Domain Hijack Saat Transfer: Celah yang Sering Diabaikan dan Cara Menutupnya
July 4, 2026 · By DomainScope
Saya pernah ngobrol dengan seorang agency owner yang kehilangan domain kliennya saat sedang dalam proses transfer antar registrar. Tujuh hari proses transfer, dan di hari kelima domain itu tiba-tiba aktif dengan konten yang sama sekali asing. Bukan error teknis. Bukan kecelakaan sistem. Itu domain hijack yang terjadi di titik paling lemah: saat domain sedang "dalam perjalanan".
Kebanyakan orang fokus mengamankan domain sebelum dan sesudah transfer. Tapi selama proses berlangsung? Itu zona abu-abu yang jarang dipikirkan serius.
Kenapa Momen Transfer Jadi Target Empuk
Selama proses transfer, domain berada dalam status limbo. Registrar lama sudah melepas kendali penuh, registrar baru belum sepenuhnya mengambil alih. Di sinilah celah terbuka. Authorization code (auth code / EPP code) yang bocor adalah penyebab paling umum — bukan karena sistem registrar lemah, tapi karena auth code dikirim lewat email yang tidak aman, atau diminta oleh pihak ketiga yang pura-pura jadi agen transfer.
Ada juga pola yang lebih licik: social engineering ke tim support registrar. Pelaku menghubungi support, mengklaim sebagai pemilik domain, dan meminta auth code dikirim ulang ke email "baru" yang sebenarnya milik mereka. Tanpa verifikasi ketat dari pihak registrar, permintaan ini kadang berhasil.
Satu lagi yang sering diremehkan: domain yang sedang dalam proses transfer ke akun baru sering kali tidak terlindungi domain lock. Karena memang harus dilepas dulu agar transfer bisa jalan. Itu artinya ada jendela waktu — bisa 5 sampai 7 hari — di mana domain tidak punya mekanisme perlindungan dasar.
Auth Code Bukan Jaminan Keamanan
Miskonsepsi umum: selama auth code ada di tangan kamu, transfer aman. Tidak sepenuhnya benar. Auth code adalah kunci, tapi kunci bisa disalin. Kalau email akun registrar kamu tidak dilindungi 2FA dan password yang kuat, auth code bisa diambil tanpa kamu tahu. Pelaku tidak perlu meretas registrar — cukup masuk ke inbox email kamu.
Saya lihat ini berulang di komunitas domain flipper. Domain dengan nilai jual tinggi — DA 40+, usia 10 tahun, backlink dari situs otoritatif — jadi target justru karena nilainya kelihatan jelas dari luar. Orang yang berniat jahat tahu cara membaca metrik domain. Mereka tidak membajak sembarang domain.
Celah di Sisi Pembeli Domain Expired
Kalau kamu membeli expired domain dan berencana transfer ke registrar pilihan kamu, ada risiko tambahan yang jarang dibahas: kamu tidak selalu tahu sejarah lengkap domain itu. Apakah domain ini pernah jadi korban hijack sebelumnya? Apakah pemilik sebelumnya meninggalkan akses terbuka yang belum dicabut?
Di sinilah saya selalu menyarankan untuk mengaudit domain sebelum memulai proses transfer — bukan sesudah. Kalau kamu pakai DomainScope, kamu bisa lihat data registrasi ASLI dari ICANN/RDAP: siapa registrar sebelumnya, kapan domain terakhir transfer, dan apakah ada anomali dalam sejarah kepemilikan. Itu bukan jaminan absolut, tapi jauh lebih baik dari membeli buta dan baru investigasi setelah masalah muncul.
Domain dengan sejarah transfer yang terlalu sering dalam waktu singkat — misalnya tiga kali pindah registrar dalam 18 bulan — itu sinyal merah. Bisa jadi domain sedang dijual berulang karena ada masalah, atau memang pernah menjadi objek hijack yang diselesaikan secara diam-diam.
Cara Menutup Celah Ini Secara Konkret
Pertama, aktifkan 2FA di semua akun registrar — baik yang lama maupun yang baru. Ini langkah paling dasar yang masih sering dilewatkan karena dianggap "ribet". Tidak ada kata lain untuk ini: jika kamu tidak pakai 2FA, kamu sedang bermain dengan risiko yang tidak perlu.
Kedua, gunakan email khusus untuk urusan domain — bukan email bisnis utama yang kamu pakai untuk newsletter atau login ke 50 layanan lain. Satu email, satu fungsi, satu attack surface yang terkontrol.
Ketiga, aktifkan WHOIS Privacy tapi pahami batasannya. WHOIS Privacy menyembunyikan data kontak kamu dari publik, tapi tidak melindungi domain dari transfer jika auth code sudah bocor. Ini bukan perisai — ini cuma tirai.
Keempat, setelah transfer selesai, langsung aktifkan kembali domain lock (Registrar Lock / Transfer Lock) di registrar baru. Banyak yang lupa melakukan ini dan membiarkan domain tetap dalam status unlocked berhari-hari setelah transfer sukses.
Terakhir — dan ini sering diabaikan — pantau status transfer secara aktif. Registrar mengirim email konfirmasi di beberapa tahap. Kalau ada email transfer yang tidak kamu inisiasi, itu bukan spam yang bisa diabaikan. Itu tanda bahwa seseorang sedang mencoba memindahkan domain kamu.
Transfer Selesai Bukan Berarti Aman
Keamanan transfer domain bukan ceklis satu kali. Setelah domain berhasil pindah, lakukan audit kecil: cek nameserver masih mengarah ke tempat yang benar, cek tidak ada redirect aneh yang ditambahkan, dan verifikasi bahwa kontak admin di akun registrar baru adalah email yang kamu kontrol penuh.
Kalau kamu sedang mengelola portofolio domain — baik untuk di-flip, dimonetisasi, atau dipakai sebagai aset SEO — satu domain yang hilang karena hijack bisa merusak strategi yang sudah kamu bangun berbulan-bulan. Audit sebelum transfer, bukan setelah. Itu satu kebiasaan yang paling murah tapi paling sering dilewatkan.
Baca juga: Reputasi & Keamanan Domain Bekas: Blacklist, Malware, sampai Spam Trap · Jejak Teknis Expired Domain: DNS, Hosting, dan IP yang Bercerita
Mau cek domain incaranmu sekarang? Analisa gratis di DomainScope →