Tak Pernah Beri Kode OTP ke Siapapun Tapi m-Banking Tetap Bobol? SMS to Telegram Biang Keladinya

Kamis, 01 Desember 2022 | 17:48
https://id.depositphotos.com/vector-images/otp.html

Ilustrasi verifikasi kode One Time Password (OTP)

Nextren.com - Pengguna Mobile Banking (m-Banking) seharusnya tahu kalau pengamanan m-Banking mengutamakan kemudahan di atas keamanan. Artinya kemudahan pemakaian dulu yang diutamakan, baru berikutnya keamanan.

Kemudahan pemakaian bisa dinikmati karena otorisasi transaksi hanya dilakukan mengandalkan password login dan PIN transaksi, sama sekali tidak mengandalkan OTP.

OTP hanya digunakan oleh bank, jika ada verifikasi penting seperti perpindahan ponsel m-Banking ke perangkat baru lain.

Artinya, siapapun yang bisa mengakses OTP tersebut, bisa memindahkan akun m-Banking tersebut ke ponsel lain. Lalu pelaku bisa melakukan transaksi seperti menguras dana dan mengirimkannya ke rekening penampungan yang telah dipersiapkan.

Saat ini tidak sulit membuat rekening bodong untuk menerima hasil kejahatan, karena data kependudukan Indonesia sudah bocor secara masif.

Baca Juga: Benarkah One Time Password (OTP) Jadi Solusi Hindari Kebocoran Data?

Maka data identitas bocor itu bisa disalahgunakan dengan mudah untuk membuat KTP bodong yang dipakai untuk membuka rekening penampungan hasil kejahatan.

Selain itu, metode yang kerap digunakan oleh pelaku kejahatan adalah transfer ke Virtual Account atau ke Dompet Digital. Kedua jenis penampung dana itu bisa dibuka hanya berbekal nomor ponsel prabayar, sehingga mempersulit pihak berwenang untuk melacaknya.

Nah jika pengguna m-Banking sudah mengamankan SMS dengan sangat baik dan tidak pernah tertipu memberikan SMS OTP yang dikirimkan ke ponselnya kepada siapapun, apakah ada jaminan rekening m-Bankingnya pasti aman ? (lihat gambar 1).

Alfons
Alfons

Gambar 1. Verifikasi OTP m-Banking

Sayangnya jawabannya adalah TIDAK.

Karena masih ada aplikasi yang namanya SMS to Telegram.

Aplikasi SMS to Telegram

Sebenarnya aplikasi SMS to Telegram ini bukan aplikasi jahat, tapi aplikasi yang tersedia di Play Store dan diberikan secara gratis di Github.

Aplikasi ini berguna untuk membantu pengguna ponsel untuk membaca kiriman SMS di aplikasi Telegram. Aplikasi ini bisa digunakan untuk otomasi pendukung aplikasi lain.

Yang menjadi masalah adalah SMS pada dasarnya merupakan sarana komunikasi jaman baheula yang kurang aman. SMS tidak dienkripsi dan mudah di sadap.

Namun karena popularitas, biaya implementasi yang murah dan penetrasinya yang tinggi, maka SMS dipilih untuk verifikasi penting, seperti otorisasi identitas akun, mengamankan transaksi finansial seperti menyetujui transaksi keuangan atau mengotorisasi perpindahan akun m-Banking ke Ponsel baru.

Ketika pengguna m-Banking sudah banyak yang sadar akan pentingnya menjaga kode OTP yang dikirimkan ke SMS dan tidak memberikan ke penipu, maka penipu mencari cara lain untuk mendapatkan OTP tersebut.

Baca Juga: Rp 65 Juta Uang Driver Ojol Semarang Ini Ludes Setelah Terima Telepon Masuk, Hasil Nabung Selama 7 Tahun

Dan pilihannya adalah program SMS forwarder yang banyak tersedia di Play Store, dengan satu nama populer adalah SMS to Telegram.

Namun jangan khawatir, tentunya aplikasi ini harus diinstalkan di ponsel korbannya. Padahal tidak ada orang yang dengan bodohnya mau disuruh menginstal aplikasi asing di ponselnya tanpa ada keperluan.

