Cara kerja keamanan Nexo, dan cara memperkuat akun Anda

May 147 min read

Keamanan dalam crypto adalah tanggung jawab bersama. Platform menerapkan berbagai langkah pengamanan — kontrol infrastruktur, deteksi penipuan, enkripsi — namun sebagian besar risiko akun bisa berasal dari sisi pengguna: kata sandi yang lemah, tautan yang tidak terverifikasi, serta alamat yang diubah tanpa disadari siapapun.

Artikel ini membahas kedua sisi tersebut. Apa yang dijalankan Nexo di latar belakang, apa yang diverifikasi oleh auditor independen, dan apa yang dapat Anda aktifkan sendiri untuk membuat akun Anda jauh lebih sulit dikompromikan.

Yang berjalan di latar belakang

Ini beroperasi secara default. Tidak ada yang perlu diatur atau diaktifkan — semuanya aktif untuk setiap akun, setiap transaksi.

Mesin anti-scam

Setiap penarikan di Nexo melewati mesin anti-scam otomatis yang menganalisis transaksi secara real time sebelum dana keluar dari platform. Jika ada yang terlihat mencurigakan — alamat yang terkait dengan aktivitas scam yang diketahui, pola transaksi yang tidak biasa, atau tujuan yang tidak sesuai dengan perilaku sebelumnya — Anda akan melihat prompt dalam bahasa yang mudah dipahami yang menjelaskan kekhawatiran tersebut. Tidak ada jargon, tidak ada peringatan yang samar. Dalam kasus berisiko tinggi yang jarang terjadi, sebuah transaksi mungkin dijeda sebentar untuk ditinjau.

Mesin ini berjalan secara diam-diam di latar belakang. Sebagian besar pengguna tidak akan pernah menemuinya. Itulah tujuannya.

Enkripsi

Data dalam transit dan saat diam di seluruh platform dilindungi dengan enkripsi SSL AES 256-bit — standar yang sama yang digunakan oleh lembaga keuangan dan infrastruktur cloud skala besar di seluruh dunia.

Audit independen

Infrastruktur Nexo diaudit secara independen terhadap serangkaian kerangka keamanan yang diakui secara internasional, semuanya diperbarui setiap tahun:

  • SOC 2 Type 2 — kontrol dan proses keamanan operasional
  • SOC 3 — ringkasan audit SOC 2 yang menghadap publik
  • ISO 27001 — manajemen keamanan informasi
  • ISO 27017 — kontrol keamanan khusus cloud
  • ISO 27018 — perlindungan informasi identitas pribadi di cloud
  • CSA STAR Level 1 — jaminan keamanan cloud

Audit dilakukan oleh pihak ketiga independen secara berkala.

Yang dapat Anda aktifkan

Sisi platform mencakup infrastruktur dan transaksi. Yang tidak bisa dicakupnya adalah akses akun Anda — itu bergantung pada bagaimana Anda telah mengatur semuanya. Fitur-fitur ini tersedia untuk setiap pengguna dan hanya butuh beberapa menit untuk dikonfigurasi.

Autentikasi Dua Faktor (2FA)

2FA menambahkan langkah verifikasi kedua saat Login. Di Nexo, verifikasi yang sama — SMS, Email, atau aplikasi autentikator — juga diperlukan untuk tindakan sensitif: penarikan, pengeditan Buku Alamat, dan perubahan Pengaturan Keamanan. Jadi meskipun seseorang mengetahui kata sandi Anda, mereka tidak bisa memindahkan dana atau mengubah pengaturan Anda tanpa faktor kedua.

Aplikasi autentikator (seperti Google Authenticator atau Authy) lebih kuat daripada 2FA berbasis SMS. SMS rentan terhadap serangan SIM swap, di mana penyerang meyakinkan operator seluler Anda untuk mentransfer nomor Anda ke SIM yang mereka kendalikan. Jika Anda menggunakan SMS 2FA, beralih ke aplikasi autentikator sangat sepadan dengan dua menit yang diperlukan.

Untuk mengaktifkan: buka Pengaturan Keamanan Anda dan pilih metode 2FA yang Anda inginkan.

Catatan penting: 2FA secara signifikan mengurangi risiko akses tidak sah, tetapi bukan jaminan yang sepenuhnya. Simpan kode pemulihan Anda di tempat yang aman — kehilangan akses ke perangkat 2FA Anda tanpa cadangan dapat mengunci Anda dari akun Anda.

