BusinessUpdate – Hati-hati jika menerima undangan pernikahan digital dari orang tak dikenal melalui WhatsApp (WA). Jika tautan undangan itu mengarah ke aplikasi dengan format APK, jangan sekali-kali dibuka.
Jika aplikasi itu diklik atau diinstal, aplikasi tersebut akan mencuri informasi pribadi pengguna sehingga memungkinkan penipu untuk membobol rekening pribadi korban.
Derasmus Kenlopo, warga Kelurahan Naimata, Kecamatan Maulafa, Kota Kupang, Nusa Tenggara Timur (NTT), menjadi salah satu korban dari praktik penipuan online dengan modus tersebut. Akibatnya, ia kehilangan uang Rp 14 juta.
“Uang saya Rp 14 juta dalam rekening, sekarang hanya tersisa Rp 25.000,” kata Derasmus seperti dikutip Kompas.Menurut Derasmus, uang itu lenyap setelah ia mengklik undangan pernikahan yang diterima lewat pesan WhatsApp.
Menurut pengamat keamanan siber dari Vaksin.com, Alfons Tanujaya, aplikasi APK yang dikirim sebagai “undangan pernikahan digital” itulah yang berbahaya. Jika diklik, “undangan digital” itu bisa mencuri kredensial One Time Password (OTP) dari perangkat korban.
Mekanismenya, ketika aplikasi tersebut diinstal, biasanya muncul beberapa peringatan dari sistem ponsel yang akan mengonfirmasi apakah pengguna yakin akan menginstal aplikasi itu. Sebab, aplikasi dengan format APK adalah aplikasi dari luar toko aplikasi resmi seperti Play Store maupun App Store, sehingga tidak disarankan karena dapat berpotensi berbahaya.
Selanjutnya, akan muncul peringatan bahwa aplikasi APK meminta akses ke berbagai data, seperti SMS, media dan lain sebagainya. Bila beberapa peringatan itu diabaikan dan proses instalasi aplikasi terus berjalan, maka aplikasi APK itu akan mendapatkan akses ke SMS, termasuk membaca kode OTP dari pihak bank yang biasanya dikirimkan melalui SMS.
Kode OTP saja sebenarnya tidak cukup untuk mengakses akun mobile banking korban. Pasalnya, dibutuhkan banyak data seperti ID pengguna, password mobile banking, PIN persetujuan transaksi hingga OTP.
Menurut Alfons, penipuan online dengan modus undangan digital kemungkinan masih berkaitan dengan kasus phising pada pertengahan tahun 2022. Saat itu, marak penipuan tentang kenaikan biaya transfer bank hingga Rp150.000. Mereka yang tidak setuju dengan kenaikan tersebut diminta untuk mengisi formulir. Data dari form inilah yang dimanfaatkan penipu dalam kasus penipuan online dengan modus undangan digital. Dengan kata lain, kredensial bank dari sejumlah pengguna sudah bocor ke tangan penipu.
“Pada aksi phishing sebelumnya pada pertengahan tahun 2022, banyak korban pengguna m-banking yang tertipu dan memberikan kredensial m-banking kepada penipu karena diancam akan dikenai biaya transfer bulanan Rp.150.000,” kata Alfons.
umber data lainnya menurut Alfons kemungkinan dari kebocoran sistem penyelenggara m-banking sehingga kredensial bank pengguna sampai ke penipu. “Kemungkinan kedua, pengelolaan dan pengamanan data kredensial dari penyelenggara m-banking kurang baik, sehingga kredensialnya bisa bocor dan jatuh ke tangan penipu,” ujar Alfons.Â
Kemungkinan lainnya adalah para penipu saling berbagi data kredensial bank yang sudah didapat sebelumnya. Dari sejumlah data itu, bila digabungkan dengan data OTP yang diperoleh melalui aplikasi APK, maka penipu bisa mendapatkan akses ke rekening pengguna melalui m-banking dan menguras uang di dalamnya. Tips mengamankan data bank, lakukan penggantian password dan PIN mobile banking secara berkala. (rn/jh)
