Festival belanja nasional yang sering digelar bukan hanya menjadi puncak penjualan, tetapi juga menjadi momen rawan serangan terhadap pelaku usaha retail. Lalu, bagaimana perusahaan retail bisa bersiap menghadapi ancaman ini, terutama dengan kampanye promosi yang rutin digelar di Indonesia?
Laporan State of the Internet (SOTI) berjudul “Commerce Under Attack: Protecting Retail — the Most Targeted Industry” dari Akamai mengungkapkan bahwa pada tahun 2024, jumlah serangan terhadap aplikasi web dan API secara global mencapai 311 miliar, naik 33% dibandingkan tahun sebelumnya.
Dari jumlah tersebut, sektor perdagangan, baik retail online maupun toko fisik, menjadi target utama. Menurut Akamai, sektor ini menghadapi lebih dari 230 miliar serangan web, mencakup sekitar 40% dari total serangan global selama 2023–2024. Angka ini hampir tiga kali lipat lebih tinggi dibandingkan industri teknologi tinggi (high-tech) yang berada di peringkat kedua.
Ratusan miliar upaya serangan menargetkan aplikasi yang berhadapan langsung dengan pelanggan (customer-facing applications), celah keamanan API, serangan Layer-7 DDoS, serta penggunaan bot.
Bahkan, teknologi AI dan otomatisasi semakin mempercepat eksploitasi. Di kawasan Asia Pasifik, jumlah serangan web mencapai 18 miliar, dengan hampir satu dari lima serangan mengeksploitasi kerentanan atau celah API dan 16% menggunakan serangan Layer-7 DdoS untuk mengganggu transaksi online.
Indonesia Menjadi Magnet Kejahatan Siber
Angka 230 miliar serangan menunjukkan adanya ancaman serius yang dihadapi perusahaan retail, termasuk di Indonesia. Hal ini semakin mengkhawatirkan mengingat pesatnya pertumbuhan pasar e-commerce domestik, yang diperkirakan mencapai USD46,6 miliar (Rp785,5 triliun) menurut GlobalData.
Dengan tingkat pertumbuhan tahunan gabungan (CAGR) sebesar 9,04% dari 2024 hingga 2028, nilai transaksi e-commerce Indonesia diproyeksikan naik dari USD40,4 miliar pada 2023 menjadi USD63,2 miliar pada 2028.
Di sisi lain, adopsi pembayaran digital juga meningkat pesat di negeri ini. Hal ini tercermin dalam laporan Bank Indonesia mengenai kinerja transaksi ekonomi dan keuangan digital pada kuartal II 2025. Pada periode tersebut, transaksi pembayaran digital tumbuh 30,51% secara tahunan (yoy), mencapai 11,67 miliar transaksi, didorong oleh pertumbuhan di semua channel.
Volume transaksi melalui aplikasi mobile naik 32,16% yoy, sementara internet banking tumbuh 6,95% yoy. Lonjakan terbesar terjadi pada QRIS, yang meningkat 148,50% yoy, mencerminkan pertumbuhan jumlah pengguna dan merchant. Dengan pencapaian ini, jelas bahwa sektor retail domestik semakin menjadi incaran pelaku kejahatan siber.
Alasan Sektor Retail Menjadi Target
Setidaknya ada tiga alasan mengapa sektor retail saat ini sangat rentan terhadap serangan siber:
1. Ekosistem perdagangan yang kompleks – sistem pembayaran, logistik, marketplace, dan program loyalitas saling terhubung melalui API, menjadikannya target yang menarik bagi pelaku kejahatan siber.
2. Time-to-market lebih penting dari keamanan – dorongan untuk cepat masuk pasar sering kali mengesampingkan prinsip desain yang aman sejak awal.
3. Ketergantungan pada pihak ketiga – Ketergantungan pada Fintech, penyedia sistem pembayaran dan API logistik, yang artinya jika satu penyedia kebobolan, dampaknya bisa menjalar ke seluruh rantai pasokan.
Di luar faktor-faktor tersebut, ancaman baru muncul seiring kemajuan teknologi: penggunaan kecerdasan buatan (AI). Pelaku serangan kini memanfaatkan AI untuk memindai API secara otomatis, mengidentifikasi celah atau kerentanan unik, dan meluncurkan serangan yang disesuaikan dengan kelemahan masing-masing target.
Dengan otomatisasi, waktu eksekusi serangan menjadi jauh lebih singkat, sering kali membuat pertahanan tradisional tidak lagi efektif.
Dampak dan Konsekuensi Serangan Web dan API
Serangan terhadap sektor retail tidak hanya mengganggu aktivitas belanja online, tetapi juga menimbulkan risiko serius bagi bisnis. Data Akamai menunjukkan bahwa lebih dari 64,25% serangan web di sektor perdagangan menargetkan sistem yang berhadapan langsung dengan pelanggan dan menyimpan data pribadi serta informasi pembayaran. Dampaknya meliputi:
- Kebocoran data yang mengungkap identitas konsumen
- Penipuan pembayaran melalui pencurian data kartu atau transaksi palsu
- Kerusakan reputasi yang mengikis kepercayaan pelanggan
Selain itu, serangan Layer-7 DDoS mencapai 4,8 triliun selama periode 2023–2024, menyebabkan gangguan operasional di masa-masa puncak. Dampaknya jelas: potensi kehilangan pendapatan dalam hitungan jam dan reputasi yang tercoreng.
