Hati-hati Penipuan Kurir Palsu Minta Instal Aplikasi: Curi OTP dan Bobol M-Banking

- Advertisement -
Kejahatan siber semakin beragam, seolah-olah pelaku tidak pernah kehabisan ide untuk mengelabui korbannya. Terbaru, ada modus penipuan kurir palsu yang berakhir dengan akun mobile banking (m-banking) korban dibajak dan saldonya dibobol.

Ada dua modus operandinya. Pertama, penipuan kurir palsu menyamar menjadi kurir, menghubungi calon korbannya dengan WhatsApp, dan memintanya membuka file foto paket yang dikirim untuk memastikan paket itu benar atas nama korban atau bukan.

File foto seharusnya memiliki ekstensi .jpg, .jpeg, .png, dan file gambar lainnya. Namun file yang dikirimkan penipuan kurir palsu adalah file dengan ekstensi .apk alias aplikasi, yang jika diklik, file bakal terunduh atau ter-download, dan smartphone akan menanyakan pengguna apakah mau menginstalnya atau tidak.

Untuk calon korban yang paham dengan sistem komputer tentu tidak akan langsung klik file atau mengabaikannya. Namun bagi orang awam, terutama yang kebetulan lagi belanja online, mungkin akan langsung klik tanpa pikir panjang, membuat aplikasi asing tersebut terinstal di handphone (HP).

Modus kedua hampir mirip, penipuan kurir palsu menghubungi calon korbannya melalui WhatsApp dan memintanya menginstal aplikasi ekspedisi (dalam kasus ini J&T) palsu, yang akan meminta persetujuan membaca SMS. Aplikasi tiruan ini disebutnya dibutuhkan untuk mengecek paket bodong yang dikirim.

Lantas, bagaimana cara penipuan kurir palsu ini bisa menyedot saldo mobile banking?

Kedua modus penipuan kurir palsu tersebut sama-sama memanfaatkan SMS to Telegram, aplikasi sejenis SMS Forwarder yang akan meneruskan SMS ke perangkat lain. Selain itu, penipu juga mengandalkan kelemahan dari one time password (OTP), akses yang diberikan oleh aplikasi tertentu melalui SMS, biasanya berupa deretan angka atau huruf, dan itu hanya bisa digunakan sekali.

Alfons Tanujaya, pakar keamanan siber dari Vaksincom, mengatakan pengamanan dengan OTP hanya dilakukan ketika ingin mengganti perangkat m-banking, dan itu hanya mengandalkan OTP SMS yang secara teknis lebih lemah dan mudah disadap dibandingkan dengan OTP aplikasi Authenticator atau token. Celakanya, pihak penyedia layanan m-banking tidak memberi verifikasi tambahan untuk mencegah pengambilalihan akun bank, jika OTP yang lemah itu bocor.

Jika orang lain mendapatkan OTP, maka dia akan mendapat akses aplikasi yang kita gunakan tersebut. Akses ini memungkinkan orang asing itu melakukan banyak hal, salah satunya membuat transaksi.

Celah ini yang kemudian dimanfaatkan penjahat siber dengan menggunakan SMS to Telegram.

“Sebenarnya aplikasi SMS to Telegram ini bukan aplikasi jahat dan merupakan aplikasi yang banyak tersedia di Play Store dan diberikan secara gratis di Github. Aplikasi ini berguna untuk membantu pengguna ponsel untuk membaca SMS-nya di aplikasi Telegram dan bisa digunakan untuk otomatis pendukung aplikasi lain,” kata Alfons di situs web resmi vaksin.com, yang diizinkan untuk dikutip  dari kumparan, Senin (5/12).

Jadi, pelaku menanamkan bot SMS to Telegram di aplikasi ekspedisi, dalam kasus ini J&T Express, palsu. Ketika diinstal, aplikasi akan meminta izin untuk membaca SMS.

Setelah diinstal, bot SMS to Telegram akan membaca SMS di HP korban, dan meneruskan pesan-pesan tersebut ke Telegram pelaku. Dengan cara ini pelaku bisa mendapatkan kode OTP tanpa harus meminta korban menuliskannya.

Ketika skenario ini berjalan, pelaku akan menginstal aplikasi-aplikasi penting di HP pelaku. Kemudian saat aplikasi tersebut meminta OTP untuk verifikasi, kode OTP akan masuk ke HP korban. Karena bot malware tersebut sudah terpasang, SMS OTP yang masuk terbaca dan diteruskan ke pelaku.

Akhirnya pelaku diganjar akses ke aplikasi m-banking korban dan membuat transaksi yang tidak diinginkan.

Alfons menyarankan pengguna untuk tidak menginstal aplikasi di luar toko resmi Google Play Store. Ia juga meminta pengguna berhati-hati dengan aplikasi yang meminta izin mencurigakan.

“Jika pengguna ponsel adalah orang yang cukup mengerti teknologi, kemungkinan kecil akan menjadi korban karena akan menghindari instal aplikasi dari luar Play Store, apalagi hak yang diminta sangat tinggi, khususnya membaca SMS dan mengirimkannya lagi,” pungkasnya.

spot_img

Trending Topic

TINGGALKAN KOMENTAR

Silakan masukkan komentar anda!
Silakan masukkan nama Anda di sini

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Hot News

Game

PENTING UNTUK DIBACA