Analis Siber Purwakarta – Admin. ASN masih menjadi profesi idaman bagi sebagian besar masyarakat Indonesia. Jaminan memperoleh uang pensiun, proses rekrutmen yang relatif fair dan transparan, serta tunjangan kinerja yang kompetitif menjadi daya tarik utama bagi para pencari kerja.
Namun, tingginya minat terhadap rekrutmen CASN juga dimanfaatkan oleh oknum tidak bertanggung jawab. Mereka mengeksploitasi kondisi psikologis para pelamar yang menanti kepastian jadwal seleksi dengan memanfaatkan ketidakpastian informasi yang beredar, termasuk jadwal rekrutmen yang belum diumumkan secara resmi oleh Badan Kepegawaian Negara (BKN). Di sisi lain, berbagai "spoiler" atau bocoran yang mengatasnamakan sumber A1 semakin memperkeruh situasi. Melalui modus tersebut, pelaku penipuan berupaya menjalankan aksinya dengan menyebarkan tautan palsu yang dirancang untuk memanipulasi dan menjebak calon pelamar.
| Gambar 1. Sample akun Scammer Sumber: Dokumentasi Penulis |
Modus Operandi
Salah satu modus operandi yang kerap dijumpai adalah penggunaan akun media sosial palsu. Akun-akun ini biasanya menyebarkan konten berupa video AI slop atau brosur digital tidak resmi yang mengarahkan pengguna untuk mengakses tautan pada bio. Selain itu, pelaku juga memanfaatkan QR code yang telah disusupi tautan berbahaya sebagai bagian dari teknik phishing atau dikenal dengan Quishing. Tapi, apa yang sebenarnya terjadi saat korban mengeklik tautan tersebut? Kita akan bedah isi "dapur" mereka dengan sedikit menggunakan metode OSINT.
Pengintaian
Penulis melakukan basic OSINT terhadap sampel tautan yang disebarkan oleh akun-akun scam tersebut. Tautan pertama berasal dari akun @lowongankerja2026.27 pada platform Threads dengan tautan periksa1.menu-pendaftarann.com, sedangkan tautan kedua berasal dari akun @seputercpns pada platform TikTok dengan nama tautan grefth.it.com.
Menggunakan tools seperti Whois kita akan mendapati bahwa domain periksa1.menu-pendaftarann.com menampilkan informasi kontak berupa nama "Dalle Dalllr" yang beralamat di Malang, Jawa Timur. Sedangkan pada domain grefth.it.com, kelompok ini bergerak jauh lebih rapih dan tersetruktur. Mereka memanfaatkan third-party registry .it.com agar nama domain terlihat lebih unik dan mengecoh mata pelamar. Data whois menunjukan domain ini didaftarkan melalui registrar lokal Indonesia. Taktik ini digunakan untuk memotong latensi jaringan agar situs phising mereka dapat diakses lebih cepat oleh korban di Indonesia.
Membedah Source Code HTML
Situs resmi milik pemerintah untuk seleksi CASN tidak pernah meminta nomor Telegram untuk registrasi pendaftaran. Sedangkan pelaku baik pemilik akun @lowongankerja2026.27 atapun @seputercpns secara spesifik mengincar akun Telegram milik korban.
Gambar 2. Potongan HTML yang meminta nomor Telegram korban Sumber: Dokumentasi penulis |
Untuk mendapatkan akun Telegram milik korban, mereka menggunakan Scam Kit yang mereka buat sendiri. Setidaknya ada empat fase yang berjalan bagaimana mereka menjalankan Scam Kit ini.
Fase pancingan & manipulasi psikologis
- Pelaku akan menyebarkan video AI Slop atau brosur digital pada sosial media di TikTok/Instagram yang mengarahkan korban ke link domain seperti grefth.it.com atau menu-pendaftarann.com
- Di dalam situs, terdapat komponen animasi daftar nama bergerak berstatus Successfull. Investigasi kode ini membuktikan bahwa daftar ini 100% palsu karena kode tersebut merupakan hardcoded via skrip jQuery untuk memanipulasi korban agar terburu-buru mendaftar
| Gambar 3. Skrip Marquee HTML daftar nama yang ditujukan untuk memanipulasi korban Sumber: Dokumentasi Penulis |
Fase intersepsi sesi otentikasi
Ketika korban mulai mengisi form, Scam Kit ini tidak bertindak sebagai penampung data statis, melainkan menjadi jembatan langsung ke server Telegram.
- Saat nomor diinput, skrip mengirimkan data ke endpoint /send_otp. Server pelaku langsung meneruskan data ini ke API Telegram (MTProto), memaksa Telegram untuk mengirimkan kode akses resmi ke hp korban.
- Korban akan diarahkan ke code.php dan diminta memasukan 5-digit kode masuk tersebut. Kemudian data OTP beserta phone_code_hash yang disimpan di memori browser (sessionStorage) dilempar ke backend via JSON (/verify_otp).
| Gambar 4. Skrip untuk mengirimkan permintaan OTP Sumber: Dokumentasi Penulis |
Fase Pendeteksian & 2FA Bypass
Backend Scam Kit ini memiliki fitur dinamis seperti dapat membaca apakah akun korban menerapkan 2FA atau tidak. Begitu tahapan ini diisi, maka seluruh lapisan perlindungan akun Telegram milik korban akan runtuh total.
Jika akun korban tidak dikunci melalui mekanisme 2FA sesi login akan langsung disetujui oleh Telegram, dan akun korban langsung diambil alih pada saat itu juga. Namun, jika akun korban dilindungi oleh 2FA Backend Scam Kit ini akan mengalihkan korban ke halaman ketiga, yaitu pass.php. Halaman ini akan meminta korban untuk memasukan sandi tambahan, dalam hal ini 2FA milik korban.
Fase Pengumpulan Hasil
Data-data hasil jarahan yang lolos verifikasi langsung dilarikan menuju dapur penampungan pelaku di endpoint (https://appsmyid.com/periksa1/). Di balik rapinya skrip penipuan ini, penulis juga menemukan sebuah blunder teknis yang menarik: pelaku pada domain https://grefth.it.com secara ceroboh meninggalkan jejak hardcoded berupa ID Telegram pada source-code mereka, sebuah kesalahan amatir yang membuka pintu bagi pelacakan identitas digital mereka di masa depan kelak.
Kesimpulan
Berdasarkan pembahasan tersebut, dapat disimpulkan bahwa modus penipuan berkedok pendaftaran CASN ini telah berkembang dari sekadar pencurian data pribadi menjadi operasi pengambilalihan akun secara real-time yang memanfaatkan infrastruktur phishing berbasis Telegram. Pelaku mengombinasikan rekayasa sosial, manipulasi psikologis, serta Scam Kit yang dirancang untuk mengintersepsi proses autentikasi korban, sehingga mampu melewati seluruh tahapan login hingga memperoleh kendali penuh atas akun Telegram milik korban.
Selain itu, temuan ini menegaskan bahwa literasi digital dan membiasakan diri untuk melakukan verifikasi informasi yang bersumber hanya melalui kanal resmi pemerintah merupakan lapisan pertahanan paling efektif. Di tengah tingginya antusiasme masyarakat terhadap rekrutmen CASN, kewaspadaan menjadi faktor yang sama pentingnya dengan persiapan administrasi agar masyarakat tidak menjadi korban operasi phishing yang memanfaatkan momentum seleksi ASN.