Yang lebih mengkhawatirkan, Akamai juga mencatat lonjakan 137% dalam serangan bot fraud berbasis AI pada Januari 2024. Bot ini digunakan untuk penipuan skala besar, termasuk scraping harga, pembelian produk secara besar-besaran (scalping), dan manipulasi inventaris.
Mengapa Indonesia Lebih Rentan
Ancaman siber terhadap sektor retail di Indonesia terus meningkat, dipicu oleh karakteristik pasar digital yang unik. Ekosistem retail digital lokal sangat bergantung pada pihak ketiga, mulai dari penyedia pembayaran hingga layanan logistik, yang menciptakan banyak titik rawan serangan. Pertumbuhan pesat transaksi digital, termasuk lonjakan penggunaan QRIS dan dompet digital (e-wallet), juga membuka lebih banyak jalur API yang rentan dieksploitasi oleh pelaku kejahatan siber.
Meskipun badan regulasi seperti OJK mendorong tata kelola yang lebih baik dalam inovasi keuangan digital, kepatuhan terhadap standar keamanan API di kalangan perusahaan retail kecil dan menengah serta mitra fintech masih dalam tahap perkembangan.
Selain itu, musim berbelanja yang panjang seperti Harbolnas dan Ramadan, juga menyebabkan lonjakan trafik yang seringkali dieksploitasi penjahat siber. Sementara, kesenjangan kapabilitas keamanan di kalangan UKM, yang banyak bergantung pada platform marketplace tanpa memiliki kendali penuh terhadap sistem keamanan mereka, meningkatkan risiko bagi seluruh ekosistem retail.
Studi Kasus
Dalam laporan SOTI, Akamai menyoroti serangan pada kuartal I 2025 terhadap sebuah perusahaan e-commerce. Serangan ini mengeksploitasi API SMS yang tidak terautentikasi, dan digunakan untuk mengirim ribuan pesan ke nomor acak. Akibatnya, perusahaan mengalami lonjakan biaya tak terduga dan kerusakan reputasi.
Sementara itu, di Indonesia, pada tahun 2017, seorang peneliti keamanan independen menemukan satu kerentanan di beberapa API milik perusahaan layanan on-demand Indonesia, yang kemudian segera menerima patch. Kerentanan ini bisa berakibat pada tersebarnya data perjalanan dan transaksi pelanggan.
Langkah praktis Menghadapi Serangan API
Untuk mengatasi ancaman siber yang semakin canggih, sektor retail Indonesia perlu mengambil langkah-langkah nyata. Berikut ini beberapa rekomendasi dari laporan Akamai yang bisa menjadi acuan:
Memperkuat Keamanan API
- Terapkan autentikasi dan otorisasi yang ketat sejak tahap desain hingga produksi.
- Lakukan pencarian terus menerus untuk mengidentifikasi API shadow dan zombie yang berpotensi menjadi kerentanan.
Pertahanan Terhadap Serangan Bot
- Gunakan analisis perilaku untuk membedakan pelanggan asli dari bot.
- Blokir bot berbahaya yang berusaha melakukan scalping, scraping, dan manipulasi inventaris.
Siap Hadapi Layer-7 DdoS
- Pasang perlindungan Layer-7 dan CDN caching untuk menjaga stabilitas situs saat lonjakan trafik.
- Uji rencana respons DDoS sebelum puncak musim belanja
Lakukan Stress Test dan Manajemen Trafik
- Lakukan simulasi lonjakan trafik, seperti saat Harbolnas atau Ramadan, jauh-jauh hari.
- Terapkan sistem antrean (waiting room) untuk mencegah crash saat trafik tinggi.
Terapkan Zero-Trust dan Pertahanan Berbasis AI
- Terapkan prinsip Zero Trust untuk API dan segmentasi beban kerja.
- Gunakan tool AI untuk mendeteksi serangan yang juga berbasis AI.
Optimalkan Kinerja dan Monitoring
- Terapkan cache pada respons API yang penting (harga, quote pengiriman) agar tetap responsif.
- Gunakan monitoring dan logging yang terintegrasi dan real-time untuk mendeteksi anomali dengan cepat.
Lakukan Evaluasi Pasca Musim Belanja
- Catat kelemahan dan peluang otomatisasi setelah periode puncak.
- Ambil insight untuk perencanaan yang lebih baik di musim berikutnya.
Dengan lebih dari 200 miliar serangan web yang menargetkan sektor perdagangan selama 2023–2024, retail telah menjadi target utama para penjahat siber. Ancaman ini semakin mendesak bagi perusahaan retail Indonesia, terutama di tengah pertumbuhan pesat e-commerce dan transaksi digital. Penguatan API, perlindungan terhadap bot, mitigasi DDoS, dan penerapan Zero Trust harus segera diambil untuk mengamankan bisnis dan mempertahankan kepercayaan pelanggan.
Hal itu bukan lagi sekadar investasi teknologi, melainkan keharusan bisnis untuk menjaga kepercayaan, melindungi pertumbuhan, dan tetap kompetitif di pasar e-commerce paling dinamis di Asia Tenggara.
(Reuben Koh, Director, Security Technology & Strategy, Akamai)
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