Kode Anti-Phishing

Phishing — Email palsu yang tampak berasal dari Nexo — adalah salah satu vektor serangan yang paling umum dalam crypto. Kode Anti-Phishing adalah string pribadi yang Anda tetapkan sendiri dan muncul di footer setiap Email resmi yang dikirim Nexo kepada Anda. Jika sebuah Email yang mengaku berasal dari Nexo tidak memuat kode Anda, berarti Email itu bukan dari Nexo.

Untuk mengaturnya: buka aplikasi Nexoketuk profil Anda Keamanan & PengaturanKode Anti-Phishing → masukkan kode pilihan Anda.

Setelah diatur, perlakukan Email Nexo mana pun tanpa kode Anda sebagai mencurigakan — terlepas dari seberapa meyakinkan tampilannya.

Whitelist alamat

Salah satu vektor serangan yang lebih tersembunyi dalam crypto adalah penggantian alamat — malware yang secara diam-diam mengganti alamat penarikan yang disalin dengan alamat yang dikendalikan oleh penyerang. Jika Anda tidak memverifikasi alamat lengkap karakter per karakter sebelum mengonfirmasi, Anda mungkin tidak menyadarinya.

Address whitelisting mengunci penarikan Anda ke alamat yang tersimpan di Buku Alamat Anda (hingga 500). Anda juga dapat mengatur penundaan Extra Security pada alamat yang baru ditambahkan — jendela yang dapat dikonfigurasi sebelum alamat baru dapat digunakan untuk penarikan. Ini menutup jendela swap: bahkan jika penyerang mendapatkan akses sementara ke akun Anda, mereka tidak dapat langsung menarik ke alamat baru.

Untuk mengaktifkan: buka Pengaturan Keamanan Anda dan aktifkan Address Whitelisting.

Channel validator

Sebelum berinteraksi dengan alamat Email, handle media sosial, atau URL mana pun yang mengaku sebagai Nexo, Anda dapat memverifikasinya di nexo.com/channel-validator. Jika tidak ada di validator, berarti itu bukan saluran resmi Nexo.

Ini sangat berguna untuk media sosial — akun Nexo palsu di X, Telegram, dan Discord sangat umum, dan biasanya mereka menyamar sebagai staf dukungan atau menjalankan kampanye promosi palsu.

Apa yang tidak akan pernah dilakukan Nexo

Beberapa hal yang perlu diketahui, karena mengetahuinya membuat upaya rekayasa sosial lebih mudah dikenali:

  • Nexo tidak akan pernah meminta kata sandi atau kode 2FA Anda
  • Nexo tidak akan pernah meminta Anda mengotorisasi transaksi melalui chat, Email, atau pesan teks
  • Nexo tidak akan pernah mengirimkan tautan Login kepada Anda melalui SMS

Jika ada orang yang mengaku berasal dari Nexo melakukan salah satu dari hal-hal tersebut, itu bukan Nexo. Anda dapat melaporkan aktivitas mencurigakan ke tim Layanan Klien di support.nexo.com/contact.

Dari mana keamanan akun Anda sebenarnya berasal

Tidak ada platform yang dapat menghilangkan semua risiko. Yang dilakukan oleh langkah-langkah di atas — baik infrastruktur sisi platform maupun fitur sisi pengguna — adalah mengurangi permukaan serangan dan membuat akun Anda jauh lebih sulit dikompromikan.

Infrastruktur menangani apa yang tidak dapat dilihat atau dikendalikan oleh pengguna. Fitur sisi pengguna menangani apa yang tidak bisa dilakukan platform — karena tidak ada jumlah keamanan backend yang bisa menghentikan penyerang yang memiliki kredensial Anda, atau pengguna yang mengklik tautan phishing.

Mengatur 2FA melalui aplikasi autentikator, mengaktifkan Kode Anti-Phishing, dan mengaktifkan address whitelisting hanya membutuhkan waktu kurang dari sepuluh menit. Ini adalah tindakan keamanan dengan imbal hasil tertinggi yang belum dilakukan oleh sebagian besar pengguna.

Untuk gambaran lebih lengkap tentang ancaman umum dan cara melindungi diri dari ancaman tersebut, lihat Ancaman keamanan umum dan cara mengatasinya.

