Waspada Penipuan Minta OTP Shopee Pay, Begini Modusnya
PerbesarADVERTISEMENT
Menjaga keamanan kode one time password (OTP) merupakan gerbang pertama agar akun digital kamu tidak berhasil diretas hacker . Kronologi kejadian berikut ini diharapkan bisa jadi contoh kasus modus peretasan akun e-commerce via rekayasa sosial (social engineering).
ADVERTISEMENT
Pada Kamis (24/9) siang, saya sedang meliput suatu acara via konferensi virtual. Menjelang akhir acara, tepatnya pukul 12.13 WIB, ponsel saya berdering karena ada seseorang yang menelepon. Nomor si penelepon tidak ada dalam kontak saya. Layar hanya menampilkan nomor 085609483088. Saat diangkat, orang di ujung telepon memperkenalkan diri bahwa dirinya adalah "karyawan Shopee ", tanpa memperkenalkan identitas diri. Dia pun bertanya apakah saya sudah lama menggunakan Shopee atau tidak.
Lebih lanjut, dia menjelaskan kalau duduk perkara dia menelepon saya adalah untuk memberitahu kalau akun Shopee saya memenangi undian Shopee Pay sebesar Rp 5 juta dan pulsa 300 ribu.
Tak berapa lama, ponsel saya memunculkan pop up message yang berbunyi kalau pulsa di nomor saya telah berhasil ditambah dengan nilai 300 ribu. Di notifikasi itu, hanya ada pilihan 'OK' untuk mengakhiri pop up message tersebut.
ADVERTISEMENT
Penelepon melanjutkan, dia telah mengirimi saya pulsa 300 ribu. "Mas bisa klik OK untuk menerima hadiah pulsa itu," kata dia.
Si penelepon kemudian bertanya apakah saya mau menerima hadiah Shopee Pay Rp 5 juta tersebut lewat akun Shopee atau lewat uang tunai. Sesaat kemudian, saya mendapat kode OTP baru dari Shopee, meski saya sedang tidak mencoba untuk log in ke akun saya.
Penelepon itu bertanya apakah saya telah mendapatkan kode OTP baru? Dia bilang, kode OTP itu tak boleh dibagi ke orang lain demi keamanan. Namun, kata dia, karena dirinya perlu mentransfer "hadiah Shopee Pay" ke akun saya, ia perlu tahu kode OTP tersebut.
Saya menolak untuk memberitahu kode OTP itu. Penelepon kemudian bertanya apakah saya mau mendapat hadiah atau tidak? Saya berkata tidak. Percakapan pun langsung ditutup oleh dirinya.
ADVERTISEMENT
Setelah percakapan yang berlangsung selama 3 menit itu berakhir, saya langsung menelusuri nomor ponsel 085609483088 lewat aplikasi Truecaller. Di aplikasi pelacak nomor ponsel tersebut, nomor tersebut ditandai dengan nama "Penipu Atas Nama Gojek".
Aplikasi Truecaller sendiri berguna untuk mengidentifikasi nomor yang tak dikenal. Identitas nomor diambil dari nama kontak yang disimpan pengguna Truecaller lain. Dengan demikian, pelaku tak hanya pernah mencoba menipu atas nama Shopee, tapi juga terindikasi pernah melakukan penipuan mengatasnamakan Gojek.
Saya pun mengecek pulsa saya, yang ternyata tidak bertambah sama sekali. Saya juga mengecek akun Shopee saya, untuk melihat apakah kena hack atau tidak.
Saat log in, saya menemukan di bagian notifikasi 'Promo & Update' kalau Shopee memberikan pesan yang berisi peringatan modus penipuan. Notifikasi itu dikirimkan oleh platform e-commerce tersebut pada 22 September 2020.
ADVERTISEMENT
Ketika saya membuka pesan dari Shopee tersebut, Shopee mengingatkan bahwa pengguna tak boleh memberikan kode OTP kepada siapa pun, termasuk kepada karyawan mereka sendiri. Mereka juga memberikan sejumlah contoh modus penipuan dan hack berbasis social engineering, di mana salah satunya persis seperti apa yang saya alami beberapa saat sebelumnya.
Jangan pernah bagikan kode OTP
Dalam sebuah pernyataan kepada kumparanTECH, Shopee juga mengimbau agar pengguna memastikan kode OTP mereka tak diketahui orang lain.
"Untuk menghindari penyalahgunaan akun dan fitur Shopee Pay yang dimiliki pengguna, Shopee mengimbau setiap pengguna untuk tidak membagikan kode OTP kepada siapa pun, karena kode ini hanya digunakan untuk autentikasi diri saat pengguna ingin masuk dan mengakses profilnya (log in) di platform kami," kata Direktur Shopee Indonesia, Handhika Jahja, dalam sebuah pernyataan resmi kepada kumparanTECH.
Handhika menambahkan, pihaknya terus memonitor kasus yang mengatasnamakan Shopee dan Shopee Pay melalui tim khusus anti-fraud (anti-penipuan). Ia juga menyebut kalau Shopee terus melakukan berbagai upaya agar pengguna mereka terhindar dari penipuan.
ADVERTISEMENT
Lebih lanjut, Handhika juga menjelaskan kalau pesan informasi anti-penipuan yang mereka sampaikan di notifikasi bertujuan mengedukasi pengguna agar terhindar dari peretasan.
"Harapannya, dengan berbagi upaya yang telah kami lakukan, semakin banyak pengguna yang teredukasi dan terhindar dari modus penipuan yang mengatasnamakan Shopee dan Shopee Pay di kemudian hari," pungkasnya.
Ahli keamanan siber dari Vaksincom, Alfons Tanujaya, menjelaskan kalau pelaku penipuan tersebut belum membobol password. Pelaku tersebut, kata Alfons, hanya mencoba masuk lewat nomor HP.
"Penipu hanya perlu tahu nomor telepon kamu dan bisa log in. Dia hanya membutuhkan password yang di-SMS-kan ke nomor HP yang bersangkutan," kata Alfons saat dihubungi.
"Jika ada korbannya yang memberikan kode OTP, maka dia (pelaku) langsung log in dan menguras dana di Shopee Pay," sambung Alfons.
Modus penipuan dengan pop up message
Alfons menambahkan, modus pelaku yang mengirimkan pop up message adalah hal yang menarik. Dia menjelaskan bahwa dirinya juga sedang menganalisis penipuan yang mempersuasi korban dengan pop up message semacam itu.
ADVERTISEMENT
Berdasarkan penelusuran kumparanTECH, metode penipuan dengan meyakinkan korban memakai pop up message sebenarnya telah muncul sejak 2014. Dengan modus tersebut, pelaku hendak meyakinkan korban kalau dirinya berasal dari organisasi resmi.
Namun, sebenarnya memunculkan pop up message adalah hal yang mudah. Fitur ini bisa dipakai oleh siapa pun. Orang bisa mengirimkan pop up message ke orang lain melalui sejumlah layanan aplikasi. Tujuan layanan ini pada dasarnya untuk membuat konsumen bisa berkirim pesan dengan cara yang unik.