AI Diracun: ChatGPT Shopping Scams yang Mengarah ke Website Palsu

By Ali Sadikin Ma · · Updated

Category: Technology

AI Diracun: ChatGPT Shopping Scams yang Mengarah ke Website Palsu
AI Diracun: ChatGPT Shopping Scams yang Mengarah ke Website Palsu

ChatGPT merekomendasikannya. Website itu mencuri kartu kreditnya.

Dia cuma minta rekomendasi sepatu bagus. ChatGPT kasih nama brand, kasih link, tampilannya profesional. Dia checkout tanpa curiga. Tiga hari kemudian, banknya nelepon.

ChatGPT shopping scams seperti ini bukan lagi kejadian langka — dan ini bukan kecelakaan teknis biasa. Ini serangan terencana.

Ada tiga hal yang perlu kamu tahu dulu:

Pertama, bagaimana website palsu bisa masuk ke hasil rekomendasi ChatGPT? Kedua, bagaimana cara tahu kalau kamu sudah terkena? Dan ketiga, apa yang bisa kamu lakukan sekarang juga?

Menurut Triple Whale di 2026, belanja lewat rekomendasi AI-chat sudah punya conversion rate 12,3% — empat kali lebih tinggi dari belanja tanpa bantuan AI. Jutaan orang klik rekomendasi ChatGPT dan langsung beli tanpa verifikasi apapun.

Scammer tahu angka itu. Dan mereka sedang menghitung celahnya.

AI yang Tidak Pernah Cek Sebelum Merekomendasikan

Masalah utama ChatGPT sebagai alat belanja: ia tidak memverifikasi legitimasi website yang direkomendasikannya. Menurut OpenAI sendiri pada Juni 2026, situs-situs curang berhasil masuk ke search index ChatGPT — dan baru dihapus setelah laporan publik mencuat. Ini berarti setiap link yang ChatGPT kasih ke kamu belum tentu aman.

ChatGPT bukan agen perbelanjaan yang punya tanggung jawab legal. Ia adalah model prediksi teks yang merekomendasikan berdasarkan pola data — bukan berdasarkan pengecekan keamanan real-time.

Dan celah itu sedang dieksploitasi secara masif.

Dengan conversion rate 12,3% versus 3,1% untuk belanja biasa, kepercayaan orang pada rekomendasi ChatGPT sudah menjadi aset yang sangat berharga — dan target yang sangat menggiurkan bagi pelaku ChatGPT shopping scams.

Kenapa Ini Lebih Besar dari Satu Kasus

Data-driven editorial visual showing a steeply rising growth curve labeled '47x' against a dark digital landscape — scattered fake retailer domain names dissolving into data streams.
Data-driven editorial visual showing a steeply rising growth curve labeled '47x' against a dark digital landscape — scattered fake retailer domain names dissolving into data streams.

Deteksi website palsu naik 47 kali lipat year-over-year di Q1 2026. Bukan 47 persen — 47 kali lipat.

Itulah yang ditemukan MarqVision 2026 State of Brand Integrity Report. Secara keseluruhan, ancaman brand berbasis AI tumbuh 16x di kuartal yang sama. 87% enterprise customer MarqVision yang bergerak di anti-counterfeit juga mengalami insiden brand impersonation — dua vektor ancaman ini kini berjalan sebagai satu ekosistem pemalsuan terpadu.

Dan siapa yang paling terkena dampaknya?

F-Secure Scam Intelligence & Impacts Report 2026 menemukan 77% orang dewasa yang disurvei pernah tertipu konten buatan AI. 84% khawatir AI akan membuat mereka tidak bisa lagi membedakan mana konten asli. Jumlah korban yang kehilangan uang di 2026? Dua kali lipat dibanding 2025. Konsumen usia 65–74 mencatat tingkat kerugian finansial tertinggi dari kelompok usia mana pun.

Ini bukan soal kurang hati-hati. Ini soal sistem yang memang dirancang untuk menipu.