Tanya jawab umum

1. Apa itu mesin anti-scam, dan bagaimana cara kerjanya? 

Ini adalah sistem otomatis yang menganalisis setiap penarikan secara real time sebelum dana keluar dari platform. Jika sebuah transaksi terlihat mencurigakan — berdasarkan alamat tujuan, pola transaksi, atau sinyal lainnya — Anda akan melihat penjelasan dalam bahasa yang mudah dipahami. Dalam kasus berisiko tinggi yang jarang terjadi, transaksi mungkin dijeda sebentar. Ini berjalan secara default tanpa perlu konfigurasi apa pun.

2. Apa perbedaan antara SMS 2FA dan aplikasi autentikator? 

Keduanya menambahkan langkah verifikasi kedua saat Login. SMS 2FA rentan terhadap serangan SIM swap, di mana penyerang meyakinkan operator seluler Anda untuk mengalihkan nomor Anda ke SIM yang mereka kendalikan. Aplikasi autentikator menghasilkan kode secara lokal di perangkat Anda dan tidak terikat ke nomor telepon Anda, sehingga lebih tahan terhadap jenis serangan ini.

3. Apa yang harus saya lakukan jika menerima Email mencurigakan yang mengaku berasal dari Nexo? 

Periksa apakah Email tersebut memuat Kode Anti-Phishing Anda di footer — jika tidak, berarti Email itu bukan dari Nexo. Anda juga dapat memverifikasi alamat Email, handle sosial, atau URL apa pun di nexo.com/channel-validator. Laporkan pesan mencurigakan ke tim Layanan Klien Nexo di support.nexo.com/contact.

4. Apakah staf Nexo dapat mengakses akun saya tanpa izin saya? 

Nexo tidak akan pernah meminta kata sandi atau kode 2FA Anda, dan tidak akan pernah meminta Anda mengotorisasi transaksi melalui chat, Email, atau pesan teks. Jika ada orang yang mengaku sebagai dukungan Nexo melakukan salah satu hal tersebut, itu bukan Nexo.

5. Apa itu address whitelisting, dan apakah saya perlu mengaktifkannya? 

Address whitelisting membatasi penarikan hanya ke alamat yang telah Anda setujui sebelumnya di Buku Alamat Anda. Fitur ini juga memungkinkan Anda mengatur penundaan sebelum alamat yang baru ditambahkan dapat digunakan. Ini melindungi dari malware pengganti alamat dan membatasi apa yang dapat dilakukan penyerang dengan akses akun sementara. Layak untuk diaktifkan jika Anda memiliki tujuan penarikan yang rutin.

Materi-materi ini dapat diakses secara global, dan ketersediaan informasi ini tidak berarti akses ke layanan yang dijelaskan, yang mungkin tidak tersedia di yurisdiksi tertentu. Materi ini hanya untuk tujuan informasi umum dan tidak dimaksudkan sebagai saran keuangan, legal, pajak, atau investasi, penawaran, ajakan, rekomendasi, atau dukungan untuk menggunakan Layanan Nexo apa pun, serta tidak terpersonalisasikan atau disesuaikan dengan tujuan investasi, situasi keuangan, atau kebutuhan tertentu. Aset digital tunduk pada tingkat risiko yang tinggi, termasuk namun tidak terbatas pada dinamika harga pasar yang volatil, perubahan regulasi, dan kemajuan teknologi. Kinerja masa lampau aset digital bukan merupakan indikator yang andal untuk hasil di masa depan. Aset digital bukan uang atau alat pembayaran yang sah, tidak didukung oleh pemerintah atau bank sentral, dan sebagian besar tidak memiliki aset dasar, aliran pendapatan, atau sumber nilai lainnya. Pertimbangan mandiri berdasarkan keadaan pribadi harus dilakukan, dan konsultasi dengan profesional yang berkualifikasi direkomendasikan sebelum mengambil keputusan apa pun.

Langkah-langkah keamanan yang dijelaskan dalam artikel ini mencerminkan infrastruktur dan fitur Nexo per tanggal publikasi. Keamanan adalah bidang yang terus berkembang, dan tidak ada sistem yang menghilangkan semua risiko. Pengguna didorong untuk tetap terinformasi dan mengambil peran aktif dalam melindungi akun mereka.

The Nexo Championship returns August 20–23.

Learn more