ID
EN
Cara Menghindari Account Takeover
Blog
28 Feb 2025
Diperbarui pada 08 Mei 2025

Keamanan akun digital merupakan salah satu aspek krusial dalam dunia bisnis modern. Jika diabaikan, akun bisnis Anda berisiko mengalami kebocoran data, kerugian finansial, hingga hilangnya kepercayaan pelanggan.  Salah satu ancaman kejahatan digital yang perlu Anda waspadai adalah account takeover.  

 

Apa itu account takeover? Mengapa account takeover berbahaya bagi bisnis? Apa saja dampak dan cara pencegahannya? Simak penjelasan selengkapnya di bawah ini! 

 

Apa itu Account Takeover? 

Account takeover (ATO) adalah bentuk kejahatan siber di mana pelaku meretas atau mengambil alih akun tanpa izin. Biasanya, peretas mendapatkan akses dengan mencuri kredensial login, seperti username dan password, melalui metode phishing, malware, atau serangan brute force. Setelah berhasil masuk, peretas dapat menyalahgunakan akun tersebut untuk berbagai tujuan. Misalnya mencuri informasi pribadi, melakukan transaksi ilegal, atau menyebarkan serangan ke akun lain. 

 

Serangan account takeover sering kali menargetkan akun yang memiliki nilai finansial atau akses ke data sensitif, seperti akun perbankan, e-commerce, media sosial, dan layanan digital lainnya. Menurut data Otoritas Jasa Keuangan, 10 bank terbesar di Indonesia tercatat mengalami kerugian nasabah mencapai Rp2,5 triliun dalam periode 2022-2024. Kerugian ini disebabkan oleh banyaknya nasabah yang tanpa sadar membagikan kode OTP kepada pelaku penipuan sehingga akun bank mereka diambil alih.   

 

Di Singapura, kasus penipuan account takeover mengalami lonjakan dua kali lipat hanya dalam satu tahun. Di balik angka-angka kerugian tersebut, terdapat tabungan dan biaya hidup korban yang hilang dalam sekejap. Saking berbahayanya situasi ini, account takeover telah menjadi masalah global.  

 

Penyebab Account Takeover 

Bagaimana account takeover terjadi? Jawabannya ada di penjelasan berikut ini:

 

  • Kebocoran Data 

Kebocoran data terjadi ketika informasi sensitif, seperti username dan password, bocor akibat peretasan sistem atau kelalaian dalam menyimpan data. Data yang bocor sering kali diperjualbelikan di dark web  sehingga penjahat siber dapat dengan mudah mengakses akun korban. 

 

  • Phishing 

Phishing yaitu metode penipuan di mana pelaku menyamar sebagai pihak tepercaya, seperti bank atau layanan digital, untuk mengelabui korban agar memberikan informasi login mereka. Biasanya, phishing dilakukan melalui email, pesan teks, atau situs web palsu yang terlihat meyakinkan. 

 

  • Aplikasi Hacking 

Beberapa aplikasi atau perangkat lunak ilegal dirancang untuk mencuri kredensial akun pengguna. Aplikasi ini sering menyamar sebagai tools gratis atau aplikasi modifikasi, tetapi sebenarnya berisi malware yang mencatat aktivitas pengguna, termasuk login dan password mereka. 

 

  • Pencurian Dokumen 

Pelaku kejahatan dapat mengambil alih akun seseorang dengan mencuri dokumen yang berisi informasi pribadi, seperti KTP, kartu kredit, atau rekening bank. Dengan data ini, mereka dapat mengakses akun korban atau bahkan melakukan pemulihan akun menggunakan informasi yang tersedia. 

 

  • Account Recovery 

Beberapa sistem pemulihan akun memiliki celah keamanan yang dapat dimanfaatkan oleh peretas. Jika penjahat berhasil mengakses email atau nomor telepon yang terkait dengan akun korban, mereka dapat meminta reset password dan mengambil alih akun tersebut. 

 

  • Spyware 

Spyware adalah perangkat lunak berbahaya yang dipasang di perangkat korban untuk memata-matai aktivitas mereka. Spyware dapat mencatat setiap tombol yang ditekan (keylogging), termasuk informasi login dan data sensitif lainnya, lalu mengirimkannya ke pelaku kejahatan. 

 

  • Spoofing 

Spoofing merupakan teknik di mana peretas menyamar sebagai entitas resmi, seperti situs web bank atau layanan online lainnya, untuk menipu korban agar memberikan informasi akun mereka. Spoofing juga dapat terjadi dalam bentuk panggilan telepon atau pesan teks yang terlihat berasal dari sumber terpercaya. 

