persis seperti yang terjadi pada Bu Ratna.

Tutorial: 7 Langkah Mengamankan WhatsApp Bisnis Anda

Langkah 1: Cek Perangkat Tertaut Sekarang Juga

Buka WhatsApp → Titik tiga di kanan atas → Perangkat Tertaut (Linked Devices).

Anda akan melihat daftar semua perangkat yang terhubung ke akun WhatsApp Anda. Kalau ada perangkat yang tidak Anda kenali — misalnya "Chrome - Windows" padahal Anda pakai Mac, atau "Firefox - Linux" padahal Anda tidak pernah pakai Linux — HAPUS SEKARANG. Ketuk perangkat tersebut lalu pilih Keluar (Log Out).

Mas Doni, pemilik percetakan digital di Surabaya yang saya bantu setup sistem IT-nya tahun lalu, menemukan DUA perangkat tidak dikenal saat pertama kali cek. Dia bahkan tidak tahu fitur ini ada. "Saya kira WhatsApp Web cuma bisa satu," katanya. Tidak, Mas Doni. WhatsApp mengizinkan sampai empat perangkat tertaut sekaligus.

Langkah 2: Aktifkan Verifikasi Dua Langkah

Buka WhatsApp → Settings → Account → Two-Step Verification → Aktifkan.

Anda akan diminta membuat PIN 6 digit. PIN ini akan diminta setiap kali ada yang mencoba mendaftarkan nomor WhatsApp Anda di perangkat baru. TANPA PIN ini, penipu yang punya kode verifikasi Anda tetap tidak bisa mengambil alih akun Anda.

PENTING: Jangan pakai PIN yang mudah ditebak seperti 123456, tanggal lahir, atau 000000. Pakai kombinasi yang hanya Anda yang tahu. Dan JANGAN simpan PIN ini di notes di HP — kalau HP hilang, PIN-nya juga hilang.

Langkah 3: Jangan Pernah Bagikan Kode Verifikasi ke Siapapun

WhatsApp TIDAK PERNAH meminta kode verifikasi lewat chat, email, atau telepon. Kalau ada yang mengaku dari WhatsApp dan meminta kode — itu 100% penipuan. Tidak ada pengecualian.

Hal yang sama berlaku untuk kode OTP dari bank, e-wallet, atau layanan apapun. Kode OTP adalah untuk ANDA dan hanya Anda.

Bu Ratna mengaku tidak pernah membagikan kode verifikasi. Akunnya dibobol lewat metode QR code — seseorang mengirim "undangan digital" yang ternyata berisi QR code untuk menautkan perangkat. Sejak saat itu, Bu Ratna punya aturan baru: JANGAN pernah scan QR code dari sumber yang tidak dikenal.

Langkah 4: Buat Protokol Verifikasi Transfer untuk Tim dan Pelanggan

Ini yang paling sering dilewatkan oleh pelaku bisnis. Buat aturan sederhana:

  • Setiap permintaan transfer di atas nominal tertentu (misalnya Rp 500.000) WAJIB dikonfirmasi lewat telepon suara — bukan chat, bukan voice note.
  • Rekening tujuan transfer HANYA yang sudah terdaftar dan dikomunikasikan secara resmi (di website, di invoice resmi, atau di toko fisik).
  • Kalau ada perubahan rekening, WAJIB konfirmasi lewat minimal dua channel berbeda (WhatsApp + telepon, atau WhatsApp + email).

Informasikan protokol ini ke semua pelanggan tetap Anda. Bisa lewat broadcast message atau status WhatsApp. Pelanggan yang aware justru akan lebih percaya dengan bisnis Anda karena Anda terlihat profesional dan peduli keamanan.

Langkah 5: Aktifkan Notifikasi Keamanan WhatsApp

Buka WhatsApp → Settings → Account → Security Notifications → Aktifkan "Show Security Notifications".

