Liputan6.com, Jakarta - Ada modus penipuan baru di aplikasi WhatsApp yang membuat heboh warganet. Modusnya, pelaku mengirimkan undangan pernikahan digital yang sebenarnya mengandung file APK dari luar Play Store.
Jika APK itu diinstal akan mencuri kredensial OTP (one time password) dari perangkat korban. Akses OTP itu kemudian bisa digunakan pelaku kejahatan siber untuk menguras rekening korban.
Baca Juga
Pakar Keamanan Siber dari Vaksincom, Alfons Tanujaya, mengatakan ketika undangan pernikahan berbentuk APK Android berbahaya ini di jalankan, sebenarnya akan muncul beberapa peringatan seperti menginstal aplikasi dari luar Play Store sangat berbahaya dan tidak disarankan.
Advertisement
"Ketika peringatan ini diabaikan, masih muncul peringatan lain ketika memberikan akses SMS kepada aplikasi yang ingin diinstal, termasuk data dokumen dan foto perangkat kepada aplikasi berbahaya yang di instal tersebut," kata Alfons, dikutip Sabtu (28/1/2023).
Namun kemungkinan besar, ia melanjutkan, karena masyarakat tidak terbiasa memperhatikan peringatan ketika instal aplikasi dan dengan mudah memberikan persetujuan (Allow) tanpa membaca dengan teliti dan mengerti akibat dari persetujuan yang diberikan, maka aplikasi jahat pencuri data ini akan tetap terinstal dan menjalankan aksinya.
Berdasarkan pemaparan Alfons, sebenarnya dengan instal aplikasi jahat ini tidak cukup untuk mengakses akun mobile banking korban, karena mengaksesnya membutuhkan User ID, Password Mobile Banking, PIN persetujuan transaksi dan OTP (One Time Password) yang didapatkan melalui APK jahat ini.
"Jadi yang menjadi pertanyaan besar adalah dari mana pelaku bisa mendapatkan kredensial mobile banking korbannya karena APK jahat ini hanya bisa mencuri SMS OTP," ucap Alfons.
Ia menduga organisasi kriminal ini saling berbagi database untuk dijadikan sasaran atau ada database rekening bank pengguna m-banking yang bocor.
Seperti kita ketahui, pada aksi phishing sebelumnya pada pertengahan 2022 banyak korban pengguna m-banking yang tertipu dan memberikan kredensial m-banking kepada penipu karena diancam akan dikenai biaya transfer bulanan Rp 150.000.
Antisipasi dan Pencegahan
Dengan asumsi data pengguna m-banking ini sudah bocor, maka salah satu hal darurat yang harus dilakukan pengguna m-banking yang mengalami kebocoran data adalah segera mengganti Password dan PIN persetujuan transaksi.
Jika masih ragu, pertimbangkan untuk mengganti akun m-banking atau memilih penyedia m-banking yang memberikan pengamanan lebih baik.
Sebenarnya, bila bank menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan mengambil alih akun m-banking sekali pun berhasil mendapatkan semua kredensial dan OTP persetujuan transaksi.
Bagi bank penyedia layanan m-banking, Vaksincom menyarankan untuk menerapkan verifikasi 'What You Have' untuk perpindahan akun m-banking ke ponsel baru atau nomor ponsel baru.
"Jadi jangan mengandalkan verifikasi What You Know saja untuk memindahkan akun m-banking ke ponsel atau nomor ponsel baru," Alfons menyarankan.
Ia memberikan contoh, verifikasi What You have antara lain seperti verifikasi kartu ATM, serta KTP asli dan fisik pemilik rekening. Sementara verifikasi What You Know adalah User ID, Password, PIN persetujuan transaksi, dan kode OTP.
Alfons mengimbau pemerintah dan regulator yang mengatur lembaga finansial untuk menentukan standar pengamanan transaksi finansial digital yang ketat dan aman seperti m-banking sehingga tidak mudah di eksploitasi.
Ia menilai hal ini sangat penting karena banyaknya kasus pembobolan m-banking akan menurunkan kepercayaan masyarakat terhadap sektor keuangan digital dan akan menghindari menggunakan channel digital.
