TEMPO.CO, Jakarta - Apakah pernah mendengar iklan jasa sadap Whatsapp, Signal dan Instagram? Jangan pernah sekalipun terpikat dengan jasa tersebut. Bukannya mendapatkan data yang didambakan, yang ada malah diperas oleh penjual jasa.
Saran ini diberikan pengamat keamanan digital dari Vaksincom, Alfons Tanujaya. “Jika ada yang mengatakan bisa menyadap WhatsApp, Signal atau Instagram yang sudah dienkripsi, Anda perlu langsung curiga dan jangan percaya,” tulis Alfons dalam pesan yang dibagikannya, Jumat 13 Mei 2022.
Alfons menjelaskan, demi menjaga privasi penggunanya, WhatsApp dan yang lainnya itu menerapkan enkripsi end to end yang unik untuk setiap percakapan. Yang memiliki kunci membuka percakapan yang dienkripsi hanyalah perangkat pengguna WhatsApp yang bersangkutan.
"Trafik antar pengguna WhatsApp bisa disadap dengan mudah, namun karena dienkripsi dengan kunci khusus tadi, maka hasil sadapan itu tidak akan bisa dibaca," kata dia.
Bagi orang awam, menurut Alfons, akan sangat sulit menjurus mustahil untuk memecahkan enkripsi WhatsApp. Memang benar ada aplikasinya, sekelas Pegasus--spyware asal Israel, namun harganya sekitar US$500 ribu atau sekitar Rp 7 miliar. Itupun, aplikasi hanya digunakan oleh badan intelijen dan pemerintahan.
Spyware pegasus. Thequint.com
"Secara teknis," Alfons menerangkan, "Menyadap saja bisa, dengan catatan jika Anda berada di jaringan Wifi yang sama dengan korban atau bekerja di ISP yang digunakan oleh korban."
Tetapi, Alfons melanjutkan, membaca hasil sadapan itu yang tidak bisa. Alasannya, hasil sadapan dienkripsi dan kunci dekripsi hanya disimpan di aplikasi perangkat pengguna WhatsApp yang bersangkutan. Bahkan server WhatsApp sekalipun tidak memiliki kunci untuk membuka enkripsi tersebut.
Kenapa ada yang terjebak?
Walau secara teknis tidak bisa, namun tetap saja banyak orang ingin menyadap isi pembicaraan Whatsapp orang lain. Keinginan ini, menurut Alfons, dimanfaatkan dengan baik oleh penipu untuk mendapatkan keuntungan finansial dari orang yang ingin menyadap komunikasi WhatsApp dengan mengaku mampu menyadap Whatsapp.
"Ibarat dukun santet di zaman modern, bukannya berhasil menyadap percakapan WhatsApp dari korban yang diincarnya, malahan ia menjadi korban penipuan dengan berbagai rekayasa sosial."
Pada akhirnya bukan hasil sadapan yang didapatkan, melainkan pemerasan. Modusnya, jika korban tidak membayarkan sejumlah uang, rencana penyadapan akan dilaporkan kepada pemilik nomor yang akan disadap.
Modus penipuan dan pemerasan
Menurut Alfons, teknik yang digunakan sebenarnya mudah. Penipu dosebutnya menggunakan istilah IT seperti Two Factor Authentication, Scan Sidik jari dan beberapa capture yang terlihat seakan proses penyadapan sudah berhasil dan berjalan di depan mata.
Dalam menjalankan aksinya, secara sistematis korbannya akan selalu di iming-imingi dengan tampilan keberhasilan. Namun selalu ada langkah terakhir yang membutuhkan dana tambahan. Dan setiap kali dana tambahan dikirimkan, maka akan muncul lagi masalah lainnya yang membutuhkan dana tambahan lagi.
Hal ini akan dilakukan berulang-ulang dan tanpa sadar korbannya akan makin berhasrat untuk mendapatkan hasil sadapan ini dan mengirimkan kembali dana yang diminta. Sampai pada suatu satu titik di mana uang yang dikirimkan sudah sedemikian besar namun hasil sadapan belum diberikan dan korbannya marah dan tidak bersedia mengirimkan uang yang diminta lagi.
"Maka aksi penipuan ini berganti menjadi aksi pemerasan dan teror, dimana jika tidak mengirimkan uang yang diminta, maka pemilik nomor yang ingin disadap akan diberitahu bahwa korban ingin menyadap nomor tersebut."
Ilustrasi WhatsApp. shutterstock.com
Sudah diblokir di Twitter
Vaksincom mengungkap ini semua berdasarkan modus penipuan yang mencari korbannya melalui Twitter @jasasadapchat dan memanfaatkan keluguan korbannya untuk mendapatkan keuntungan finansial. Pada iklan jasanya dinyatakan penyadapan tanpa sentuh HP target dan juga tanpa diketahui oleh target. Plus iming-iming privasi pengguna jasa aman dan penjual adalah orang yang terpercaya.
Dari hasil tangkapan layar perbincangan terlihat dalam menjalankan aksinya, penipu bermodalkan keterampilan meyakinkan pelanggannya. Terdapat pula beberapa rekening bank untuk menampung pembayaran korbannya. Rekening bank yang digunakan dalam aksi yang dilaporkan ke Vaksincom adalah Gopay di CIMB dan rekening BCA Digital.
Meskipun akun Twitter penipu @jasasadapchat sudah dilaporkan dan diblokir oleh Twitter, namun rekening atas nama Listrian Despriana BCA Digital dan CIMB atas nama Gopay Rizki Ramadhan yang digunakan penipu ini menurut pantauan Vaksincom sampai saat artikel ini dibagikan masih aktif.
Menurut pantauan Vaksincom, korban modus penipuan ini cukup banyak dengan kerugian diperkirakan mencapai ratusan juta rupiah. "terlihat dari banyaknya posting Twitter yang menginformasikan aksi penipuan yang berujung pemerasan ini."
Baca juga:
Pastikan iPhone Anda tak Disusupi Spyware Pegasus, Begini Caranya
