Nextren.com - Baru-baru ini warganet ramai memperbincangkan modus penipuan gaya baru yang menimpanasabah bank BRI, yang dikuras rekeningnya hingga ratusan juta rupiah.
Padahal dia tidak merasa memberikan SMS OTP kepada seseorang tak dikenal, yang meneleponnya.
Ternyata sebelumnya, korban menerima dan meng-klik kiriman link yang seolah menyaru sebagai kurir J&T. Lalu apa yang sebenarnya terjadi?
Dalam sebuah peperangan, perangkat canggih dan mahal tidak selalu dapat memenangkan pertempuran.
Kelihaian pengguna senjata dan kecerdikannya mengeksploitasi kelemahan korbannya, sangat menentukan dalam keberhasilan.
Hal ini juga terjadi pada pengamanan Internet Banking dari berbagai bank yang ada di Indonesia saat ini.
Baca Juga: Awas Modus Penipuan Online Baru, Ngaku Kurir J&T Kirim File Apk Berbahaya!
Celakanya ketika merambah Mobile Banking, pengamanan OTP dengan token malah ditinggalkan dan beralih ke pengamanan dengan PIN dan Password transaksi saja, tanpa OTP.
Menurut pakar keamanan data Vaksin.com, Alfons Tanujaya, alasannya adalah untuk kepraktisan dan kemudahan.
Pengamanan dengan OTP hanya dilakukan saat ingin mengganti perangkat Mobile Banking.
Itupun hanya mengandalkan OTP SMS, yang secara teknis lebih lemah dan mudah disadap, dibandingkan dengan OTP aplikasi Authenticator atau token.
Celakanya, pihak penyedia layanan Mobile Banking tidak menambahkan verifikasi tambahan untuk mencegah pengambilalihan akun bank jika OTP yang lemah tersebut bocor.
Hal ini memungkinkan terjadinya pengambilalihan akun oleh kriminal yang mampu mengakses OTP SMS tadi.
Penjahat lalu bisa menjalankan aksinya menguras akun korban yang berhasil di eksploitasinya. (lihat gambar 1)
Gambar 1. Akun bank BRI yang berhasil dikuras oleh penipu
Sebenarnya saat ini pengamanan transaksi perbankan sudah mencapai tingkat yang secara teknis sulit dieksploitasi, karena menggunakan OTP One Time Password atau password sekali pakai.
Tetapi OTP bukan berarti bahwa pengamanan transaksi sudah terjamin lalu tidak mungkin dibobol lagi.
Ada titik lemah dari pengamanan transaksi dengan OTP, yaitu di pengguna akhir atau end user yang awam.
Baca Juga: Kisah Pilu Wanita Jawa Barat Tertipu Investasi Kripto Bodong, Rp 565 Juta Ludes
Padahal, di posisi end user itu pengamanannya sudah berada di luar kendali penyedia layanan.
Adapun teknik yang paling umum digunakan penjahat adalah Soceng alias Social Engineering.
Uniknya, keberhasilan teknik Soceng ini tidak terlalu dipengaruhi oleh faktor kecanggihan aplikasi Soceng yang digunakan.
Ternyata faktor yang lebih menentukan adalah pilihan jenis Soceng yang dipakai.
Jika jenis Soceng berhasil disesuaikan dengan kondisi korbannya, maka korbannya akan mudah percaya dan termakan oleh tipuan penjahat tersebut.
Sebelumnya penipu menggunakan Soceng dengan cara menyaru sebagai pejabat bank, yang menggiring korbannya memberikan kode OTP untuk persetujuan transaksi.
Kini teknik terbaru yang digunakan penjahat cukup mengejutkan, karena pilihan Socengnya tidak terduga dan tidak berhubungan langsung dengan layanan finansial atau bank yang diincar.
Namun hasil akhirnya penjahat itu tetap berhasil, yaitu dengan cara mengelabui korbannya dan berhasil menguras rekening bank korbannya sampai ratusan juta rupiah.
Pilihan Soceng yang digunakan adalah memalsukan diri sebagai aplikasi pelacakan paket kurir, dimana korbannya dikelabui bahwa ia mendapatkan pengiriman paket.
Nah untuk melacak paket tersebut ia perlu menjalankan aplikasi yang dikirimkan lewat link.
Padahal aplikasi yang dikirimkan tersebut jika dijalankan, akan mencuri SMS OTP ponsel yang diincar.
