TEMPO.CO, Jakarta - Berbagai cara pelaku kejahatan mencari ide kreatif untuk menjalankan aksinya dalam menguras saldo rekening seorang target. Terbaru, pelaku menyamar sebagai kurir barang. Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, menjelaskan modus baru ini .

Menurut Alfons, kasus ini bukanlah adu ilmu yang tinggi, namun lebih sederhana dan tepat sasaran. Teknik yang paling umum digunakan adalah social engineering.

“Uniknya, keberhasilan teknik social engineering ini tidak terlalu dipengaruhi oleh faktor kecanggihan aplikasi yang digunakan. Faktor yang lebih menentukan adalah pilihan jenis social engineering yang jika berhasil disesuaikan dengan kondisi korbannya, maka korbannya akan mudah percaya dan termakan oleh tipuan,” ujarnya, Selasa, 29 November 2022.

Jika sebelumnya penipu yang menggunakan social engineering menyaru sebagai pejabat bank yang menggiring korbannya memberikan kode OTP untuk persetujuan transaksi, maka teknik terbaru yang digunakan cukup mengejutkan, karena pilihan social engineeringnya tidak terduga dan tidak berhubungan langsung dengan layanan finansial/bank yang diincar. Namun, hasil akhirnya tetap berhasil mengelabui korbannya dan berhasil menguras rekening bank korban sampai ratusan juta rupiah.

Pilihan social engineering yang digunakan adalah memalsukan diri sebagai aplikasi pelacakan paket kurir di mana korbannya dikelabui bahwa ia mendapatkan pengiriman paket dan untuk melacak paket tersebut ia perlu menjalankan aplikasi yang dikirimkan. Padahal aplikasi yang dikirimkan tersebut jika dijalankan akan mencuri SMS OTP ponsel yang diincar.

Penipu yang memalsukan diri sebagai kurir yang mengirimkan paket kepada korban yang sudah diincarnya (kiri). Kemudian penipu akan mengelabui kobannya untuk menjalankan aplikasi untuk mengecek paket kiriman. (Alfons Tanujaya)

Trik Jadi Kurir

Mungkin anda tidak akan curiga kalau ada yang menghubungi dan menginformasikan anda mendapatkan kiriman paket. Pengirim pesan akan meminta anda mengklik tautan untuk melacak paket anda. Tujuan utama dari penipu ini adalah supaya korbannya tidak curiga dan menjalankan tautan yang diklaim sebagai aplikasi untuk mengecek detail paket.

Jika korbannya menjalankan aplikasi ini, sudah jelas aplikasi ini akan meminta berbagai macam hak akses yang tidak dimengerti oleh orang awam. Padahal hak akses yang diminta sangat berbahaya, seperti membaca SMS yang masuk dan kemudian dikirimkan ke platform lain milik penipu.

Alfons mengatakan perusahaan J&T menjadi korban karena dicatut namanya oleh penipu, dan aplikasi tersebut tidak ada hubungannya dengan J&T. Malah aplikasi ini akan mengincar korban yang tidak berhubungan langsung dengan bisnis kurir, melainkan nasabah perbankan.

Di sini letak permasalahan, jika aplikasi ini dijalankan pada ponsel yang memiliki Mobile Banking dan mengandalkan SMS sebagai sarana memindahkan akun mobile banking ke perangkat lain maka yang akan terjadi adalah sekalipun korbannya sudah waspada tidak memberikan OTP yang dikirimkan ke SMS miliknya kepada siapapun, namun saldo rekening korban tetap bisa diambil alih.

SMS Dikendalikan Penipu

Karena kode OTP perpindahan akun Mobile Banking yang di kirimkan ke SMS perangkat korban yang sudah menjalankan aplikasi tadi akan secara otomatis dikirimkan ke penipu, penipu akan dengan bebas menguras dana di rekening korbannya dan korban hanya bisa melihat dananya tersebut dikuras melalui pemberitahuan SMS tanpa bisa berbuat apa-apa.

Cara Amankan Mobile Banking

1. Nasabah pengguna Mobile Banking jangan pernah menginstal aplikasi apapun yang tidak diketahui keamanannya. Sebagai bandingan, aplikasi dari Play Store yang pada awalnya aman ketika melakukan update bisa disusupi program jahat, apalagi aplikasi di luar Play Store yang tidak diawasi oleh Google.

2. Jika Anda sering menggunakan Mobile Bankingg dan saldo di bank berjumlah lumayan, maka ada baiknya mempertimbangkan menggunakan telepon yang terpisah untuk Mobile Banking. Nomor telepon tersebut tidak diberikan kepada umum dan ponselnya tidak sembarangan melakukan instal aplikasi atau diinstal aplikasi yang sangat terbatas.

3. Pastikan penyedia Mobile Banking yang anda gunakan memiliki pengamanan transaksi yang mumpuni. Seharusnya jika Sistem dan Prosedur pengamanan Mobile Banking yang baik diterapkan, sekalipun Username, PIN transaksi dan OTP berhasil dikuasai oleh penipu. Akun mobile Banking masih tetap aman, karena untuk perpindahan akun Mobile Banking ke perangkat lain harus melewati verifikasi yang sangat ketat dan bisa mencegah penipu mengambil alih akun Mobile Banking.

Baca:
4 Juta Data WhatsApp Pengguna Indonesia Dijual, Pengamat: Valid

Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.