Loker Cepat Kaya atau Jebakan Kosong?
Kamu lagi cari kerja remote? Hati-hati, iklan “gaji dollar, kerja di rumah” yang muncul di feed bisa jadi kuda Troya. Di balik logo perusahaan ternama terselip malware penguras dompet kripto. Klik sekali, MetaMask langsung lapar. Tidak cuma fresh graduate yang kena, trader kawakan pun terperosok.
Begini skenarionya. Kamu lihat iklan lowongan di Facebook grup. Gaji besar, WFH, terima Bitcoin. Link-nya mengarah ke situs lamaran mirip LinkedIn. Padahal di balik itu, kode jahat menunggu dompet browser kamu terbuka. Tanpa sadar, semua aset digital ditransfer ke dompet pelaku. Selesai. Kamu baru sadar saldo Bitcoin lenyap saat mau beli kopi.
Cara Kerja Malware Penguras Dompet Kripto
Peneliti Kaspersky menyebutnya “dracula coin”. Malware ini tidur di halaman phishing. Begitu kamu klik “apply job”, otomatis download file kecil bernama PDF.exe. Tampilannya CV template, tapi tugasnya menginfeksi ekstensi browser. Setelah menempel, malware itu menyusuri tab aktif, mencari MetaMask, Trust Wallet, Rabby, Phantom. Ketika kamu mengetik password, ia copy. Ketika kamu sign transaksi, ia ganti alamat tujuan. Semua berlangsung 300 ms, lebih cepat dari kamu tutup tab.
Teknik smart contract otomatis curi dana
Malware tak hanya copy paste seed phrase. Ia menyuntikkan kode pada kontrak pintar populer seperti Uniswap atau OpenSea. Saat kamu klik “approve”, kontrak palsu mengalihkan token ke dompet pelaku. Transaksi itu terlihat sah di Etherscan, tapi address-nya sudah dialihkan.
Kenapa antivirus lengah
File infeksi dikemas pakai obfuscator ringan, ukurannya kurang dari 2 MB. Ditambah certificate palsu sehingga Windows Defender anggap “aman”. Update mingguan pun belum tentu tangkap tanda tangan baru ini. Makanya penting verifikasi manual.
Langkah Cegah Rugi Ratusan Juta
Kamu tak perkan jadi hacker untuk lolos. Lakukan tiga hal ini tiap kali cari kerja online:
- Cek domain iklan di who.is. Umur domain di bawah 3 bulan = curiga.
- Googling nama perusahaan + scam. Kalau hasilnya kosong, masuk forum seperti Reddit atau Indodax untuk validasi.
- Pakai hardware wallet. Transaksi harus tekan tombol fisik, jadi malware browser tak bisa sign otomatis.
Tambahan receh: matikan auto-approve di MetaMask, aktifkan password locker di Trust Wallet, dan pastikan ekstensi wallet kamu update tiap minggu. Kalau bisa, buat dompet terpisah khusus trading, dompet utama simpan di cold storage. Rugi sekali cukup, belajar sekali bayar.
Kesimpulan
Lowongan kerja berkilau di dunia kripto memang menggoda, tapi satu kali kelenyapan bisa bikin kamu nangis darah. Malware penguras dompet kini pakai kedok iklan HR, lengkap dengan gaji dollar dan benefit WFH. Cek domain, Googling nama perusahaan, dan pakai hardware wallet tiga senjata ampuh biar saldo tetap utuh. Ingat, peluang nyata tidak pernah meminta seed phrase atau memaksa install file. Kalau kamu ragu, skip saja. Lebih baik cari info lowongan di portal resmi ketimbang ngiler di grup Facebook. Tetap waspada, tetap tenang, dan jangan kasih hacker liburan gratis dari dompet kamu.
FAQ
Domain baru, e-mail gratisan, dan minta install file sebelum wawancara.
Belum tentu. Malware ini ringan dan sering update, pakai hardware wallet tetap paling aman.
Sangat sulit. Transaksi blockchain tak bisa dibatalkan. Langkah terbaik adalah lapor ke platform exchange tujuan dan ke polisi siber.