TEMPO.CO, Jakarta - Aplikasi SMS to Telegram belakangan ini diwaspadai karena menjadi jalan tikus menuju pencurian One Time Password (OTP) Mobile Banking. Sebenarnya, Aplikasi SMS to Telegram dan aplikasi sejenis bukanlah aplikasi jahat, dan banyak tersedia di Play Store. Aplikasi ini berguna untuk membantu pengguna ponsel untuk membaca SMS di aplikasi Telegram dan bisa digunakan untuk otomasi pendukung aplikasi lain.

Alfons Tanujaya, konsultan keamanan siber dan forensik digital dari Vaksincom, mengungkap itu semua dalam keterangan tertulis yang dibagikannya pada pekan kemarin. Menurut dia, ide kreatif membuat kejahatan yang membuat aplikasi ini menjadi kambing hitam. “Permasalahannya adalah SMS, yang merupakan sarana komunikasi zaman baheula yang kurang aman, tidak dienkripsi, dan mudah disadap,” kata Alfons.

Seperti diketahui, karena popularitas, biaya penggunaan yang murah, dan penetrasinya yang tinggi, SMS dipilih sebagai sarana untuk verifikasi penting seperti otorisasi identitas akun. Termasuk juga untuk mengamankan transaksi finansial seperti menyetujui transaksi keuangan atau mengotorisasi perpindahan akun m-Banking ke ponsel baru.

"Ketika pengguna m-Banking sudah banyak yang sadar akan pentingnya menjaga kode OTP yang dikirimkan ke SMS, maka penipu mencari cara lain untuk mendapatkan OTP tersebut," kata Alfons. Pilihannya, dia mengungkapkan, adalah program SMS forwarder yang banyak tersedia di Play Store dan satu yang populer adalah SMS to Telegram.

Aplikasi ini memang harus diinstal terlebih dulu jika ingin digunakan. Dan, Alfons menyatakan, tidak ada orang yang dengan bodohnya mau disuruh menginstal apps di ponselnya tanpa ada keperluan. Di sinilah kemudian modus kejahatan terdeteksi, yakni rekayasa sosial (social engineering) dari pelaku untuk membuat korbannya dengan sukarela menginstal aplikasi SMS Forwarder tersebut.

Baca juga: Survei Cisco Tegaskan Risiko Keamanan Siber dari WFH dan WFA

Contoh Skenario Jahat Manfaatkan Kiriman Paket dan WhatsApp

Menurut Alfons, skenario ini sudah terjadi dan beberapa korban menceritakan nasib buruk yang menimpanya di media sosial sambil memperlihatkan tangkapan layar bukti pembicaraan. Satu modus rekayasa sosial itu didapati Vaksincom menggunakan skenario kiriman paket. "Seakan ada kiriman paket dan meminta korbannya melacak menggunakan aplikasi yang dikirimkan via WhatsApp."

Skenario ini dinilai sangat efektif dan akan bisa mengelabui banyak lapisan masyarakat yang umumnya akan percaya dan menjalankan aplikasi yang dikirimkan melalui WhatsApp. Dan ketika di-instal, tampilannya juga terlihat meyakinkan dengan logo J&T gadungan. “Aplikasi ini memiliki layar tampilan yang meyakinkan namun sebenarnya program SMS Forwarder ke Telegram.”

Ilustrasi aplikasi SMS to Telegram.

Kemudian dalam proses instalasi aplikasi ini akan meminta banyak sekali hak akses. “Salah satu yang sangat berbahaya bagi pengguna m-Banking adalah meminta hak akses untuk membaca dan mengirimkan SMS,” jelasnya.

Jika aplikasi ini berhasil terinstal, maka bot otomatis akan mengirimkan SMS yang masuk ke perangkat ke akun telegram penipu menggunakan bot SMS to Telegram untuk kemudian di eksploitasi oleh penerima OTP ini.

Menurut Alfons, jika pengguna ponsel adalah orang yang cukup mengerti teknologi, kemungkinan kecil akan menjadi korban karena akan menghindari instal aplikasi dari luar Play Store. Terlebih hak yang diminta sangat tinggi, khususnya membaca SMS dan mengirimkannya lagi.

Tips dan Saran

Namun, dia menambahkan, karena pengguna m-Banking yang diincar oleh penipu umumnya adalah orang awam, maka kemungkinan besar korban akan tertipu. “Karena itu Vaksincom menyarankan para pengguna m-Banking untuk ekstra hati-hati dan jangan pernah menginstal aplikasi SMS forwarder, apalagi aplikasi dari dari luar Play Store,” kata Alfons.

Ia juga menyarankan untuk bank penyedia layanan m-Banking menambahkan sistem prosedur pengamanan saat kredensial m-Banking dan OTP nasabah bocor, dan ada pihak yang ingin mengakses m-Banking dari ponsel baru. "Hak akses m-Banking ke ponsel harus diberikan oleh Customer Service bank atau paling sedikit nasabah harus sadar akan adanya hal ini misalnya dia harus mengambil kredensial m-banking untuk ponsel di mesin ATM,” katanya menyarankan.