Waspada, Seolah Berkirim Undangan, Ternyata Modus Perampokan Rekening Lewat Whatsapp
JAKARTA – Viralnya di medsos tentang modus penipuan baru di WhatsApp yang membuat heboh warganet. Modusnya, pelaku mengirimkan undangan pernikahan digital yang sebenarnya mengandung file APK dari luar Play Store.
Saat APK itu diinstal akan mencuri kredensial OTP (one time password) dari perangkat korban. Akses OTP itu kemudian bisa digunakan pelaku kejahatan siber untuk menguras rekening korban.
Menurut Pakar Keamanan Siber yang mengatakan ketika undangan pernikahan berbentuk APK Android berbahaya ini di jalankan, sebenarnya akan muncul beberapa peringatan seperti menginstal aplikasi dari luar Play Store sangat berbahaya dan tidak disarankan.
“Ketika peringatan ini diabaikan, masih muncul peringatan lain ketika memberikan akses SMS kepada aplikasi yang ingin diinstal, termasuk data dokumen dan foto perangkat kepada aplikasi berbahaya yang di instal tersebut,” katanya, Sabtu (28/01/2023).
Namun karena masyarakat tidak terbiasa memperhatikan peringatan ketika instal aplikasi dan dengan mudah memberikan persetujuan (Allow) tanpa membaca dengan teliti dan mengerti akibat dari persetujuan yang diberikan, maka aplikasi jahat pencuri data ini akan tetap terinstal dan menjalankan aksinya.
Berdasarkan pemaparan Alfons, sebenarnya dengan instal aplikasi jahat ini tidak cukup untuk mengakses akun mobile banking korban, karena mengaksesnya membutuhkan User ID, Password Mobile Banking, PIN persetujuan transaksi dan OTP (One Time Password) yang didapatkan melalui APK jahat ini.
“Jadi yang menjadi pertanyaan besar adalah dari mana pelaku bisa mendapatkan kredensial mobile banking korbannya karena APK jahat ini hanya bisa mencuri SMS OTP,” ucap Alfons.
Ia menduga organisasi kriminal ini saling berbagi database untuk dijadikan sasaran atau ada database rekening pengguna m-banking yang bocor. Seperti kita ketahui, pada aksi phishing sebelumnya pada pertengahan 2022 banyak korban pengguna m-banking yang tertipu dan memberikan kredensial m-banking kepada penipu karena diancam akan dikenai biaya transfer bulanan Rp 150.000.
Jadi jangan mengandalkan verifikasi What You Know saja untuk memindahkan akun m-banking ke ponsel atau nomor ponsel baru,” Alfons menyarankan.
Ia memberikan contoh, verifikasi What You have antara lain seperti verifikasi kartu ATM, serta KTP asli dan fisik pemilik rekening. Sementara verifikasi What You Know adalah User ID, Password, PIN persetujuan transaksi, dan kode OTP.
Dia mengimbau pemerintah dan regulator yang mengatur lembaga finansial untuk menentukan standar pengamanan transaksi finansial digital yang ketat dan aman seperti m-banking sehingga tidak mudah di eksploitasi.
Ia menilai hal ini sangat penting karena banyaknya kasus pembobolan m-banking akan menurunkan kepercayaan masyarakat terhadap sektor keuangan digital dan akan menghindari menggunakan channel digital.
“Padahal pemerintah sangat berkepentingan terhadap digitalisasi dalam sektor finansial karena akan memberikan efek berganda bagi perkembangan ekonomi Indonesia,” ujarnya.
Aksi penipuan yang memanfaatkan platform WhatsApp kembali terjadi. Kali ini, media sosial diramaikan dengan adanya modus penipuan melalui undangan pernikahan yang disebar melalui aplikasi WhatsApp.
Berdasarkan informasi yang dihimpun, pesan yang disebar itu diberi nama Surat Undangan Pernikahan. Meski diberi nama Undangan Pernikahan, format file yang dikirimkan ternyata APK atau format file untuk aplikasi Android.
Dalam pesan yang disebar, pengirim tidak memperkenalkan dirinya. Namun, pengirim hanya meminta penerima agar membuka file APK yang dikirimkannya untuk mengetahui informasi yang diberikan.
Aksi ini, menurut pengamat keamanan siber, tidak berbeda dari aksi sebelumnya juga sempat ramai, yaitu ketika meminta korban untuk memasang aplikasi tertentu yang sebenarnya dipakai untuk mencuri SMS OTP layanan mobile banking.
“Kelihatannya rekayasa sosialnya berubah menjadi undangan kawin. Intinya sih sama saja, mengelabui korban untuk meng-install aplikasi yang sebenarnya akan dipakai untuk mencuri SMS OTP mobile banking,” tuturnya saat dihubungi pada Jumat (27/01/2023).
Lebih lanjut Alfons menuturkan, ada kemungkinan aksi ini dilayangkan pada korban yang sebagian besar data kredensialnya, seperti user ID, password, hingga PIN transaksinya sudah didapatkan oleh penipu.
“Kemungkinan besar data ini sudah tersebar, misalnya dikumpulkan saat penipuan kenaikan biaya admin pertengahan tahun lalu. Saya perkirakan data kredensial tersebut sudah menyebar di kalangan penipu,” ujarnya menjelaskan.
Oleh sebab itu, ia menyarankan masyarakat yang pernah mengisi data saat ramai kasus penipuan biaya transfer untuk segera mengubah password dan PIN transaksi miliknya.
Tidak hanya itu, masyarakat yang merasa mendapatkan pesan mencurigakan sebaiknya tidak menggubrisnya. Apalagi, jika pesan itu meminta pengguna untuk memasang aplikasi dan mengisi data-data. []