Modus penipuan dengan cara membajak foto profil dan mengaku sebagai teman atau kerabat untuk meminjam uang di WhatsApp masih terus memakan korban. Skenarionya hampir selalu sama: Pelaku menggunakan nomor baru, memasang foto orang yang kita kenal, lalu mengirim pesan darurat meminta transferan dana.
Ketika korban sadar telah ditipu atau identitasnya dicatut, langkah pertama biasanya adalah melapor ke pihak berwajib. Sayangnya, laporan semacam ini sering kali berjalan lambat karena minimnya bukti. Lantas, korban biasanya mencari bantuan untuk melacak siapa sebenarnya pemegang nomor tersebut.
Namun, benarkah melacak nomor WhatsApp penipu itu semudah membalik telapak tangan? Jawabannya: Tidak.
Kebuntuan Teknis: Mengapa Nomor WA Susah Dilacak?
Secara teknis, melacak identitas asli hanya bermodalkan deretan nomor telepon adalah proses yang sering berujung pada jalan buntu. Ada beberapa alasan mendasar:
1. Penggunaan Data “Bodong” (Registrasi Palsu)
Pelaku penipuan tidak pernah menggunakan nomor prabayar dengan NIK dan KK asli milik mereka. Mereka biasanya membeli nomor sekali pakai yang sudah diregistrasi secara massal menggunakan data kependudukan orang lain yang bocor di internet. Jika ditelusuri ke pusat basis data, nama yang muncul bukanlah nama pelaku.
2. Enkripsi dan Privasi Jaringan
Lalu lintas pesan di WhatsApp menggunakan sistem End-to-End Encryption. Tidak ada pihak luar yang bisa mencegat pesan tersebut untuk mencari tahu alamat IP asli pelaku secara langsung. Komunikasi terjadi melalui peladen (server) pihak ketiga, sehingga jalur aslinya tertutup rapat.
3. Regulasi Lintas Sistem
Menemukan koordinat fisik sebuah perangkat seluler memerlukan teknik triangulasi sinyal menara BTS. Akses ke dasbor sistem operator seluler ini sangat dibatasi oleh hukum dan murni merupakan wewenang aparat penegak hukum yang disertai surat resmi, bukan akses yang bisa dibuka secara publik.
Jangan Fokus pada Nomornya, Fokus pada Jejak Digitalnya
Karena menyerang nomor teleponnya membentur tembok teknis privasi dan hukum, strategi yang paling masuk akal adalah mengalihkan fokus pada jejak digital transaksinya.
Kelemahan terbesar pelaku penipuan ada pada “Aliran Dana” (Follow the Money). Jika pelaku menggunakan dompet digital (DANA, OVO, GoPay) atau rekening bank untuk menampung uang, akun tersebut (terutama kelas premium) pasti melewati proses verifikasi wajah dan KTP asli. Melaporkan nomor rekening/akun tersebut ke pihak bank atau platform resmi jauh lebih efektif untuk membekukan pergerakan pelaku dibandingkan melacak nomor HP-nya.
Teknik Baiting: Menjebak Pelaku dengan Skrip Sederhana
Selain melaporkan rekening, ada satu teknik analisis jejak digital yang sering digunakan untuk menjebak pelaku, yaitu dengan Baiting (Pancingan).
Idenya sederhana: Kita berpura-pura percaya dan akan mentransfer uang, namun kita mengirimkan sebuah tautan (link) ke pelaku dengan alasan, “Ini bukti transfernya ya, silakan di-klik”.
Tautan tersebut sebenarnya mengarah ke peladen kita sendiri yang sudah ditanami skrip pencatat jejak digital. Saat pelaku mengklik tautan tersebut, peladen akan mencatat Alamat IP (IP Address) dan jenis perangkat (User-Agent) yang mereka gunakan, sebelum akhirnya mengalihkan mereka ke gambar struk transfer palsu.
Bagi Anda yang mengelola server atau memiliki hosting sendiri (misalnya yang menjalankan lingkungan PHP), berikut adalah contoh logika dasar pembuatan skrip penangkap IP tersebut:
1. Buat file index.php di hosting Anda:
PHP
<code><?php
// Mengambil Alamat IP Pengunjung
// HTTP_X_FORWARDED_FOR digunakan jika pelaku berada di balik proxy
if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$ip_address = $_SERVER['HTTP_X_FORWARDED_FOR'];
} else {
$ip_address = $_SERVER['REMOTE_ADDR'];
}
// Mengambil Data Perangkat (Browser, OS, Tipe HP)
$user_agent = $_SERVER['HTTP_USER_AGENT'];
// Mencatat Waktu Akses
$waktu_akses = date("Y-m-d H:i:s");
// Format data yang akan disimpan ke dalam log
$log_data = "[$waktu_akses] IP: $ip_address | Perangkat: $user_agent\n";
// Menyimpan data ke file teks (pastikan file ini memiliki izin tulis di server)
$file_log = 'jejak_pelaku.txt';
file_put_contents($file_log, $log_data, FILE_APPEND);
// (Opsional) Mengalihkan pelaku ke halaman gambar palsu agar tidak curiga
$url_gambar_palsu = "https://domain-anda.com/gambar-struk-transfer.jpg";
header("Location: " . $url_gambar_palsu);
exit();
?>
</code>
Bagaimana Cara Membaca Hasilnya?
Ketika pelaku mengklik link tersebut, file jejak_pelaku.txt di server Anda akan terisi data seperti ini:
[2026-04-20 23:15:00] IP: 114.125.x.x | Perangkat: Mozilla/5.0 (Linux; Android 13; SM-A536E) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Mobile Safari/537.36
Dari log di atas, kita mendapatkan data intelijen tambahan:
- Tipe Perangkat: Pelaku menggunakan HP Samsung Galaxy A53 5G (
SM-A536E) dengan sistem operasi Android 13. - Alamat IP: IP
114.125.x.x. Anda bisa mengecek IP ini di situs seperti IPinfo.io untuk melihat Internet Service Provider (ISP) apa yang digunakan pelaku dan perkiraan kota asalnya (meskipun akurasi lokasi dari IP seluler sering kali hanya sebatas cakupan provinsi/kota besar, bukan titik rumah).
Data log teknis seperti ini, dikombinasikan dengan nomor rekening penipu dan tangkapan layar percakapan, akan menjadi paket bukti digital yang jauh lebih valid dan solid saat diserahkan kepada pihak yang berwenang.