 

Ciri-ciri Serangan Account Takeover

Tak cukup dengan mengetahui apa itu account takeover, Anda pun perlu memahami apa saja ciri-ciri serangan kejahatan siber ini, di antaranya: 

 

1. Perubahan Data dan Aktivitas Mencurigakan 

Salah satu tanda utama akun telah diambil alih adalah adanya perubahan informasi penting, seperti alamat email, nomor telepon, atau kata sandi, tanpa sepengetahuan pemilik akun. Selain itu, muncul aktivitas mencurigakan berupa transaksi tak dikenal, pesan dikirim tanpa izin, atau perubahan pengaturan keamanan. 

 

2. Pemberitahuan Login dari Lokasi atau Perangkat Asing 

Jika menerima notifikasi bahwa akun Anda telah diakses dari lokasi atau perangkat yang tidak dikenal, bisa jadi seseorang telah berhasil masuk tanpa izin. Banyak platform digital memiliki fitur deteksi perangkat baru yang mengirimkan peringatan melalui email atau aplikasi. Jika tidak mengenali aktivitas tersebut, segera amankan akun Anda. 

 

3. E-mail Permintaan Reset Password 

Peretas sering mencoba metode pemulihan akun untuk mengganti password dan mengunci pemilik asli. Jadi, jika menerima email atau notifikasi yang meminta pengaturan ulang kata sandi padahal Anda tidak pernah mengajukan permintaan tersebut, itu tanda bahwa seseorang mencoba mengambil alih akun Anda.  

 

4. Tidak Bisa Login ke Akun 

Jika akun tiba-tiba tidak dapat diakses meskipun Anda yakin telah memasukkan kata sandi yang benar, ada kemungkinan besar akun tersebut telah diambil alih. Biasanya, pelaku kejahatan siber akan mengganti kata sandi segera setelah berhasil masuk sehingga pemilik asli tidak lagi memiliki akses. 

 

Risiko Serangan Account Takeover bagi Bisnis 

Ketika akun bisnis diretas oleh pihak tidak bertanggung jawab, dampaknya bisa sangat besar. Berikut beberapa dampak account takeover bagi bisnis yang perlu Anda ketahui: 

 

  • Kerugian Finansial 

Serangan account takeover dapat menyebabkan transaksi tidak sah, pencurian dana, atau penyalahgunaan fasilitas keuangan perusahaan. Selain itu, bisnis juga mungkin perlu mengeluarkan biaya tambahan untuk memulihkan keamanan akun serta mengganti kerugian pelanggan yang terkena dampak. 

 

  • Pencurian dan Penyalahgunaan Data 

Peretas yang mengambil alih akun bisnis dapat mengakses informasi sensitif, seperti data pelanggan, dokumen internal, atau rincian transaksi. Kebocoran data ini dapat dimanfaatkan untuk kejahatan siber lainnya, seperti penipuan atau pemerasan. 

 

  • Penyalahgunaan Identitas Brand 

Jika akun resmi bisnis diambil alih, peretas dapat menyamar sebagai perusahaan dan menipu pelanggan dengan melakukan transaksi palsu atau menyebarkan informasi menyesatkan. Hal ini dapat merusak reputasi brand dan menimbulkan keraguan di kalangan pelanggan. 

 

  • Penyebaran Serangan Phishing atau Malware 

Akun yang sudah diretas dapat digunakan untuk mengirim email phishing atau menyebarkan malware ke pelanggan, mitra bisnis, atau bahkan karyawan internal. Serangan ini akan memperluas dampak negatif dan memperbesar risiko keamanan bagi lebih banyak pihak. 

 

  • Gangguan Operasional 

Jika akun yang diretas adalah akun penting, seperti email perusahaan atau akses ke sistem manajemen bisnis, maka operasional perusahaan bisa terganggu. Akibatnya, produktivitas menurun, layanan pelanggan terhambat, dan proses bisnis lainnya menjadi tidak efisien. 

 

  • Kehilangan Kepercayaan Pelanggan 

Ketika pelanggan mengetahui bahwa akun bisnis telah diretas dan berpotensi membahayakan mereka, kepercayaan terhadap brand dapat menurun drastis. Mereka mungkin ragu untuk berinteraksi atau melakukan transaksi kembali sehingga berdampak pada penurunan penjualan dan loyalitas pelanggan. 

 

  • Pelanggaran Regulasi dan Sanksi Hukum 

Banyak negara memiliki regulasi ketat terkait perlindungan data pengguna, seperti GDPR di Eropa dan UU Perlindungan Data Pribadi di Indonesia. Jika suatu bisnis gagal melindungi akun dan data penggunanya, perusahaan bisa menghadapi denda, sanksi hukum, atau tuntutan dari pelanggan yang terdampak. 