Mekanisme di balik ChatGPT shopping scams jauh lebih terencana dari sekadar kecelakaan teknis. Di bagian selanjutnya, kita bedah sampai ke akarnya.

Cara ChatGPT “Diracun” — Mekanisme di Balik Scam Ini

Ini bukan bug di ChatGPT. Ini fitur yang sengaja dieksploitasi.

ChatGPT belajar dari data yang tersebar di internet — forum, Reddit, review produk, konten media sosial. Kalau sumber-sumber itu sudah “dikontaminasi”, rekomendasinya ikut bermasalah. Namanya: AI Recommendation Poisoning.

Cara kerjanya begini:

Investigasi 404 Media yang dilansir Slashdot pada Juni 2026 mengungkap sesuatu mengejutkan: perusahaan-perusahaan — bukan cuma scammer kelas bawah — sudah spam Reddit dengan konten AI-generated yang embed nama brand mereka di posisi persis yang diprioritaskan LLM. Semuanya tampak organik. Tapi tidak ada yang organik.

Begitu ChatGPT scrape thread itu sebagai “ground truth”, nama brand atau domain palsu masuk ke hasil rekomendasinya.

Seberapa mudah meracuni AI?

Peneliti AUMINT pada Oktober 2025 menemukan bahwa bahkan 0,1% dari data training yang sudah diracun bisa secara permanen mem-bias sebuah large language model — backdoor tak kasat mata yang hampir mustahil dideteksi setelah fakta.

Dan ini bukan hanya scammer kecil yang iseng:

Microsoft Security Blog Februari 2026 mendokumentasikan 50 unique “AI Recommendation Poisoning” prompt dari 31 perusahaan di 14 industri dalam hanya 60 hari — dan itu dari perusahaan-perusahaan legitim, bukan threat actor. Kalau perusahaan legal sudah melakukan ini untuk kepentingan bisnis, bayangkan apa yang dilakukan pelaku ChatGPT shopping scams yang tidak punya batasan etis.

Ada satu celah lagi yang sering dimanfaatkan: “data voids” — topik yang kurang dicover sumber berkualitas tinggi. Di celah itu, AI mengisi kekosongan dengan apapun yang tersedia, termasuk konten yang sengaja ditanam untuk memanipulasi rekomendasi.

Tapi bagaimana wujud nyata website palsu itu? Apakah kamu bisa mengenalinya sebelum checkout?

Playbook Penipuan: Tampilan Website Palsu Seperti Apa

Side-by-side comparison of a legitimate retail website and an AI-generated near-identical clone — the clone has a subtly misspelled URL in the address bar, an oversized '80% OFF' banner, and a countdown timer.
Side-by-side comparison of a legitimate retail website and an AI-generated near-identical clone — the clone has a subtly misspelled URL in the address bar, an oversized '80% OFF' banner, and a countdown timer.

Di 2026, kamu tidak butuh keahlian coding untuk bikin website yang terlihat persis seperti toko brand ternama. Cukup tool AI yang tepat dan 20 menit.

Malwarebytes melaporkan di Februari 2026 bahwa AI website builder seperti Lovable dan Vercel v0 sudah drastis turunkan barrier untuk launch situs polished dalam hitungan menit — hasilnya bisa identik dengan brand asli sampai ke detail terkecil. Inilah yang membuat ChatGPT shopping scams jauh lebih sulit dikenali dibanding scam belanja konvensional.

Kecepatan serangannya juga menggiriskan:

MarqVision 2026 menemukan 25% brand mengalami impersonasi dalam 48 jam setelah produknya viral. Sebelum pagi hari, tiruannya sudah online. Contoh paling nyata terjadi di Juni 2026: situs palsu Russell & Bromley muncul langsung di hasil shopping ChatGPT dengan diskon hingga 80% off, menurut laporan Retail Gazette tanggal 8 Juni 2026.

80% off.

Angka itu cukup besar untuk mematikan logika siapapun.

