Waspada Modus Call Forward *21* untuk Curi Akun Gojek dan Kartu Kredit
PerbesarADVERTISEMENT
Penipuan terhadap pengguna dan mitra pengemudi Gojek atau Grab terus terjadi. Setelah meminta kode 4 digit OTP (one time password), sekarang marak penipuan yang memanfaatkan fitur Call Forward atau pengalihan panggilan dari layanan operator seluler. Tujuannya, tetap untuk membajak akun Gojek, Grab, bahkan Tokopedia atau untuk membobol kartu kredit.
ADVERTISEMENT
Penyanyi sekaligus selebritas Maia Estiany menjadi salah satu korban oknum mitra ojek online yang memanfaatkan call forward. Ia berbagi kasus yang menimpanya di pengujung tahun 2019.
Ini bermula ketika dia memesan GoFood, lalu driver yang mengambil orderannya bilang motornya mogok, dan jika mau ganti driver, Maia diminta menekan *21* yang dilanjutkan sebuah nomor ponsel tertentu, yang tak lain adalah nomor ponsel penipu. Ternyata, itu adalah metode untuk melakukan call forwarding yang membuat semua panggilan Maia diteruskan ke nomor si penipu.
Ketika seseorang melakukan call forward, secara otomatis semua panggilan akan dialihkan ke nomor tujuan tersebut. Nah, kalau sudah mendapatkan akses, penipu bisa langsung memanfaatkan celah tersebut untuk mencuri berbagai informasi rahasia dari korban.
Dalam kasus Maia Estianty, penipu mencuri kode OTP yang dikirimkan Gojek lewat telepon untuk meretas akunnya. Karena dialihkan, telepon berisi kode OTP itu tidak hanya diterima oleh ponsel Maia, tapi juga masuk ke ponsel si penipu. Si penipu kemudian menguras saldo GoPay Maia, yang jumlahnya belum diketahui.
ADVERTISEMENT
Penipu juga masuk ke akun WhatsApp, Tokopedia, dan berusaha pakai kartu kredit
Pencuri juga mengakses hal lain ketika posisi data smartphone dialihkan ke nomor lain. Ia bercerita di Instagram, bahwa si penipu menghapus akun WhatsApp, mengakses akun Tokopedia, dan ingin berbelanja smartphone di Tokopedia memanfaatkan kartu kredit Maia yang telah tersimpan di sana.
Dalam kasus kartu kredit, sejumlah layanan perbankan akan mengirim kode verikasi sebagai upaya persetujuan transaksi. Jika fitur call forward atau SMS forward ini aktif, maka penjahat bisa saja mendapatkan akses pada kode verifikasi kartu kredit itu.
“Dia hampir aja lewat akun Tokped gw. Mau beli HP lewat Kartu Kredit gw. Akhirnya, mau gak mau gw blokir kartu kredit juga,” cerita Maia lewat posting Instagram.
ADVERTISEMENT
Gojek menyebut modus penipuan meminta call forward ini sebagai social engineering. Pelaku memanfaatkan ketidaktahuan masyarakat untuk menipu dan mendapatkan informasi atau rahasia penting dari korban.
“Kami mengapresiasi Ibu Maia yang membantu mengedukasi masyarakat tentang kasus penipuan yang dikenal dengan "social engineering", atau penipuan dengan mencatut nama perusahaan. Kami juga mengajak segenap masyarakat, mitra Gojek, rekan media, hingga pemerintah untuk saling mengingatkan agar jangan memberikan kode apapun kepada siapa pun, karena Gojek dan mitra tidak pernah meminta kode apapun lewat cara apapun,” kata Alvita Chen, Senior Manager Corporate Affairs Gojek, dalam sebuah pernyataan, Jumat (27/12).
Sementara Tokopedia, menilai pembajakan akun Maia memanfaatkan celah yang berada di luar sistem Tokopedia. Celah ini sejatinya ada pada layanan operator seluler.
ADVERTISEMENT
Modus pengelabuan (phising) call forward ini bukan pertama kalinya dilakukan penipu untuk menyiasati korbannya. Sudah ada sejumlah cerita yang diterima terkait modus serupa. Celakanya, masih banyak konsumen di era digital yang belum memahami modus call forward beserta bahayanya.
Call forward sendiri adalah fitur yang umum disediakan oleh semua operator seluler. Fungsinya, agar pelanggan telekomunikasi dapat mengalihkan panggilan ketika nomor yang dituju sedang tidak bisa dihubungi karena sibuk, atau sedang tidak aktif dan berada di luar jangkauan.
Menurut pakar keamanan siber Alfons Tanujaya dari perusahaan anti-virus Vaksincom yang berbasis di Jakarta, dalam kasus Maia, ada kemungkinan metode call forward juga mengaktifkan SMS forward. Call forward bisa diterapkan di berbagai layanan operator seluler.
ADVERTISEMENT
Kode OTP, yang merupakan kode untuk login sebuah akun, sejauh ini selalu dikirim oleh Gojek dan Grab lewat SMS. Secara otomatis, SMS yang diterima akan dialihkan ke nomor seluler lain, dan celakanya itu adalah nomor milik penjahat yang siap merampok secara digital.
"Ini yang berbahaya sekali karena SMS forward yang akan menyebabkan akun penting diambilalih," ujar Alfons.
Alfons menilai Maia cukup cepat menyadari kalau dia sudah jadi korban penipuan dan cepat menghubungi operator seluler untuk me-non-aktifkan fitur call forward, dan memblokir layanan yang diperlukan, termasuk kartu kredit.
Pengguna maupun mitra pengemudi Gojek dan Grab sangat perlu mengetahui modus ini, agar akunnya tidak dibajak dan saldo uang elektronik tidak dirampok. Apalagi, fitur call forward atau SMS forward itu memang tersedia di semua operator yang berarti bisa menimpa siapa saja.
GM External Corporate Communications Telkomsel, Aldin Hasyim, menjelaskan call forward atau call divert adalah fitur yang hanya bisa diaktifkan oleh pemilik nomor seluler yang bersangkutan. Fitur ini umum diaktifkan oleh pelanggan ketika sebuah panggilan ingin dialihkan ke nomor lain, atau ketika nomor sedang berada di luar jangkauan.
ADVERTISEMENT
"Fitur Call Forward hanya bisa diaktifkan oleh pemilik nomor seluler yang bersangkutan," tegas Aldin.
Telkomsel kemudian berbagi informasi tentang fitur ini yang ada di layanannya. Berikut ini adalah cara untuk mengaktifkan dan nonaktifkan fitur call forward dari operator seluler Telkomsel.
1. Pengalihan untuk semua panggilan
tekan * * 21 * nomor tujuan pengalihan # Yes/OK
untuk membatalkan tekan ##21# Yes/OK
2. Panggilan tidak terjawab (no reply)
tekan * 61 * nomor tujuan pengalihan # Yes/OK
untuk membatalkan tekan ##61# Yes/OK
3. Nomor sedang sibuk (on busy)
tekan * * 67 * nomor tujuan pengalihan # Yes/OK
untuk membatalkan tekan ##67# Yes/OK
4. Nomor sedang tidak aktif atau berada di luar jangkauan (not reachable)
ADVERTISEMENT
tekan * * 62 * nomor tujuan pengalihan # Yes/OK
• Semua fitur di atas juga bisa dinon-aktifkan melalui USSD sebagai berikut:
tekan ##002# Yes/OK atau dari Menu "Divert" , pilih "Clear All Divert" lalu tekan "Yes/OK"