Panduan Kita
Teknologi & Aplikasi № 2026/05

Cara amankan WhatsApp dari diretas (panduan 2026)

WhatsApp diretas via OTP curian, sim swap, atau session hijack adalah salah satu cyber attack paling sering di Indonesia. Lima setting di bawah ini memblokir 95% serangan tanpa biaya.

Oleh Dimas Pratama 9 menit baca

WhatsApp di Indonesia 2026 bukan sekadar app chat — itu pusat percakapan personal + profesional + keluarga + finansial. Bayangkan jika seseorang mendapat akses penuh ke WhatsApp kamu untuk 1 jam. Apa yang dia bisa lakukan?

  • Baca semua chat lampau (foto, dokumen sensitif)
  • Kirim “darurat” ke kontak terdekat minta transfer uang
  • Akses grup keluarga + WA grup kerja
  • Read OTP banking dari SMS yang masuk ke WhatsApp Business
  • Snapshot identity untuk lebih lanjut social engineering

Dampaknya brutal. Dan account takeover via OTP curian / sim swap / social engineering adalah salah satu cyber attack paling sering di Indonesia, lebih sering dari hacking bank account.

Kabar baik: 95% serangan bisa diblokir dengan 5 setting dasar yang GRATIS dan butuh 20 menit setup.

Cara akun di-takeover (untuk paham defense)

Untuk paham proteksi, paham dulu cara serangan:

Skema 1: OTP curian (paling sering)

  1. Attacker punya nomor HP kamu (dari leak data, atau social engineering)
  2. Dia trigger WhatsApp registration di device-nya menggunakan nomor kamu
  3. WhatsApp kirim OTP ke nomor kamu (kamu terima SMS)
  4. Attacker chat kamu (atau temanmu) bilang “salah kirim kode, tolong forward”
  5. Korban naif forward OTP → akun di-takeover

Skema 2: SIM swap

  1. Attacker dapat info personal kamu (KTP, nama ibu, etc.)
  2. Dia approach operator celluler dengan “saya kehilangan SIM, minta SIM baru dengan nomor lama”
  3. Kalau operator percaya, SIM baru issued ke attacker, SIM kamu mati
  4. Sekarang attacker punya kontrol nomor → register WhatsApp dengan OTP yang masuk ke SIM dia

Skema 3: WhatsApp Web hijack

  1. Attacker akses fisik device kamu sebentar (di kantor, di rumah)
  2. Dia scan QR WhatsApp Web ke browser dia
  3. Sekarang dia bisa baca all chat kamu remotely sampai kamu logout

Skema 4: Modded WhatsApp malware

  1. Kamu install WhatsApp Plus / GBWhatsApp dari sumber tidak resmi
  2. App itu berisi spyware yang record chat + exfiltrate data
  3. Sometimes ban dari WhatsApp atau install backdoor

Lima langkah di atas memblokir semua 4 skema. Setup sekali, defense ongoing.

Mengapa Two-Step Verification adalah CRITICAL #1

Dari semua setting, Two-Step Verification adalah yang paling penting. Reasoning:

  • Tanpa 2SV: OTP curian = akun langsung di-takeover dalam 30 detik
  • Dengan 2SV: OTP curian = attacker stuck di 2SV screen, butuh PIN yang dia TIDAK punya
  • Plus email recovery: kalau kamu lupa PIN, masih bisa reset via email (yang attacker tidak punya)

Setup 2SV = harder defense paling cheap: 60 detik input PIN, lifetime protection.

Yang sering disepelekan: PIN harus UNIK. Kalau PIN 2SV WhatsApp sama dengan PIN ATM, attacker yang access ATM-mu sekarang punya WhatsApp juga. Pakai PIN baru yang dipakai HANYA untuk WhatsApp.

Yang harus diberitahu ke keluarga + teman

Sebagian besar serangan WhatsApp targetkan FAMILY/ELDERLY karena mereka kurang aware tentang scam pattern. Edukasi keluarga adalah defense layer berikutnya:

  1. JANGAN PERNAH share kode/OTP via WhatsApp, bahkan ke saudara/teman yang “darurat butuh”. Skema “darurat” ini adalah scam pattern paling sering.
  2. Kalau ada chat dari nomor familiar minta transfer uang darurat — VERIFY via telepon langsung dengan voice. Pesan teks bisa dari attacker yang sudah takeover akun.
  3. Aktifkan 2SV di SEMUA akun WhatsApp keluarga. Bantu setup kalau mereka tidak paham.
  4. Kalau dapet SMS “WhatsApp registration code” yang tidak diminta = ada attacker yang COBA hijack. JANGAN forward kodenya, dan WhatsApp 2SV kalau belum aktif.