Red flag yang biasanya muncul di website palsu:

Conceptual visualization of social media forum posts flowing through a data pipeline into an AI model — some posts highlighted in red as 'planted' content, the AI output showing a clean-looking recommendation.
Conceptual visualization of social media forum posts flowing through a data pipeline into an AI model — some posts highlighted in red as 'planted' content, the AI output showing a clean-looking recommendation.
  • URL dengan kata tambahan — “brand-official.com”, “brand-us-sale.net”, “-london.co”
  • Diskon tidak masuk akal: 60–80% off untuk produk premium
  • Countdown timer “penawaran terbatas 24 jam”
  • Review bintang lima yang semuanya diposting dalam seminggu yang sama
  • Tidak ada nomor telepon atau alamat fisik yang bisa diverifikasi

Setiap red flag ini bisa dideteksi dalam 60 detik. Dan begini 6 cara pastinya.

6 Pemeriksaan Sebelum Klik ChatGPT Shopping Link

Person at a laptop in a well-lit home setting, leaning forward to closely inspect the browser address bar — thoughtful investigative expression, not fearful. Conveys practical awareness-building.
Person at a laptop in a well-lit home setting, leaning forward to closely inspect the browser address bar — thoughtful investigative expression, not fearful. Conveys practical awareness-building.

ChatGPT shopping scams bisa dihindari dengan 6 langkah ini — dan langkah yang paling penting cuma butuh 10 detik, tapi hampir semua orang lewatin.

1. Jangan klik langsung — ketik sendiri URL-nya

Apa yang dilakukan: Jadikan setiap rekomendasi AI sebagai titik awal, bukan bukti legitimitas. Perlakukan seperti tips dari orang asing — berguna, tapi perlu diverifikasi sendiri.

Bagaimana caranya: Setelah ChatGPT sebut nama brand, tutup link itu. Buka tab baru. Ketik URL brand yang sudah kamu kenal dari memori, atau cari di Google lalu pilih yang ada centang “verified merchant”.

Contoh nyata: Kalau ChatGPT rekomendasikan “Russell & Bromley”, jangan klik linknya — ketik “russellandbromley.co.uk” langsung di address bar. Satu kebiasaan ini memutus hampir semua jalur typosquatting sebelum kamu sampai ke checkout.

Hasilnya: Tidak ada link yang bisa mengarahkan kamu ke situs salah kalau kamu tidak pernah mengkliknya sejak awal.

2. Baca URL-nya karakter demi karakter

Apa yang dilakukan: Jangan lihat judulnya — lihat address bar-nya. Domain adalah satu-satunya identitas yang tidak bisa dipalsukan tanpa kamu sadar.

Bagaimana caranya: Waspadai pola “brand-official.com”, “brand-us.net”, atau “brand-london-sale.com”. Domain brand besar yang asli biasanya pendek dan tidak ada kata tambahan. Satu karakter beda — huruf kapital I bukan l — sudah cukup untuk mengarahkan ke situs sepenuhnya berbeda.

Contoh nyata: Malwarebytes mencatat sekitar 19.000 domain terdaftar untuk impersonasi brand retail besar, dengan hampir 3.000 di antaranya sudah hosting halaman phishing atau toko curang per Februari 2026.

Hasilnya: Pemeriksaan 10 detik ini bisa menyelamatkan kamu dari ChatGPT shopping scams yang tampak paling meyakinkan sekalipun.

3. Tolak semua tekanan waktu

Apa yang dilakukan: Anggap countdown timer dan spanduk diskon ekstrem sebagai automatic red flag, bukan kesempatan emas yang harus disambar.

Bagaimana caranya: Kalau ada timer, berhenti. Urgency artifisial adalah senjata utama untuk mematikan critical thinking. Tanyakan: apakah brand ini biasanya kasih diskon 80%? Kalau tidak, selesai — tutup tab itu.

Contoh nyata: Situs palsu Russell & Bromley yang muncul di hasil ChatGPT pakai banner diskon 80% — persis pola “too-good-to-be-true” yang dibungkus dalam authority AI untuk memperkuat tipu muslihat.

Hasilnya: Menolak urgency memberi otakmu waktu untuk menjalankan lima cek sisanya — dan itu sudah cukup untuk menghindari sebagian besar scam.

