Liputan6.com, Jakarta - Selain mention, pengguna harus waspada jika mendapatkan pesan Direct Message/ DM Instagram dari akun yang tidak dikenal, bisa jadi itu phishing internet banking.
Pakar Keamanan Siber dari Vaksincom, Alfons Tanujaya, mengatakan, DM Instagram dari orang tidak dikenal bisa saja menyamar sebagai CS bank, menggunakan modus korban sebagai pemenang undian dari sebuah bank.
Baca Juga
"Hal pertama yang kemungkinan muncul di benak Anda, harusnya kecurigaan dan Anda jadi waspada," kata Alfons dalam keterangan, Selasa (14/12/2021).
Advertisement
Alfons mengatakan, pengguna media sosial harus waspada saat menerima DM Instagram semacam ini. Pasalnya, belum tentu kita adalah nasabah bank yang bersangkutan. Kedua, meski kita adalah nasabah bank tersebut, kita tak sedang ikut undian.
Alfons mengatakan, ada dua faktor yang harus dipenuhi untuk keberhasilan penipuan phishing undian, pertama korban harus merupakan nasabah bang bersangkutan. Lalu, korban tengah mengikuti undian di bank tersebut.
Jika dua unsur itu tidak dipenuhi, harusnya penerima DM Instagram yang diming-imingi menang undian tidak terpancing.
"Jadi, secanggih-canggihnya rekayasa sosial dan phishing dipersiapkan, ini juga harus ditunjukkan kepada korban yang tepat pada waktu yang tepat," kata Alfons.
Jika korbannya ternyata memang nasabah bank bersangkutan dan sedang ikut undian, korban akan memiliki titik lemah, di mana ia berharap menang dan ketika mendapatkan informasi dirinya menang undian, kegembiraan karena menang undian akan menutupi kewaspadaan atas penipuan yang terjadi.
* Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.
Jangan Tertipu Logo Bank, Mudah Dipalsukan
Apalagi, jika akun yang mengirim DM Instagram memasang logo bank yang dipalsukan. Padahal, penipu bisa dengan mudahnya memasang logo bank di akun IG gadungan dengan teknik salin dan tempel.
Pertanyaannya, bagaimana si penipu bisa mendapatkan kontak korban?
Tanpa disadari, hal ini difasilitasi oleh pelaksana undian. Di mana, pesserta undian di bank tersebut diminta untuk me-mention pada undian bank tersebut.
"Ibaratnya bank justru memberikan database sasaran penipuan yang lengkap kepada penipu dan semuanya tinggal dilihat di kolom komentar pada posting undian tersebut," kata Alfons.
Selanjutnya, jika korban terperdaya dan mengikuti tautan yang diberikan, korban akan terhubung pada nomor WhatsApp yang telah dipersiapkan oleh penipu. Lagi-lagi, logo bank dipalsukan dan dipakai sebagai gambar profil pada akun WhatsApp bisnis yang digunakan.
Sebagai peserta undian yang dihubungi oleh admin, tentunya pengguna tersebut bakal ingin tahu apakah benar sudah menang undian.
Padahal hal ini sudah dipersiapkan dengan matang oleh penipu dengan situs penipuan (phishing).
Melalui WhatsApp, korban dipersiapkan dan diarahkan pada situs yang dipersiapkan (situs pemenang undian) dan mendapat konfirmasi menang undian dan langsung diarahkan ke situs phishing bank palsu.
Advertisement
Tujuan Phishing?
Tujuan penipu mengarahkan korban ke situs phishing adalah untuk mengetahui kredensial pengguna mobile banking. Penelusuran Vaksincom mengungkap, situs tersebut di-hosting di zyronite.com dengan alamat yang disamarkan, seakan-akan dari bank yang bersangkutan.
Ketika artikel ini dibuat, tautan bit.ly tersebut sudah dinonaktifkan dan situs tersebut sudah ditutup oleh zyro selaku penyedia hosting.
"Penipu mendapatkan kredensial mobile banking dari situs phishing yang telah dipersiapkan di zyro, di mana, ketika korban melakukan login pada situs yang dikiranya situs bank yang bersangkutan, saat itu kredensialnya sudah dicuri oleh penipu," kata Alfons.
Langkah berikutnya, penipu mendapatkan dan mengganti PIN untuk mengotorisasi aksi pencurian dana rekening korbannya. Hal ini butuh OTP yang hanya akan dikirimkan ke nomor telepon pemilik rekening melalui SMS.
Sekali mendapatkan OTP, OTP akan langsung digunakan untuk mengganti PIN mobile banking dengan yang baru, kemudian digunakan penipu untuk menguras rekening korban.
Pengguna Mobile Banking Harus Berhati-hati
Untuk itulah, pengguna internet dan mobile banking harus berhati-hati:
1. Jangan mudah percaya dengan gambar profil di WhatsApp, Instagram, Facebook, atau medsos lainnya karena mudah dipalsukan.
2. Jangan mudah sharing aktivitas di medsos karena bisa menjadikan kamu sebagai sasaran kriminal yang ingin mengeksploitasi kelemahan kamu.
3. Pelajari dengan detil alamat situs dan aplikasi bank digital yang digunakan. Jangan masukkan informasi login dan OTP sebelum kamu yakin aplikasi dan situs tersebut asli.
4. Jangan pernah berikan kode OTP yang dikirim ke SMS kamu ke orang lain, termasuk mereka yang mengaku sebagai CS bank terkait.
Perlu diingat, OTP adalah rahasia dan hanya dimasukkan pada situs yang diyakini keabsahannya. Penyalahgunaan OTP karena kesalahan sendiri adalah tanggung jawab pemilik rekening.
(Tin/Ysl)
Advertisement