"Padahal pemerintah sangat berkepentingan terhadap digitalisasi dalam sektor finansial karena akan memberikan efek berganda bagi perkembangan ekonomi Indonesia," Alfons memungkaskan.
pribadi.
Advertisement
Cara Pelaku Tebar Undangan Pernikahan Palsu via WhatsApp ke Korban
Aksi penipuan yang memanfaatkan platform WhatsApp kembali terjadi. Kali ini, media sosial diramaikan dengan adanya modus penipuan melalui undangan pernikahan yang disebar melalui aplikasi WhatsApp.
Berdasarkan informasi yang dihimpun, pesan yang disebar itu diberi nama Surat Undangan Pernikahan. Meski diberi nama Undangan Pernikahan, format file yang dikirimkan ternyata APK atau format file untuk aplikasi Android.
Dalam pesan yang disebar, pengirim tidak memperkenalkan dirinya. Namun, pengirim hanya meminta penerima agar membuka file APK yang dikirimkannya untuk mengetahui informasi yang diberikan.
Aksi ini, menurut pengamat keamanan siber Alfons Tanujaya, tidak berbeda dari aksi sebelumnya juga sempat ramai, yaitu ketika meminta korban untuk memasang aplikasi tertentu yang sebenarnya dipakai untuk mencuri SMS OTP layanan mobile banking.
"Kelihatannya rekayasa sosialnya berubah menjadi undangan kawin. Intinya sih sama saja, mengelabui korban untuk meng-install aplikasi yang sebenarnya akan dipakai untuk mencuri SMS OTP mobile banking," tuturnya saat dihubungi Tekno Liputan6.com, Jumat (27/1/2023).
Lebih lanjut Alfons menuturkan, ada kemungkinan aksi ini dilayangkan pada korban yang sebagian besar data kredensialnya, seperti user ID, password, hingga PIN transaksinya sudah didapatkan oleh penipu.
"Kemungkinan besar data ini sudah tersebar, misalnya dikumpulkan saat penipuan kenaikan biaya admin pertengahan tahun lalu. Saya perkirakan data kredensial tersebut sudah menyebar di kalangan penipu," ujarnya menjelaskan.
Oleh sebab itu, ia menyarankan masyarakat yang pernah mengisi data saat ramai kasus penipuan biaya transfer untuk segera mengubah password dan PIN transaksi miliknya.
Tidak hanya itu, masyarakat yang merasa mendapatkan pesan mencurigakan sebaiknya tidak menggubrisnya. Apalagi, jika pesan itu meminta pengguna untuk memasang aplikasi dan mengisi data-data
Tips Menghindari Penipuan Phishing dan Sniffing di Telegram
Perlu diketahui, aksi penipuan dengan metode phishing dan sniffing semakin marak terjadi, dan mampu memperdaya pengguna yang lalai menjaga keamanan internet mereka.
Di Indonesia sendiri berbagai kasus keamanan hingga kebocoran data pun sudah terjadi berkali-kali, tapi belum mampu ditangani dengan baik dan tepat.
Dalam salah satu penelitian, Indonesia menduduki peringkat pertama sebagai negara dengan indeks keamanan siber tersebut di dunia.
Salah satu contohnya adalah kasus viral yang terjadi bulan ini, di mana pelaku menggunakan metode sniffing dengan cara mengirim pesan WhatsApp kepada korban.
Pura-pura menjadi kurir paket, pelaku mengirimkan file menunjukkan detail pengiriman paket.
Tetapi sebenarnya, ini adalah file software dengan fungsi mengumpulkan data korban (data perbankan) dan mengirimkannya ke pelaku.
Ini adalah salah satu dari sekian banyak kasus, dimana pengguna lalai dan tidak sadar aksi macam penipuan ini dapat dilakukan terlepas dari aplikasi pesan yang digunakan.
Untuk meminimalisir kejadian serupa, Telegram sudah menyertakan fitur Secret Chats--fitur chat dengan end-to-end encryption hadir untuk memastikan, isi dari obrolanmu tidak dapat diakses siapapun.
Advertisement