Memalsukan diri sebagai kurir J&T
Tentunya Anda tidak akan curiga kalau ada pihak yang menghubungi dan menginformasikan Anda mendapatkan kiriman paket.
Baca Juga: Survei CfDS UGM: Penipuan Digital Marak, Terbanyak Berkedok Hadiah Lewat SMS dan Telepon
Biasanya pengirim pesan akan meminta anda mengklik tautan yang dia kirimkan, dengan alasan untuk melacak paket Anda. (lihat gambar 2)
Padahal di dalam aplikasi pelacak kiriman J&T palsu tersebut, telah disuntikkan bot SMS to Telegram, yang otomatis meneruskan OTP SMS sehingga rekening bisa dibobol.
Gambar 2. Penipu yang memalsukan diri sebagai kurir yang mengirimkan paket kepada korban yang sudah diincarnya
Tujuan utama dari penipu ini adalah supaya korbannya tidak curiga dan menjalankan link yang diklaim sebagai aplikasi untuk mengecek detail paket. (lihat gambar 3)
Gambar 3, Penipu akan mengelabui korbannya untuk menjalankan aplikasi untuk mengecek paket kiriman
Jika korbannya menjalankan aplikasi ini, maka sudah jelas aplikasi ini akan mengambil beragam hak akses yang tidak dimengerti oleh orang awam.
Padahal hak akses yang diminta sangat berbahaya, seperti membaca SMS yang masuk yang bisa otomatis dikirimkan ke platform lain milik penipu.
Pihak J&T dalam hal ini jelas kebagian apes, sebagai korban yang dicatut namanya oleh penipu. Aplikasi tersebut jelas tidak ada hubungannya dengan J&T.
Malah aplikasi tersebut akan mengincar korban yang tidak berhubungan langsung dengan bisnis kurir, tapi nasabah perbankan secara umum.
Apa yang terjadi jika aplikasi ini dijalankan Mobile Banking dan mengandalkan SMS OTP untuk memindahkan akun mobile banking ke perangkat lain?
Yang akan terjadi adalah sekalipun korbannya sudah waspada dengan tidak memberikan OTP yang dikirimkan ke SMS-nya kepada siapapun, namun saldo Mobile Bankingnya tetap bisa diambilalih.
Mengapa bisa terjadi demikian?
Karena kode OTP perpindahan akun Mobile Banking yang dikirimkan ke SMS hape korban, sudah menjalankan aplikasi kiriman tadi.
Maka secara otomatis OTP akan diteruskan ke penipu, lalu penipu bisa dengan bebas menguras dana di rekening korbannya.
Baca Juga: Modus dan Antisipasi Begal Rekening yang Sedang Merajalela, Waspadalah!
Korban hanya bisa melihat dananya tersebut dikuras lewat kiriman SMS OTP, tanpa bisa berbuat apa-apa. (lihat gambar 1 di atas)
Lalu, apa yang harus dilakukan oleh nasabah dan bank untuk mengamankan Mobile Bankingnya ?
- Nasabah pengguna Mobile Banking jangan pernah menginstal aplikasi apapun yang tidak diketahui keamanannya. Aplikasi resmi dari Play Store saja yang pada awalnya aman saat update, bisa disusupi program jahat. Apalagi aplikasi di luar Play Store yang tidak diawasi oleh Google.
- Jika Anda sering menggunakan Mobile Banking dan jumlah saldo di bank signifikan bagi Anda, maka pertimbangkan memakai HP terpisah untuk Mobile Banking. Jadi nomor HP yang dipakai untuk menerima SMS OTP tidak diberikan kepada umum. Jangan sembarangan instal aplikasi di HP khusus tersebut atau instal aplikasi secara terbatas saja.
- Pengguna mobile banking disarankan uninstall aplikasi Telegram, karena penjahat memakai bot SMS to Telegram untuk meneruskan kiriman OTP dari sistem mobile banking.
- Pastikan penyedia Mobile Banking yang dipakai punya pengamanan transaksi yang mumpuni.
Pasalnya, untuk perpindahan dana dari akun Mobile Banking ke perangkat lain harus melewati verifikasi yang sangat ketat dan bisa mencegah penipu mengambil alih akun Mobile Banking.
(Alfons Tanujaya, Pakar KemananSiber Vaksin.com)