Setelah setup defense

5 setting di atas adalah baseline. Untuk paranoid mode (recommend untuk profesional yang chat klien/finansial sensitif):

  • App lock di WhatsApp (Settings → Privacy → App Lock) — face/fingerprint untuk buka WhatsApp
  • Disable read receipts untuk reduce metadata leak
  • Group invite policy: Settings → Privacy → Groups → “My Contacts” — orang asing tidak bisa add kamu ke grup random
  • Block + Report scammer aggressively — feed WhatsApp’s ML model untuk catch lebih cepat

Lihat juga panduan kami tentang cara backup WhatsApp ke Google Drive — pertahanan terakhir kalau akun lost: at least chat history restorable di device baru.

Langkah-langkahnya

  1. Aktifkan Two-Step Verification dengan PIN 6 digit + email recovery

    Buka WhatsApp → Settings → Account → Two-step verification → Turn on. Buat PIN 6 digit yang UNIK (tidak sama dengan PIN ATM atau aplikasi lain). Add email recovery — kalau lupa PIN, WhatsApp kirim reset link ke email ini. Ini fitur paling kritis: tanpa Two-Step Verification, OTP curian sudah cukup untuk akun di-takeover. Dengan 2FA aktif, attacker yang punya OTP masih perlu PIN kamu (yang dia tidak punya). Block 90%+ account takeover.

  2. Set privacy: Last Seen + Profile Photo + About ke 'My Contacts' only

    Settings → Privacy. Untuk Last Seen: pilih 'My contacts' (bukan 'Everyone'). Sama untuk Profile Photo + About. Implikasinya: orang yang tidak ada di phonebook kamu tidak bisa lihat info ini. Mencegah social engineering attack (scammer yang research target via WhatsApp public info). Untuk Online status: kalau ada opsi 'Same as Last Seen', pilih itu — kalau tidak, accept Online visible (technical limitation).

  3. Aktifkan Disappearing Messages untuk chat sensitif

    Untuk chat berisi info sensitif (kerja, finansial, percakapan dengan keluarga tentang topik privat): swipe chat → Settings → Disappearing messages → 24 hours atau 7 days. Pesan auto-delete after timer, mengurangi risk kalau device hilang atau akun diretas (attacker tidak dapat history complete). Tidak perlu untuk chat casual — itu cuma overhead. Pakai selektif.

  4. Cek Linked Devices secara rutin, logout yang tidak dikenal

    Settings → Linked devices. Lihat list device yang login ke akun kamu (WhatsApp Web di browser, desktop app, dll.). Kalau ada device yang TIDAK kamu kenal atau lokasi mencurigakan: tap → Log Out. Cek rutin: minimal 1x/minggu. WhatsApp Web/desktop sessions auto-expire 30 hari tanpa active use — tapi kalau ada session aktif yang bukan kamu, account kamu sedang di-akses orang lain.

  5. JANGAN SHARE OTP atau kode verifikasi WhatsApp ke SIAPA PUN

    Scam paling sering di Indonesia: orang chat kamu mengaku 'teman/saudara yang lagi reset password, butuh OTP'. Tidak ada situasi legitimate di mana kamu harus kasih kode WhatsApp ke orang lain. Bahkan WhatsApp official tidak pernah minta. Kalau ada chat seperti ini: BLOCK, report sebagai spam, dan ingatkan keluarga + teman tentang scam pattern ini. OTP curian + nomor kamu = akun di-takeover dalam 30 detik.

  6. Backup chat dengan End-to-End Encryption password aktif

    Settings → Chats → Chat backup → End-to-end encrypted backup → Turn On. Pilih password atau 64-digit encryption key. SIMPAN password ini di password manager (1Password, Bitwarden, atau notes terkunci). Tanpa E2E backup, file backup di Google Drive/iCloud bisa di-decrypt oleh Google/Apple (atau hacker yang akses akun cloud kamu). Dengan E2E aktif, hanya yang punya password yang bisa restore — even Google/Apple tidak bisa baca.

