Waspada Penipuan Kurir Palsu Minta Instal Aplikasi: Curi OTP, Bobol M-Banking

5 Desember 2022 12:12 WIB
·
waktu baca 4 menit
comment
2
sosmed-whatsapp-white
copy-link-circle
more-vertical
Ilustrasi hacker. Foto: Shutterstock
zoom-in-whitePerbesar
Ilustrasi hacker. Foto: Shutterstock
ADVERTISEMENT
Kejahatan siber semakin beragam, seolah-olah pelaku tidak pernah kehabisan ide untuk mengelabui korbannya. Terbaru, ada modus penipuan kurir palsu yang berakhir dengan akun mobile banking (m-banking) korban dibajak dan saldonya dibobol.
ADVERTISEMENT
Ada dua modus operandinya. Pertama, penipu menyamar menjadi kurir, menghubungi calon korbannya dengan WhatsApp, dan memintanya membuka file foto paket yang dikirim untuk memastikan paket itu benar atas nama korban atau bukan.
File foto seharusnya memiliki ekstensi .jpg, .jpeg, .png, dan file gambar lainnya. Namun file yang dikirimkan penipu adalah file dengan ekstensi .apk alias aplikasi, yang jika diklik, file bakal terunduh atau ter-download, dan smartphone akan menanyakan pengguna apakah mau menginstalnya atau tidak.
Untuk calon korban yang paham dengan sistem komputer tentu tidak akan langsung klik file atau mengabaikannya. Namun bagi orang awam, terutama yang kebetulan lagi belanja online, mungkin akan langsung klik tanpa pikir panjang, membuat aplikasi asing tersebut terinstal di handphone (HP).
ADVERTISEMENT
Modus kedua hampir mirip, penipu menghubungi calon korbannya melalui WhatsApp dan memintanya menginstal aplikasi ekspedisi (dalam kasus ini J&T) palsu, yang akan meminta persetujuan membaca SMS. Aplikasi tiruan ini disebutnya dibutuhkan untuk mengecek paket bodong yang dikirim.
Pelaku akan menyamar menjadi kurir dan memberikan resi palsu. Namun file tersebut aplikasi, yang jika diinstal dan diberikan izin SMS, akan membaca SMS korban dan meneruskannya ke pelaku dengan sistem "SMS to Telegram". Foto: Dok. Alfons Tanujaya
Lantas, bagaimana cara penipuan ini bisa menyedot saldo mobile banking?
Kedua modus penipuan tersebut sama-sama memanfaatkan SMS to Telegram, aplikasi sejenis SMS Forwarder yang akan meneruskan SMS ke perangkat lain. Selain itu, penipu juga mengandalkan kelemahan dari one time password (OTP), akses yang diberikan oleh aplikasi tertentu melalui SMS, biasanya berupa deretan angka atau huruf, dan itu hanya bisa digunakan sekali.
Alfons Tanujaya, pakar keamanan siber dari Vaksincom, mengatakan pengamanan dengan OTP hanya dilakukan ketika ingin mengganti perangkat m-banking, dan itu hanya mengandalkan OTP SMS yang secara teknis lebih lemah dan mudah disadap dibandingkan dengan OTP aplikasi Authenticator atau token. Celakanya, pihak penyedia layanan m-banking tidak memberi verifikasi tambahan untuk mencegah pengambilalihan akun bank, jika OTP yang lemah itu bocor.
ADVERTISEMENT
Jika orang lain mendapatkan OTP, maka dia akan mendapat akses aplikasi yang kita gunakan tersebut. Akses ini memungkinkan orang asing itu melakukan banyak hal, salah satunya membuat transaksi.
Celah ini yang kemudian dimanfaatkan penjahat siber dengan menggunakan SMS to Telegram.
“Sebenarnya aplikasi SMS to Telegram ini bukan aplikasi jahat dan merupakan aplikasi yang banyak tersedia di Play Store dan diberikan secara gratis di Github. Aplikasi ini berguna untuk membantu pengguna ponsel untuk membaca SMS-nya di aplikasi Telegram dan bisa digunakan untuk otomatis pendukung aplikasi lain,” kata Alfons di situs web resmi vaksin.com, yang diizinkan untuk dikutip kumparan, Senin (5/12).
Aplikasi tersebut mengandung bot "SMS to Telegram". Ketika terinstal, bot akan membaca SMS di HP korban. Dengan cara ini pelaku bisa mendapatkan kode OTP yang dikirimkan aplikasi. Foto: Dok. Alfons Tanujaya
Jadi, pelaku menanamkan bot SMS to Telegram di aplikasi ekspedisi, dalam kasus ini J&T Express, palsu. Ketika diinstal, aplikasi akan meminta izin untuk membaca SMS.
ADVERTISEMENT
Setelah diinstal, bot SMS to Telegram akan membaca SMS di HP korban, dan meneruskan pesan-pesan tersebut ke Telegram pelaku. Dengan cara ini pelaku bisa mendapatkan kode OTP tanpa harus meminta korban menuliskannya.
Ketika skenario ini berjalan, pelaku akan menginstal aplikasi-aplikasi penting di HP pelaku. Kemudian saat aplikasi tersebut meminta OTP untuk verifikasi, kode OTP akan masuk ke HP korban. Karena bot malware tersebut sudah terpasang, SMS OTP yang masuk terbaca dan diteruskan ke pelaku.
Setelah aplikasi terinstal, penipu akan mendapatkan akses OTP yang digunakan untuk mengakses aplikasi penting seperti m-banking. Foto: Dok. Alfons Tanujaya
Akhirnya pelaku diganjar akses ke aplikasi m-banking korban dan membuat transaksi yang tidak diinginkan.
Alfons menyarankan pengguna untuk tidak menginstal aplikasi di luar toko resmi Google Play Store. Ia juga meminta pengguna berhati-hati dengan aplikasi yang meminta izin mencurigakan.
ADVERTISEMENT
“Jika pengguna ponsel adalah orang yang cukup mengerti teknologi, kemungkinan kecil akan menjadi korban karena akan menghindari instal aplikasi dari luar Play Store, apalagi hak yang diminta sangat tinggi, khususnya membaca SMS dan mengirimkannya lagi,” pungkasnya.