Karena itu diperlukan rekayasa sosial (Soceng) yang efektif, untuk membuat korbannya mau sukarela menginstal aplikasi SMS Forwarder tersebut.

Soceng memanfaatkan lacak paket J&T

Karena masyarakat sudah terbiasa belanja online, maka layanan kurir sudah menjadi keseharian. Hampir setiap hari kita menerima kiriman paket, dan sangat lazim kita melacak paket kiriman menggunakan aplikasi.

Maka upaya soceng dilakukan dengan mengirimkan paket dan meminta korbannya melacak menggunakan aplikasi yang dikirimkan via Whatsapp dipilih (lihat gambar 2 dan 3)

Alfons
Alfons

Gambar 2. Penipu mengaku dari kurir ingin mengirimkan paket

Alfons
Alfons

Gambar 3. Aplikasi lacak paket mencatut nama kurir terkenal

Modus Soceng terbaru ini sangat efektif dan akan bisa mengelabui banyak lapisan masyarakat.

Umumnya masyarakat akan percaya dan menjalankan aplikasi yang dikirimkan lewat Whatsapp tersebut.

Apalagi saat sudah diinstal, tampilannya juga meyakinkan (lihat gambar 4).

Alfons
Alfons

Gambar 4. Aplikasi ini memiliki layar tampilan yang meyakinkan, namun sebenarnya adalah program SMS Forwarder ke Telegram

Baca Juga: Ternyata Ini Penyebab Kode OTP SMS Sering Terlambat Masuk ke Hape dan Membuat Transaksi Gagal

Kemudian dalam proses instalasi, aplikasi ini akan meminta banyak sekali hak akses. Salah satu yang sangat berbahaya bagi pengguna m-Banking, adalah hak akses untuk membaca dan mengirimkan SMS (lihat gambar 5 dan 6).

Alfons
Alfons

Gambar 5. Aplikasi kurir palsu meminta akses mengirimkan dan melihat pesan SMS.

Alfons
Alfons

Gambar 6. Aplikasi J&T Express gadungan yang sudah mendapatkan hak baca SMS Layanan

Jika aplikasi ini berhasil terinstal, maka OTP SMS yang masuk ke ponsel akan otomatis dikirimkan ke akun telegram penipu, menggunakan bot SMS to Telegram (lihat gambar 7). Setelah OTP didapat, maka kemudian di eksploitasi oleh penerima penipu tersebut.

Alfons
Alfons

Gambar 7. Aksi bot yang akan mengirimkan SMS OTP secara otomatis

Apa yang harus dilakukan ?

Jika pengguna ponsel adalah orang yang cukup mengerti teknologi, maka kemungkinan kecil akan menjadi korban.

Pasalnya, mereka akan menghindari instal aplikasi dari luar Play Store. Apalagi hak yang diminta sangat tinggi, khususnya membaca SMS dan mengirimkannya lagi.

Namun karena pengguna m-Banking yang diincar oleh penipu ini umumnya adalah orang awam, maka kemungkinan besar korban akan tertipu.

Karena itu Vaksincom menyarankan para pengguna m-Banking untuk ekstra hati-hati. Jangan pernah menginstal aplikasi SMS forwarder, apalagi aplikasi dari luar Play Store.

Baca Juga: Upaya Pembobolan Rekening Bank Lewat Pengalihan Kode OTP Meningkat, Waspada!

Untuk bank penyedia layanan m-Banking, penulis menyarankan untuk menambahkan sisdur pengamanan.

Jadi sekalipun kredensial m-Banking dan OTP nasabah bocor, dan ada pihak yang ingin mengakses m-Banking dari ponsel baru, maka hak akses m-Banking ke ponsel HARUS diberikan oleh Customer Service bank. Atau minimal nasabah harus

sadar akan adanya hal ini, misalnya dia harus mengambil kredensial m-banking untuk ponsel di mesin ATM.

Semoga hal ini bisa menjadi pencerahan dan mengurangi kasus korban kebocoran dana m-Banking.

(Alfons Tanujaya, Pakar Keamanan Data Vaksin.com)

Tag

Editor : Wahyu Subyanto