Jakarta, MISTAR.ID
Aplikasi berbahaya belakangan ini sering bermunculan di WhatsApp (WA). Bahkan, belum lama ini 13 orang komplotan pembobol m-banking pakai APK Kurir pengiriman barang online yang mengakibatkan kerugian Rp12 miliar tertangkap Bareskrim Polri.
Viral modus penipuan di WhatsApp yang menggiring korban mendownload ‘undangan pernikahan’. Mirip penipuan foto paket yang ternyata APK, kini ada lagi penipuan yang persis sama. Jangan lupa ingatkan kepada orang terdekat kamu agar terhindar dari penipuan yang bisa kuras rekening kamu.
Dalam screenshot yang tersebar di internet, ada orang yang tidak dikenal mengirimkan pesan di WhatsApp. Orang tersebut terkesan memaksa penerima pesan agar mendownload ‘undangan pernikahan’ tersebut. Padahal, jika diperhatikan, file itu berupa APK.
Baca Juga:PLN Siapkan Aplikasi WA Layani Keringanan Tagihan Listrik
Modus penipuan baru di WhatsApp ini mirip dengan penipuan ‘foto paket’ yang ternyata ekstensinya APK. Penipuan ini menggunakan metode ‘social engineering’ yang dibuat pelaku mengatasnamakan ekspedisi. Jadi, penipuan ini tidak hanya berhenti ketika korban mendownload aplikasi itu.
Beberapa waktu lalu, pengamat keamanan siber dari Vaksincom Alfons Tanujaya menjelaskan kemungkinan besar, korban tidak menyadari bahwa dia sudah menginstal aplikasi jahat dan memberikan persetujuan akses data. Dalam hal ini akses SMS dan diteruskan ke Telegram.
“Sebenarnya aksi SMS to Telegram ini belum cukup untuk mengambil alih akun dan peretasnya perlu mengetahui UN, Password dan PIN transaksi. Itu diketahui dengan mengelabui korbannya ke situs phishing seakan-akan ada perubahan tarif transfer yang kemarin ramai tarif transfer BRI dan BCA naik jadi 105 rb per bulan. Dari situ dapat UN, Password dan PIN transaksi,” jabarnya.
Mereka mengirimkan surat undangan pernikahan yang sebenarnya mengandung APK dari luar Play Store. Begitu diinstal akan mencuri kredensial OTP dari perangkat korbannya.
Ketika APK Android berbahaya ini dijalankan, sebenarnya akan muncul beberapa peringatan seperti menginstal aplikasi dari luar Play Store sangat berbahaya dan tidak disarankan. Dan ketika peringatan ini diabaikan, masih muncul peringatan lain ketika memberikan akses SMS kepada aplikasi yang ingin di instal, termasuk data dokumen dan foto perangkat kepada aplikasi berbahaya yang di instal tersebut.
Namun kemungkinan besar karena masyarakat tidak terbiasa memperhatikan peringatan ketika instal aplikasi dan dengan mudah memberikan persetujuan (Allow) tanpa membaca dengan teliti dan mengerti akibat dari persetujuan yang diberikan maka aplikasi jahat pencuri data ini akan tetap terinstal dan menjalankan aksinya.
Baca Juga:Wah, Sudah Ada Aplikasi Google Bisa Baca Tulisan Dokter
Membutuhkan Data Kredensial
Sebenarnya dengan instal aplikasi jahat ini tidak cukup untuk mengakses akun mobile banking korbannya, karena mengakses akun mobile banking membutuhkan User ID, Password Mobile Banking, PIN persetujuan transaksi dan OTP (One Time Password) yang didapatkan melalui APK jahat ini.
Jadi menjadi pertanyaan besar adalah darimana kriminal ini bisa mendapatkan kredensial mobile banking korbannya karena APK jahat ini hanya bisa mencuri SMS OTP.
Apakah karena antar organisasi kriminal ini saling berbagi database untuk dijadikan sasaran atau ada database bank pengguna m-banking yang bocor.
Seperti kita ketahui, pada aksi phishing sebelumnya pada pertengahan tahun 2022 banyak korban pengguna m-banking yang tertipu dan memberikan kredensial m-banking kepada penipu karena diancam akan dikenai biaya transfer bulanan Rp150.000 (https://www.vaksin.com/aksi-phishing-mobile-banking-bri).
Antisipasi dan pencegahan
Dengan asumsi data pengguna m-banking ini sudah bocor, maka salah satu hal darurat yang harus dilakukan pengguna m-banking yang mengalami kebocoran data adalah segera mengganti Password dan PIN persetujuan transaksi.
Jika anda masih ragu, pertimbangkan untuk mengganti akun m-banking atau memilih penyedia m-banking yang memberikan pengamanan lebih baik.
Sebenarnya, jika bank menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan mengambil alih akun m-banking sekalipun berhasil mendapatkan semua kredensial dan OTP persetujuan transaksi.
Baca Juga:Dewan Pers Luncurkan Layanan Aplikasi Pengaduan Elektronik
Bagi bank penyedia layanan m-banking, Vaksincom menyarankan untuk menerapkan verifikasi What You Have untuk perpindahan akun m-banking ke ponsel baru atau nomor ponsel baru. Jadi jangan mengandalkan verifikasi What You Know saja untuk memindahkan akun m-banking ke ponsel atau nomor ponsel baru.
Verifikasi What You have ini contohnya adalah verifikasi kartu ATM, KTP asli, fisik pemilik rekening. Sedangkan verifikasi What You Know adalah User ID, Password, PIN persetujuan transaksi dan kode OTP.
Untuk pemerintah dan regulator yang mengatur lembaga finansial diharapkan untuk menentukan standar pengamanan transaksi finansial digital yang ketat dan aman seperti m-banking sehingga tidak mudah di eksploitasi.
Hal ini sangat penting karena banyaknya kasus pembobolan m-banking ini akan menurunkan kepercayaan masyarakat terhadap sektor keuangan digital dan akan menghindari menggunakan channel digital.
Padahal pemerintah sangat berkepentingan terhadap digitalisasi dalam sektor finansial karena akan memberikan efek berganda bagi perkembangan ekonomi Indonesia.(detik/hm12)