4. Cek pola review, bukan jumlah bintang

Apa yang dilakukan: Baca review-nya dan perhatikan tanggal posting, bukan rata-rata bintangnya.

Bagaimana caranya: Cluster review bintang 5 yang semuanya muncul dalam seminggu yang sama adalah sinyal penipuan. Akun reviewer baru dengan nol riwayat pembelian lain juga. Cari review yang menyebut masalah spesifik — pelaku ChatGPT shopping scams jarang bikin review kritis yang terdengar autentik.

Contoh nyata: Situs palsu biasanya punya 20–50 review bintang 5 diposting dalam 3–7 hari peluncuran, semua dengan phrasing yang mirip dan tanpa foto produk asli dari pembeli nyata.

Hasilnya: Fake review cluster mengungkap bahwa situs itu baru dibuat khusus untuk satu gelombang scam sebelum di-takedown.

5. Cross-check dengan sumber kedua

Apa yang dilakukan: Verifikasi brand di platform lain sebelum memasukkan data pembayaran apapun.

Bagaimana caranya: Cari brand di marketplace terpercaya, atau kunjungi situs resminya lewat Google dan bandingkan domain-nya. Perhatikan kalau domain yang ChatGPT rekomendasikan berbeda dari yang muncul di halaman pertama Google untuk nama brand yang sama.

Konteks skala: Microsoft Security memblokir sekitar 1,6 juta percobaan bot signup setiap jam pada 2025 — ancaman memang besar, tapi verifikasi manual ini memotong jalur masuknya sebelum menyentuh akunmu.

Hasilnya: Satu tab ekstra dan 30 detik perbandingan URL bisa mengungkap perbedaan yang tidak terlihat dari tampilan situs itu sendiri.

6. Bayar pakai kartu kredit, bukan transfer

Apa yang dilakukan: Pilih metode pembayaran yang punya dispute process kalau terjadi fraud.

Bagaimana caranya: Kartu kredit punya perlindungan chargeback yang bisa diaktifkan dalam 60–120 hari setelah transaksi. Transfer bank, crypto, atau dompet digital tidak punya jalur yang sama. Bahkan kalau terlanjur checkout di situs ChatGPT shopping scams, kartu kredit memberi jaring pengaman terakhir.

Hasilnya: Satu keputusan metode bayar ini adalah perbedaan antara kehilangan uang permanen dan mendapatkannya kembali lewat dispute bank.

Kalau Sudah Terlanjur Kena: Recovery Checklist

Person sitting at a kitchen table on their smartphone, looking concerned but focused — calling their bank or taking recovery action. Warm empathetic lighting conveys 'you can handle this' rather than panic.
Person sitting at a kitchen table on their smartphone, looking concerned but focused — calling their bank or taking recovery action. Warm empathetic lighting conveys 'you can handle this' rather than panic.

Kalau kamu sudah memasukkan data pembayaran di situs yang mencurigakan — ini bukan akhir dunia. Tapi jangan tunggu. Setiap menit yang berlalu memberi scammer lebih banyak waktu untuk menggunakan datamu.

Ambil langkah-langkah ini secepat mungkin:

