Bisnis.com, JAKARTA — Pakar siber meminta masyarakat berhati-hati atas maraknya notifikasi permintaan ganti kata sandi atau password akun Instagram. Mereka khawatir hal itu bagian dari upaya phising.
Phishing merupakan teknik penipuan siber yang bertujuan mencuri data sensitif seperti username, password, nomor rekening, atau informasi pribadi lainnya.
Pelaku phishing biasanya menyamar sebagai entitas tepercaya seperti bank, Instagram, pemerintah, atau perusahaan besar melalui email, SMS, WhatsApp, telepon, atau situs web palsu.
Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja menyarankan jika pengguna ingin melakukan pengkinian password, sebaiknya langsung di aplikasi Instagram yang sudah terdaftar di perangkat masing-masing karena sudah terverifikasi. Dia mengimbau agar pengguna IG tidak mengklik tautan yang disebar di email meski itu dari akun email resmi Instagram.
“Jangan mengklik link-link atau tautan-tautan yang ada di email atau DM karena sekarang sangat sulit untuk verifikasi benar atau tidaknya email-email tersebut,” kata Ardi kepada Bisnis.
Dia juga menekankan bahwa centang biru belum tentu akun resmi. Menurutnya, saat ini makin banyak email-email phising yang sulit diverifikasi keabsahannya terutama oleh mayoritas pengguna yang awam tentang masalah keamanan siber.
“Terus kalau di IG langsung, kalau pengguna lama tentunya aplikasi sudah terverifikasi dan sudah di-patch dan pengkiniannya sudah yang terbaru sehingga tinggal pengkinian passwordnya. Kalau klik link email, kita juga tidak tahu apakah emailnya bener atau tidak?. Centang biru juga tidak menjamin,” kata Ardi kepada Bisnis.
Senada, Ketua Bidang Network dan Infrastruktur Indonesian Digital Empowerment Community (IDIEC) Ariyanto A. Setyawan meminta masyarakat untuk berhati-hati jika mendapat permintaan ganti password Instagram melalui email karena kemungkinan besar yang mengirim email adalah pihak lain, bukan pihak Instagram resmi.
Ariyanto juga mengimbau kepada masyarakat untuk selalu menggunakan autentikasi dua Faktor (2FA), sebuah metode keamanan berlapis yang mengharuskan pengguna memberikan dua bentuk verifikasi berbeda untuk masuk ke akun, bukan hanya kata sandi.
Ini menambahkan lapisan keamanan ekstra, seperti memasukkan kode unik dari aplikasi autentikator, sidik jari (sesuatu yang Anda miliki secara biologis), atau SMS OTP, setelah memasukkan kata sandi, sehingga sangat mempersulit peretas untuk mengakses akun Anda.
“Tunggu dipaksa reset dari aplikasinya saja. Best practice-nya di pengembang aplikasi saat ini, untuk proses pemaksaan ganti password itu ya di aplikasinya, bukan dikirim email. Kalau email, banyaknya phishing malahan. dan teknik itu sudah ditinggalkan oleh pengembang aplikasi,” kata Ariyanto.
Diketahui, di Indonesia angka phising cenderung meningkat. BSSN mencatat pada September 2025 aktivitas anomali siber total mencapai 4,41 miliar, termasuk phishing sebagai urutan ke-3 modus terbanyak setelah malware dan akses tidak sah. Phishing disebut modus yang banyak ditemui dengan lonjakan hingga 26 juta kasus.
Sementara itu Komdigi mencatat ada 1,2 juta laporan penipuan digital hingga pertengahan 2025, mayoritas berupa phishing via SMS/email.
Ilustrasi Peretas
Sebelumnya, ribuan pengguna Instagram di seluruh dunia, termasuk di Indonesia, baru-baru ini menerima notifikasi permintaan reset password secara massal.
Laporan dari perusahaan antivirus Malwarebytes menyebut telah terjadi kebocoran data yang memengaruhi 17,5 juta akun Instagram dengan informasi sensitif seperti nama pengguna, alamat fisik, nomor telepon, dan alamat email yang bocor.
Malwarebytes menemukan pelanggaran ini melalui pemindaian rutin di dark web, yang terkait dengan kebocoran API Instagram pada 2024.[conversation_history] Data tersebut kini dijual secara terbuka dan berpotensi disalahgunakan untuk serangan siber seperti phishing atau pengambilalihan akun, memicu lonjakan permintaan reset password yang membingungkan pengguna.
Dilansir dari Cybersecuritynews, Minggu (11/1/2026), melaporkan insiden ini awal memicu kekhawatiran serius soal privasi dan keamanan akun pengguna global, termasuk di Indonesia.
Anggri (34) salah satu pengguna Instagram mengaku telah menerima notifikasi lewat surel dari email resmi Instagram untuk mengganti password pada 6 Januari 2026 atau 5 hari lalu. Anggri tidak hanya mendapat email itu sekali, tetapi berkali-kali. Maksudnya, selama 5 hari ini Anggri sudah mendapat 2 kali notifikasi pada tanggal 6 Januari dan 10 Januari.
Masalah serupa juga dialami oleh pengguna IG bernama Denis, yang juga mengaku mendapat email untuk mengubah password. Denis memilih mengabaikan pesan tersebut karena khawatir itu sebagai upaya scam. Dengan mengganti password, mereka khawatir data mereka diambil.
Bisnis telah mencoba mengonfirmasi kepada Meta mengenai kabar dugaan data bocor Instagram dan kekhawatiran pengguna terkait permintaan penggantian password IG lewat email. Hingga berita ini diturunkan, Meta tidak membalas.
Cara Membedakan Email Asli dan Phising
Email phishing sulit dibedakan dari email asli karena penjahat siber sering meniru tampilan resmi, tetapi ada ciri khas yang bisa dicek secara manual untuk membedakan hal tersebut dilansir dari berbagai sumber.
Berikut langkah-langkah untuk membedakannya, berdasarkan pola umum serangan yang terkait kebocoran data Instagram:
Cek Alamat Pengirim
Periksa domain email pengirim secara teliti. Email asli dari Instagram menggunakan domain resmi seperti “@instagram.com” atau “@mail.instagram.com”, bukan variasi seperti “@instagram-security.com” atau “@insta-gram.co”.
Nama pengirim bisa dipalsukan, jadi fokus ke alamat lengkap—hover atau klik “Show Original/Header” di Gmail/Outlook untuk lihat detail asli.
Periksa Tautan dan Lampiran
Jangan klik link langsung. arahkan kursor mouse ke atasnya untuk pratinjau URL sebenarnya. Email asli punya link pendek dan sesuai situs resmi (misalnya, instagram.com), sementara phishing sering alihkan ke domain aneh seperti “instagrarn-login.ru”. Hindari lampiran tak terduga seperti .exe atau .zip.
Verifikasi Tambahan
Gunakan fitur “Reply” untuk lihat apakah alamat balas sama dengan pengirim; ketidaksesuaian jadi tanda merah. Hubungi Instagram langsung via app resmi atau help.instagram.com, bukan balas email. Aktifkan filter spam dan 2FA untuk perlindungan ekstra.