Waspada Modus Penipuan Undangan Pernikahan via WhatsApp, Bisa Curi OTP dan Kuras Rekening Korban

TRIBUNPRIANGAN.COM - Penipuan berbasis digital kini makain marak terjadi di Indonesia dan sudah berhasil menjaring banyak koran.

Ada modus kejahatan terbaru yang dilakukan para penipu online untuk menjebak target, yakni dengan cara mengirim undangan pernikahan digital.

Praktik tersebut mulai ramai di Indonesia, dimana penipu online tersebut mengirim undangan pernikahan digital melalui WhatsApp atau WA.

Alih-alih menampilkan rincian undangan, tautan yang yang dikirimkan melalui WhatsApp itu mengarahkan pengguna ke sebuah aplikasi dengan format APK, dan jika diklik atau diinstal, maka aplikasi tersebut akan mencuri informasi pribadi pengguna sehingga memungkinkan penipu untuk membobol rekening pribadi korban.

Derasmus Kenlopo, warga Kelurahan Naimata, Kecamatan Maulafa, Kota Kupang, Nusa Tenggara Timur (NTT), menjadi salah satu korban dari praktik penipuan online dengan modus tersebut, yang mengakibatkan, ia kehilangan uang Rp 14 juta.

Baca juga: 4 Fakta Kasus Pembunuhan Berantai Wowon Cs, Korban Keluarga Sendiri hingga Praktik Penipuan

Baca juga: Mengenal Sosok Crazy Rich Doni Salmanan, Eks Juru Parkir yang Kini Jadi Tersangka Kasus Penipuan

"Uang saya Rp 14 juta dalam rekening, sekarang hanya tersisa Rp 25.000," kata Derasmus dikutip dari Kompas.com.

Menurut Derasmus, uang tersebut lenyap setelah ia mengeklik undangan pernikahan yang diterima lewat pesan WhatsApp.

Pakai file APK untuk mencuri kode OTP

Menurut pengamat keamanan siber dari Vaksin.com, Alfons Tanujaya, aplikasi APK yang dikirim sebagai "undangan pernikahan digital" itulah yang berbahaya.

Jika diklik, "undangan digital" tersebut bisa mencuri kredensial One Time Password (OTP) dari perangkat korban, dengan mekanisme ketika aplikasi tersebut diinstal, biasanya muncul beberapa peringatan dari sistem ponsel yang akan mengonfirmasi apakah pengguna yakin akan menginstal aplikasi itu.

Sebab, aplikasi dengan format APK adalah aplikasi dari luar toko aplikasi resmi seperti Play Store maupun App Store, sehingga tidak disarankan karena dapat berpotensi berbahaya.

Selanjutnya, akan muncul peringatan bahwa aplikasi APK meminta akses ke berbagai data, seperti SMS, media dan lain sebagainya.

Baca juga: Jelang Vonis Doni Salmanan Muncul Karangan Bunga Dukungan, Korban Penipuan Doni Geram

Bila beberapa peringatan tersebut diabaikan dan proses instalasi aplikasi terus berjalan, maka aplikasi APK itu akan mendapatkan akses ke SMS, termasuk membaca kode OTP dari pihak bank yang biasanya dikirimkan melalui SMS.

Berdasarkan penjelasan Alfons, rangkaian proses di atas sebenarnya tidak cukup untuk mengakses akun mobile banking korban, pasalnya dibutuhkan banyak data seperti ID pengguna, password mobile banking, PIN persetujuan transaksi hingga OTP.

Adapun aplikasi APK seperti dijelaskan di atas hanya bisa mengakses kode OTP saja, lantas dari mana penipu mendapatkan data lainnya? Menurut Alfons, penipuan online dengan modus undangan digital kemungkinan masih berkaitan dengan kasus phising pada pertengahan tahun 2022.

Saat itu, marak penipuan tentang kenaikan biaya transfer bank hingga Rp 150.000, dimana mereka yang tidak setuju dengan kenaikan tersebut diminta untuk mengisi formulir.

Baca juga: Beredar Penipuan Mengatasnamakan Dinsos Jabar, Masyarakat Diimbau Hati-Hati

Data dari form inilah yang dimanfaatkan penipu dalam kasus penipuan online dengan modus undangan digital, yang dengan kata lain, kredensial bank dari sejumlah pengguna sudah bocor ke tangan penipu.

"Pada aksi phishing sebelumnya pada pertengahan tahun 2022, banyak korban pengguna m-banking yang tertipu dan memberikan kredensial m-banking kepada penipu karena diancam akan dikenai biaya transfer bulanan Rp. 150.000," kata Alfons, Sabtu (28/1/2023).

Sumber data lainnya menurut Alfons kemungkinan dari kebocoran sistem penyelenggara m-banking sehingga kredensial bank pengguna sampai ke penipu.

"Kemungkinan kedua, pengelolaan dan pengamanan data kredensial dari penyelenggara m-banking kurang baik, sehingga kredensialnya bisa bocor dan jatuh ke tangan penipu," ujar Alfons.

Kemungkinan lainnya adalah para penipu saling berbagi data kredensial bank yang sudah didapat sebelumnya, dan dari sejumlah data tersebut bila digabungkan dengan data OTP yang diperoleh melalui aplikasi APK, maka penipu bisa mendapatkan akses ke rekening pengguna melalui m-banking dan menguras uang di dalamnya.

Baca juga: Jadwal Kereta Api Garut Cibatuan Hari Ini, Senin 30 Januari 2023, Lengkap Beserta Harganya

Tips mengamankan data bank

Bila Anda termasuk salah satu pengguna yang merasa mengisi formulir kasus phising bermodus kenaikan biaya transfer bank, maka dapat diasumsikan bahwa data kredensial bank Anda sudah bocor.

Nah, untuk mencegah risiko lebih lanjut, Alfons menyarankan masyarakat agar segera mengganti password dan PIN persetujuan transaksi m-banking.

Anda juga bisa mengganti akun atau memilih penyedia m-banking yang berbeda agar lebih yakin data Anda aman dari phising sebelumnya.

Baca juga: Eks Ketua DPRD Jabar Irfan Suryanagara dan Istri Didakwa Penipuan hingga TPPU Puluhan Miliar

"Jika Anda masih ragu (ganti password), pertimbangkan untuk mengganti akun m-banking atau memilih penyedia m-banking yang memberikan pengamanan lebih baik," kata Alfons.

Adapun untuk pihak penyedia m-banking, Alfons menyarankan agar menerapkan verifikasi "What You Have" untuk perpindahan akun m-banking ke ponsel baru atau nomor ponsel baru.

Dengan kata lain, pihak bank perlu memverifikasi kartu ATM, KTP asli, hingga fisik pemilik rekening, alih-alih hanya User ID, Password, PIN persetujuan transaksi dan kode OTP.

Alfons juga menyarankan pemerintah dan lembaga keuangan terkait untuk menentukan standar pengamanan transaksi keuangan digital yang ketat termasuk untuk m-banking, agar tidak mudah dieksploitasi.(*)