  1. Jangan buka lagi situsnya. Tutup semua tab dan disconnect dari jaringan kalau ada app yang ter-install dari situs tersebut.
  2. Dari perangkat lain yang terpercaya, segera logout dari semua akun penting — email, banking, cloud storage — dan force-logout semua sesi aktif.
  3. Ganti password mulai dari email utama, lalu banking, lalu semua akun yang pakai password yang sama. Credential stealer biasanya harvest semua password yang tersimpan di browser dalam satu kali jalan.
  4. Hubungi bank segera dan minta freeze atau cancel kartu yang digunakan. Aktifkan dispute kalau ada transaksi yang tidak kamu kenali.
  5. Kalau ada app yang ter-download: Malwarebytes menemukan pada Mei 2026 bahwa hanya 9 dari 69 antivirus engine yang flagged credential-stealer openew[.]app sebagai berbahaya — scan bersih bukan jaminan aman. Malware Odyssey Stealer untuk macOS yang dikirim lewat situs fake ChatGPT disewakan $3.000 per bulan dan secara spesifik menarget Ledger Live, Ledger Wallet, dan Trezor Suite. Kalau ada crypto wallet di device tersebut, pindahkan dananya segera dari perangkat lain yang bersih.
  6. Kalau ragu, reinstall OS dari sumber bersih — lebih aman dari berharap cleanup parsial berhasil. Credential stealer sering pasang persistence yang bertahan setelah cleanup biasa.
  7. Bookmark chatgpt.com langsung di browser. Jangan pernah search “ChatGPT” di mesin pencari lagi — malvertising yang menarget kueri ini masih aktif per Mei 2026, menurut laporan Push Security.

Satu tindakan yang diambil sekarang lebih baik dari sepuluh rencana yang ditunda besok.

Gambaran Lebih Besar: AI Shopping Tumbuh Lebih Cepat dari Perlindungannya

Ini bukan masalah yang selesai sendiri — dan skalanya sedang meledak.

Morgan Stanley memproyeksikan di 2026 bahwa agentic-shopping AI assistant akan mencapai $385 miliar penjualan e-commerce AS pada 2030. Traffic retail yang datang dari AI sudah tumbuh 4.700% year-over-year. Pasar AI shopping assistant sendiri diproyeksikan tumbuh dari $5,28 miliar di 2025 menjadi $6,9 miliar di 2026 — dengan CAGR 30,6%, menurut Research and Markets 2026.

Ingat angka dari pembukaan: belanja lewat AI-chat punya conversion rate 12,3% versus 3,1% untuk belanja biasa. Kepercayaan yang membuat AI shopping empat kali lebih efektif — itu juga yang menjadi celah utama bagi ChatGPT shopping scams untuk berkembang.

Sebelum sesi belanja AI-mu berikutnya, tanyakan satu hal pada diri sendiri: apakah aku mengetik URL ini sendiri, atau aku cukup percaya pada link yang diberikan?

Bookmark chatgpt.com sekarang dan jangan pernah search ChatGPT di mesin pencari lagi — satu URL terverifikasi adalah perlindungan scam paling efektif yang pernah ada.

Bagikan artikel ini ke orang-orang di sekitarmu yang sering belanja pakai rekomendasi ChatGPT — terutama yang langsung klik tanpa verifikasi dulu.

FAQ: Keamanan Belanja di ChatGPT

Apakah ChatGPT bisa merekomendasikan website palsu?

Ya. ChatGPT belajar dari data internet yang bisa dimanipulasi — termasuk forum dan review yang sengaja ditanam pihak jahat. Pada Juni 2026, OpenAI mengakui menghapus website curang dari search index-nya, konfirmasi langsung bahwa pipeline rekomendasinya bisa dieksploitasi. Ini tidak berarti ChatGPT tidak berguna untuk belanja — artinya setiap link harus diverifikasi secara manual sebelum checkout.

Apa cara paling cepat untuk mengecek link dari ChatGPT?

Jangan klik linknya — ketik URL brand langsung di tab baru. Itu langkah paling sering dilewati tapi paling efektif untuk menghindari ChatGPT shopping scams. F-Secure 2026 menemukan 84% konsumen khawatir tidak bisa lagi membedakan konten asli dari yang palsu. Memverifikasi URL secara manual adalah satu-satunya cara yang benar-benar bisa diandalkan saat ini.

Bagaimana kalau sudah terlanjur klik link dari ChatGPT dan merasa mencurigakan?

Jangan masukkan data apapun dan tutup tab segera. Kalau sudah ada data yang dimasukkan, hubungi bank dalam 1 jam pertama untuk freeze kartu. Ganti password email utama dari perangkat lain yang bersih. Menurut F-Secure 2026, lebih dari setengah korban scam kehilangan uang — bertindak cepat adalah perbedaan antara freeze dan kehilangan permanen.