 

5 Cara Mencegah Account Takeover 

Untuk menghindari risiko account takeover, Anda harus proaktif dalam meningkatkan keamanan akun melalui berbagai cara. Setidaknya ada lima cara mencegah account takeover, yaitu: 

 

1. Edukasi Karyawan 

Salah satu langkah paling efektif untuk mencegah account takeover adalah memberikan edukasi kepada karyawan tentang ancaman siber, seperti phishing, malware, dan teknik peretasan lainnya. Dengan pemahaman yang baik, karyawan akan lebih waspada terhadap email mencurigakan, tautan berbahaya, atau permintaan informasi login yang tidak sah. 

 

2. Batasi Akses Akun Berdasarkan Peran 

Tidak semua karyawan memerlukan akses penuh ke semua sistem atau data perusahaan. Dengan menerapkan role-based access control (RBAC), perusahaan dapat memastikan bahwa setiap karyawan hanya memiliki akses ke informasi dan fitur yang benar-benar diperlukan untuk pekerjaannya. Ini juga mengurangi risiko penyalahgunaan akun jika terjadi kebocoran atau peretasan. 

 

3. Terapkan Kebijakan Password yang Kuat 

Banyak serangan account takeover terjadi karena penggunaan kata sandi lemah atau sering digunakan ulang di berbagai platform. Maka dari itu, bisnis Anda harus menerapkan kebijakan kata sandi yang kuat, seperti: 

 

  • Minimal 12 karakter dengan kombinasi huruf besar, huruf kecil, angka, dan simbol 

  • Melarang penggunaan kata sandi yang umum atau mudah ditebak 

  • Mengharuskan perubahan kata sandi secara berkala 

  • Mencegah penggunaan ulang kata sandi lama 

 

4. Aktifkan Autentikasi Multi-Faktor (MFA) 

MFA yaitu lapisan keamanan tambahan yang mengharuskan pengguna untuk memverifikasi identitas melalui metode kedua. Misalnya kode OTP, autentikasi biometris, atau aplikasi autentikator. Dengan MFA, meskipun berhasil mencuri kata sandi, peretas tetap tidak bisa mengakses akun tanpa kode verifikasi tambahan. 

 

5. Periksa Alamat IP dari Lokasi Geografis yang Tidak Biasa 

Perusahaan dapat meningkatkan keamanan dengan memantau alamat IP yang mengakses sistem mereka. Jika ada upaya login dari lokasi atau perangkat yang tidak biasa, sistem dapat memblokir akses secara otomatis atau meminta verifikasi tambahan. Hal ini mencegah akses tidak sah dari peretas yang mencoba mengambil alih akun dari luar jaringan yang biasa digunakan. 

 

Mencegah account takeover termasuk langkah penting bagi bisnis demi menjaga keamanan data, reputasi, dan kepercayaan pelanggan. Dengan menerapkan kebijakan keamanan yang ketat, Anda dapat meminimalisir risiko serangan siber. Selain itu, menerapkan sistem perlindungan berlapis dan selalu memperbarui kebijakan keamanan akan membantu bisnis Anda tetap tangguh menghadapi ancaman digital yang terus berkembang.  

 

Demi mengoptimalkan keamanan bisnis Anda di era digital ini, Telkomsel Enterprise menyediakan Telco Verify. Dengan Telco Verify dari Telkomsel Enterprise, identitas pengguna terverifikasi secara otomatis melalui nomor ponsel mereka tanpa perlu memasukkan kode OTP.  

 

Teknologi ini memanfaatkan jaringan Telkomsel untuk memastikan keamanan yang lebih tinggi, mengurangi risiko akses ilegal, dan melindungi akun dari ancaman social engineering. Bersama Telkomsel Enterprise, Anda tidak hanya melindungi akun bisnis, tetapi juga memastikan kelangsungan operasional yang aman dan terpercaya. 

 

Hubungi kami untuk informasi lebih lanjut. 

TAGS
Blog
Bagikan Ke
Perkuat insight bisnis dengan pilihan solusi lainnya
SMA_0_1.jpg
label Cybersecurity Services
Telco Verify

Login aplikasi lebih aman, cepat, dan praktis dengan autentikasi real-time.
byod semakin umum dijumpai di banyak perusahaan.png
BYOD (Bring Your Own Device): Tantangan dan Solusi Keamanan untuk Perusahaan
MDM (2) (1).jpg
label Cybersecurity Services
Mobile Device Management

Menjaga keamanan perangkat karyawan yang dapat diakses kapan saja.
ilustrasi teknologi number masking_0.png
Meningkatkan Privasi Komunikasi Bisnis: Keunggulan Implementasi Number Masking

Situs kami menggunakan cookie untuk meningkatkan pengalaman Anda. Dengan melanjutkan, Anda sudah menyetujui Syarat & Ketentuan dan Kebijakan Privasi yang berlaku.
Telkomsel Enterprise
Terhubung Bersama Kami
instagram
X
youtube
linkedin

© PT TELEKOMUNIKASI SELULAR, 2025

KEBIJAKAN PRIVASI
SYARAT & KETENTUAN
HUBUNGI KAMI