TEMPO.CO, Jakarta - Pakar keamanan siber Alfons Tanujaya mengatakan penipuan yang menyasar pengguna ponsel Android memanfaatkan aplikasi APK Android Package Kit terus berkembang dan digunakan untuk menyasar pengguna yang mayoritas awam dengan tujuan mendapatkan keuntungan finansial.

Menurutnya, undangan pernikahan melalui WhatsApp dirancang dengan cermat, sehingga mayoritas korban percaya bahwa pesan itu benar undangan dan tanpa curiga akan membuka dan menjalankan aplikasi yang dikirim tersebut.

Alfons mengatakan secara teknis pengamanan verifikasi transaksi keuangan di Android sudah cukup baik karena pemilik akun harus memasukkan PIN/Password rahasia setiap kali melakukan transaksi finansial. Selain itu, untuk verifikasi penting seperti memindahkan rekening ke ponsel lain atau berganti nomor ponsel harus memasukkan password sekali pakai OTP (One Time Password) yang merupakan bagian dari pengamanan TFA Two Factor Authentication atau otentikasi dua faktor yang hanya diketahui oleh pemilik akun.

“Masalahnya, pengiriman OTP ini dilakukan menggunakan sarana SMS (short message services) karena alasan praktis di mana OTP menggunakan SMS memiliki cakupan pengguna yang paling luas, murah, mudah digunakan oleh semua kalangan dan tidak terlalu rumit dibandingkan OTP lain seperti menggunakan token atau aplikasi otentikasi seperti Google Authenticator atau Authy,” ujar Alfons dalam keterangannya, Rabu, 8 November 2023.

Celakanya, kata Alfons, OTP menggunaan SMS ini termasuk kategori OTP yang paling lemah dari sisi pengamanannya dibandingkan OTP lainnya karena SMS merupakan teknologi komunikasi jadul yang tidak dienkripsi, mudah dicuri dan melibatkan pihak ketiga dalam pengirimannya.

Alfon mengatakan aplikasi undangan pernihakan tersebut memiliki tampilan yang sangat meyakinkan. Ketika undangan dibuka, akan menampilkan undangan pernikahan kekinian lengkap dengan foto yang sangat meyakinkan sehingga korbannya percaya dan kunci dari rekayasa sosial ini adalah ketika aplikasi meminta akses izin mengirim dan melihat SMS.

Jika korbannya mengizinkan akses yang diminta, maka aplikasi ini akan dapat membaca SMS ponsel dan kemudian akan mengirimkan semua SMS yang masuk, termasuk SMS OTP m-banking, SMS OTP Whatsapp dan SMS lainnya ke akun Telegram penipu.

Jika hal ini terjadi dan penyelenggara layanan finansial tidak mengamankan nasabahnya dengan baik, seperti melakukan verifikasi tambahan jika akun m-banking tersebut diakses dari ponsel lain, maka penipu akan bisa mengakses akun m-banking korbannya dan melakukan transaksi finansial mencuri dana dari rekening korbannya.

Apa yang harus dilakukan jika kita sudah telanjur instal aplikasi pencuri SMS ini, yang bisa berbentuk Aplikasi Kurir Online, Undangan Pernikahan, Surat Tilang atau Tagihan Pajak ?

Menurut Alfons, sebenarnya sudah terlambat jika telanjur instal. "Dan jika institusi keuangan/bank yang Anda gunakan tidak mewajibkan verifikasi tambahan setiap kali akun berganti ponsel atau nomor telepon, maka kemungkinan besar akun anda sudah berhasil dieksploitasi," ujarnya.

“Karena itu sangat penting bagi anda untuk memastikan kalau layanan keuangan digital yang anda gunakan mewajibkan adanya verifikasi tambahan seperti mengunjungi CS untuk tatap muka, mengunjungi ATM dan mendapatkan kode/PIN untuk berganti ponsel atau misalnya verifikasi lainnya seperti verifikasi wajah atau telepon langsung dari call center untuk memastikan bahwa yang meminta akses ke rekening memang adalah pemegang rekening yang bersangkutan,” tambahnya.

Untuk memastikan di ponsel Android anda tidak ada aplikasi pencuri SMS, Anda dapat melakukan pengecekan dengan cara klik roda gigi untuk masuk ke [Pengaturan] [Manajer izin][SMS] dan periksa ada aplikasi apa saja yang memiliki hak untuk mengirim dan menampilkan pesan SMS.

Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.