  7. Update WhatsApp + OS rutin, jangan pakai modded version

    WhatsApp version > 2.20 berisi security patch yang block exploits known. Settings → Help → App info → cek versi. Auto-update via Play Store / App Store. JANGAN pakai modded WhatsApp (WhatsApp Plus, GBWhatsApp, FMWhatsApp): mereka tidak resmi, sering dibanned, dan banyak yang sudah terdeteksi mengandung malware/spyware. Stick to official WhatsApp dari Play Store / App Store.

Pertanyaan yang sering ditanya

Bedanya Two-Step Verification (2SV) di WhatsApp vs 2FA biasa?

Di WhatsApp, Two-Step Verification adalah PIN tambahan yang diminta saat register WhatsApp di device baru. Beda dengan 2FA biasa yang minta kode setiap login — WhatsApp 2SV cuma minta saat aktivasi pertama di device baru. Tetap critical karena itu yang block account takeover. Email recovery: kalau lupa PIN, WhatsApp kirim link reset ke email. Tanpa email recovery, lupa PIN = harus tunggu 7 hari untuk reset.

Kalau saya ganti SIM card atau nomor, akan WhatsApp kena?

Iya, dan ada cara aman migrasi. Sebelum ganti nomor: WhatsApp → Settings → Account → Change number. Input nomor lama + nomor baru. WhatsApp transfer chat history + groups + settings ke nomor baru. KALAU sudah ganti SIM tanpa change number → akun ter-stuck di nomor lama (kalau orang lain dapat nomor itu kemudian, dia bisa register WhatsApp dengan nomor itu — akun kamu lost). Selalu Change Number SEBELUM ganti SIM.

Apakah WhatsApp benar-benar end-to-end encrypted?

Chat content (pesan, foto, video, voice notes) — yes, E2E. Bahkan Meta/WhatsApp tidak bisa baca isi chat kamu di-transit. Tapi yang TIDAK E2E (Meta bisa lihat): metadata (siapa chat dengan siapa, kapan, durasi), profile info (nama, foto, status, last seen), dan backup di cloud tanpa E2E backup aktif. Untuk paranoid mode: aktifkan E2E backup + Disappearing messages + privacy contacts-only.

Bagaimana kalau saya yakin sudah diretas — apa yang harus dilakukan?

Langkah immediate: (1) Settings → Linked devices → Log out ALL devices. (2) Settings → Account → Two-step verification → Disable lalu Enable lagi dengan PIN BARU. (3) Cek dengan saksama: chat terkirim yang bukan dari kamu, group baru yang kamu di-add, kontak yang di-block atau di-add. (4) Tell people di lingkaran kamu yang mungkin di-target ('saya diretas, jangan transfer uang/kasih info ke chat dari saya selama 24 jam'). (5) Report ke WhatsApp Support via Settings → Help → Contact us, sertakan detail.

Apakah aman pakai WhatsApp di komputer kantor / device sharing?

Risk-aware ya. WhatsApp Web/Desktop session bisa di-akses oleh siapa pun yang punya akses fisik ke komputer itu kalau kamu logged in. Saat di komputer kantor: ALWAYS logout setelah selesai (don't just close browser). Untuk extra layer: aktifkan biometric lock di WhatsApp Web setting (Web → Settings → Privacy → Screen Lock → require biometric). Sama berlaku untuk WhatsApp di tablet keluarga atau device shared.

Apakah Telegram lebih aman dari WhatsApp?

Marginal difference, depends on usage. Telegram default chat = NOT E2E encrypted (only 'Secret Chats' E2E). WhatsApp default chat = E2E encrypted. Untuk privacy, WhatsApp default better. Telegram unggul di: feature richness, file size limit (4GB), bot integration, secret chats with timer. Untuk most users: stay with WhatsApp dengan proper setup. Pindah ke Signal kalau privacy paramount (Signal lebih ketat dari keduanya, tapi feature lebih limited).

Berapa sering harus update PIN Two-Step Verification?

Tidak wajib rutin. PIN sebagai layer pencegahan account takeover, bukan password yang dipakai sering. Tapi best practice: ganti PIN kalau (1) kamu pernah share dengan family member yang sekarang sudah tidak dekat, (2) device hilang/dicuri (PIN mungkin compromised), (3) suspect ada akses ilegal ke akun kamu, atau (4) setiap 1-2 tahun sebagai hygiene normal. Ganti via Settings → Account → Two-step verification → Change PIN.

Panduan teknologi & aplikasi lainnya