JAKARTA – Para pakar keamanan siber meminta masyarakat untuk meningkatkan kewaspadaan terhadap maraknya notifikasi permintaan penggantian kata sandi akun Instagram. Fenomena ini dikhawatirkan menjadi bagian dari upaya phishing yang menargetkan data sensitif pengguna.
Phishing sendiri merupakan teknik penipuan siber yang dirancang untuk mencuri informasi krusial seperti nama pengguna, kata sandi, nomor rekening, hingga data pribadi lainnya. Pelaku kejahatan siber kerap menyamar sebagai entitas tepercaya, seperti bank, platform media sosial (termasuk Instagram), pemerintah, atau perusahaan besar, melalui berbagai kanal komunikasi seperti email, SMS, WhatsApp, panggilan telepon, atau situs web palsu.
Artikel informatif lainnya dapat dibaca di Mureks mureks.co.id.
Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja, menegaskan pentingnya kehati-hatian. Ia menyarankan agar proses pengkinian kata sandi dilakukan langsung melalui aplikasi Instagram yang sudah terdaftar dan terverifikasi di perangkat masing-masing pengguna. Ardi secara tegas mengimbau pengguna untuk tidak mengklik tautan yang disebarkan melalui email atau pesan langsung (DM), meskipun terlihat berasal dari akun email resmi Instagram.
“Jangan mengklik link-link atau tautan-tautan yang ada di email atau DM karena sekarang sangat sulit untuk verifikasi benar atau tidaknya email-email tersebut,” kata Ardi. Ia juga menambahkan bahwa keberadaan centang biru pada akun pengirim tidak serta-merta menjamin keasliannya, mengingat semakin canggihnya teknik phishing yang sulit diverifikasi oleh mayoritas pengguna awam.
Senada dengan Ardi, Ketua Bidang Network dan Infrastruktur Indonesian Digital Empowerment Community (IDIEC), Ariyanto A. Setyawan, turut mengingatkan masyarakat untuk berhati-hati jika menerima permintaan ganti kata sandi Instagram melalui email. Menurutnya, kemungkinan besar email tersebut dikirim oleh pihak lain, bukan dari Instagram resmi.
“Tunggu dipaksa reset dari aplikasinya saja. Best practice-nya di pengembang aplikasi saat ini, untuk proses pemaksaan ganti password itu ya di aplikasinya, bukan dikirim email. Kalau email, banyaknya phishing malahan. dan teknik itu sudah ditinggalkan oleh pengembang aplikasi,” jelas Ariyanto.
Catatan Mureks menunjukkan, tren peningkatan kasus phishing di Indonesia cukup mengkhawatirkan. Badan Siber dan Sandi Negara (BSSN) melaporkan pada September 2025, total aktivitas anomali siber mencapai 4,41 miliar. Phishing menempati urutan ketiga modus terbanyak setelah malware dan akses tidak sah, dengan lonjakan hingga 26 juta kasus. Sementara itu, Komdigi mencatat 1,2 juta laporan penipuan digital hingga pertengahan 2025, yang mayoritas berupa phishing melalui SMS atau email.
Kekhawatiran ini muncul setelah ribuan pengguna Instagram di seluruh dunia, termasuk di Indonesia, baru-baru ini menerima notifikasi permintaan reset kata sandi secara massal. Laporan dari perusahaan antivirus Malwarebytes mengungkapkan adanya kebocoran data yang memengaruhi 17,5 juta akun Instagram. Informasi sensitif seperti nama pengguna, alamat fisik, nomor telepon, dan alamat email dilaporkan bocor. Malwarebytes menemukan pelanggaran ini melalui pemindaian rutin di dark web, yang terkait dengan kebocoran API Instagram pada tahun 2024.
Data yang bocor tersebut kini dijual secara terbuka dan berpotensi disalahgunakan untuk melancarkan serangan siber lebih lanjut, seperti phishing atau pengambilalihan akun. Kondisi ini memicu lonjakan permintaan reset kata sandi yang membingungkan banyak pengguna.
Anggri (34), salah satu pengguna Instagram, mengaku telah menerima notifikasi penggantian kata sandi melalui surel dari email resmi Instagram pada 6 Januari 2026 dan kembali pada 10 Januari 2026. Masalah serupa juga dialami oleh Denis, pengguna Instagram lainnya, yang memilih mengabaikan pesan tersebut karena khawatir menjadi korban penipuan.
Hingga berita ini diturunkan pada Minggu, 11 Januari 2026, pihak Meta belum memberikan respons terkait konfirmasi dugaan kebocoran data Instagram dan kekhawatiran pengguna mengenai permintaan penggantian kata sandi melalui email.
Cara Membedakan Email Asli dan Phishing
Untuk melindungi diri dari serangan phishing, pengguna dapat melakukan beberapa langkah verifikasi manual, mengingat penjahat siber sering meniru tampilan email resmi. Berikut adalah panduan yang dirangkum dari berbagai sumber:
- Cek Alamat Pengirim: Periksa domain email pengirim dengan teliti. Email asli dari Instagram akan menggunakan domain resmi seperti “@instagram.com” atau “@mail.instagram.com”, bukan variasi yang mencurigakan seperti “@instagram-security.com” atau “@insta-gram.co”. Nama pengirim dapat dipalsukan, jadi fokus pada alamat lengkap dengan mengarahkan kursor atau mengklik “Show Original/Header” di layanan email seperti Gmail atau Outlook.
- Periksa Tautan dan Lampiran: Hindari mengklik tautan secara langsung. Arahkan kursor mouse ke atas tautan untuk melihat pratinjau URL sebenarnya. Email asli biasanya memiliki tautan pendek dan sesuai dengan situs resmi (misalnya, instagram.com), sementara email phishing sering mengarahkan ke domain yang tidak dikenal atau mencurigakan seperti “instagrarn-login.ru”. Hindari juga membuka lampiran yang tidak terduga, terutama dengan ekstensi seperti .exe atau .zip.
- Verifikasi Tambahan: Gunakan fitur “Reply” untuk memeriksa apakah alamat balasan sama dengan alamat pengirim; ketidaksesuaian adalah tanda bahaya. Jika ragu, hubungi Instagram langsung melalui aplikasi resmi atau situs bantuan mereka (help.instagram.com), bukan membalas email yang mencurigakan. Aktifkan filter spam dan fitur autentikasi dua faktor (2FA) untuk lapisan perlindungan ekstra.