Dengan fitur ini aktif, WhatsApp akan memberi tahu Anda setiap kali kode keamanan kontak Anda berubah. Perubahan kode keamanan bisa berarti kontak Anda mengganti HP, menginstal ulang WhatsApp, atau — yang mengkhawatirkan — akun mereka telah diambil alih.

Kalau Anda melihat notifikasi perubahan kode keamanan dari pelanggan atau partner bisnis, dan kemudian mereka minta transfer atau mengubah detail pembayaran, itu red flag besar. Verifikasi lewat telepon dulu.

Langkah 6: Backup Chat Terenkripsi

Buka WhatsApp → Settings → Chats → Chat BackupEnd-to-End Encrypted Backup → Aktifkan.

Kalau terburuk terjadi dan akun Anda diambil alih, backup terenkripsi memastikan Anda bisa memulihkan riwayat chat saat mendapatkan kembali akun. Tanpa backup terenkripsi, penipu yang mengambil alih akun Anda bisa menghapus semua riwayat chat — termasuk bukti transaksi dengan pelanggan.

Langkah 7: Gunakan WhatsApp Business dengan Fitur Keamanan Tambahan

Kalau Anda masih pakai WhatsApp biasa untuk bisnis, pertimbangkan pindah ke WhatsApp Business. Selain fitur bisnis (katalog, profil bisnis, pesan otomatis), WhatsApp Business punya keunggulan keamanan: pelanggan bisa melihat bahwa akun Anda adalah akun bisnis terverifikasi, sehingga lebih sulit bagi penipu untuk meniru identitas bisnis Anda.

Untuk bisnis yang lebih besar, WhatsApp Business API (lewat provider seperti Wati, Twilio, atau 360dialog) memberikan kontrol keamanan lebih ketat lagi, termasuk log aktivitas, kontrol akses per pengguna, dan integrasi dengan sistem CRM.

Apa yang Harus Dilakukan Kalau Akun Anda Sudah Dibobol

  1. Segera login ulang di WhatsApp dengan nomor Anda. Ini akan mengeluarkan penipu dari akun (tapi perangkat tertaut mungkin masih aktif — cek dan hapus semua).
  2. Broadcast ke semua kontak bahwa akun Anda sempat dibobol dan minta mereka mengabaikan pesan mencurigakan yang dikirim atas nama Anda.
  3. Laporkan ke WhatsApp lewat email: support@whatsapp.com dengan subject "Lost/Stolen Account".
  4. Laporkan ke kepolisian — bawa bukti chat dan transfer yang dilakukan penipu.
  5. Hubungi bank untuk memblokir rekening tujuan transfer palsu (kalau sempat).

Bu Ratna berhasil mendapatkan kembali akunnya dalam 24 jam. Tapi dari Rp 4,7 juta yang ditransfer pelanggannya ke rekening palsu, hanya Rp 1,2 juta yang berhasil dikembalikan. Sisanya sudah ditarik.

Keamanan Digital Bukan Pilihan, Ini Kebutuhan Bisnis

Di era di mana sebagian besar transaksi bisnis di Indonesia terjadi lewat WhatsApp, keamanan akun messaging Anda sama pentingnya dengan keamanan rekening bank Anda. Serangan yang diungkap FBI ini bukan sekadar ancaman untuk pejabat pemerintah di Washington — ini ancaman nyata untuk setiap pelaku bisnis yang mengandalkan WhatsApp untuk operasional sehari-hari.

Tujuh langkah di atas bisa Anda lakukan dalam waktu kurang dari 15 menit. Tapi dampaknya bisa melindungi bisnis Anda dari kerugian jutaan rupiah.

Butuh bantuan mengamankan infrastruktur digital bisnis Anda? Wardigi (Warung Digital) menyediakan jasa konsultasi keamanan IT, setup sistem komunikasi bisnis yang aman, dan pelatihan keamanan digital untuk tim Anda. Hubungi kami untuk konsultasi gratis.