KOMPAS.com - Modus penipuan online dengan mengirimkan file berformat APK melalui pesan WhatsApp kembali terjadi.
Kali ini, pelaku berpura-pura mengirimkan undangan pernikahan tanpa menyebutkan siapa pihak yang mengundang.
Diunggah oleh akun Twitter ini pada Jumat (27/1/2023), unggahan modus undangan pernikahan disertai dengan tangkapan layar pesan dari pelaku.
"Setelah bukti resi, sekarang penipuan pakai kedok undangan nikah," tulis pengunggah.
Tampak dalam tangkapan layar, pelaku tanpa memperkenalkan diri langsung mengirimkan file APK berukuran 6,6 MB dengan nama "Surat Undangan Pernikahan Digital".
"Kami harap kehadiran nya," tulis pelaku menyusul kiriman surat undangan.
Saat ditanya siapa, pelaku tidak menjawab dan justru mengarahkan penerima pesan untuk membuka file APK tersebut.
Twit penipuan modus undangan pernikahan ini pun menarik perhatian lebih dari 1,1 juta warganet.
Adapun hingga Sabtu (28/1/2023) pagi, twit viral ini telah disukai lebih dari 8.900 pengguna dan dibagikan ulang oleh lebih dari 4.700 warganet.
Baca juga: Viral, Unggahan Penipuan Modus Kurir Paket, Saldo Rekening Bisa Ludes
Mencuri OTP dan mengincar saldo korban
Pakar keamanan siber dari Vaksincom Alfons Tanujaya mengungkapkan, surat undangan pernikahan tersebut sebenarnya mengandung APK dari luar Play Store.
"Jika diinstal akan mencuri kredensial OTP (One-Time Password) dari perangkat korbannya," kata dia, saat dihubungi Kompas.com, Sabtu (28/1/2023).
Setelah berhasil mencuri OTP, maka akan terjadi perpindahan akun m-banking dari ponsel korban ke ponsel pelaku.
Alfons melanjutkan, saat APK berbahaya ini dijalankan, sebenarnya akan muncul beberapa peringatan.
Jika peringatan tersebut diabaikan, maka akan muncul peringatan lain saat memberikan akses SMS kepada aplikasi yang akan diinstal.
Bukan hanya SMS, tetapi juga peringatan untuk memberikan ases data dokumen dan foto perangkat kepada aplikasi berbahaya.
Namun demikian, kemungkinan masyarakat tidak terbiasa memperhatikan peringatan tersebut dan dengan mudah memberikan persetujuan atau "Allow" tanpa membaca maupun mengerti akibatnya.
Selanjutnya, aplikasi yang berhasil terinstal pun akan menjalankan aksinya untuk mencuri saldo korban.
"Undangan pernikahan palsu dari penipu ini akan membuat hati Anda hancur karena saldo Anda akan dikuras habis," kata Alfons.
Baca juga: Viral, Unggahan Penipuan Bermodus Tagihan Listrik PLN dan Kirim File APK via WA
Butuh data kredensial
Alfons menerangkan, sebenarnya instal aplikasi saja tidak cukup untuk mengakses akun m-banking korban.
Sebab, mengakses akun membutuhkan user ID, kata sandi, PIN persetujuan transaksi, dan OTP.
"Jadi menjadi pertanyaan besar adalah darimana kriminal ini bisa mendapatkan kredensial mobile banking korbannya karena APK jahat ini hanya bisa mencuri SMS OTP," tanya Alfons.
Menurut dia, ada beberapa kemungkinan dari mana penipu mendapatkan data kredensial pemilik akun m-banking.
Pertama, didapat dari aksi phishing sebelumnya. Misalnya, aksi yang menipu korban dengan menyatakan bahwa biaya transfer bulanan berubah menjadi Rp 150.000.
Korban yang tertipu pun akan diarahkan untuk mengisi sejumlah data-data penting yang cukup untuk mengambil alih akun m-banking.
Kemungkinan kedua, lanjut Alfons, pengelolaan dan pengamanan data kredensial dari penyelenggara m-banking kurang baik, sehingga bisa bocor dan jatuh ke tangan penipu.
"Memang ada komunikasi antara kelompok penipu yang mengeksploitasi m-banking ini dan mereka saling berbagi database," tutur dia.
Baca juga: Ramai Penipuan Online, Bisakah Melacak Wajah dan Alamat Pelaku?
Pencegahan dan antisipasi
Alfons mengimbau masyarakat terutama pengguna m-banking untuk ekstra hati-hati dengan cara:
- Jangan instal aplikasi apa pun dari luar Play Store
- Jangan berikan akses baca atau kirim SMS ke aplikasi tidak dikenal
- Pantau aplikasi yang bisa mengakses SMS dan hapus aplikasi yang tidak esensial
- Jika menemukan aplikasi pencuri SMS, segera hapus dan reset m-banking.
Dia menambahkan, pengguna m-banking yang sudah terlanjur menginstal APK dapat segera mengganti kata sandi dan PIN persetujuan transaksi.
Jika masih ragu, bisa juga mengganti akun m-banking atau memilih penyedia m-banking yang memberikan pengamanan lebih baik.
"Sebenarnya, jika bank menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan mengambil alih akun m-banking sekalipun berhasil mendapatkan semua kredensial dan OTP persetujuan transaksi," kata dia.
Adapun bagi bank penyedia layanan m-banking, pihaknya menyarankan untuk menerapkan verifikasi "What You Have" untuk perpindahan akun ke ponsel atau nomor baru.
Dengan demikian, tidak hanya mengandalkan verifikasi "What You Know" untuk memindahkan akun.
"Verifikasi 'What You Have' ini contohnya adalah verifikasi kartu ATM, KTP asli, fisik pemilik rekening," terang Alfons.
"Sedangkan verifikasi 'What You Know' adalah User ID, password, PIN persetujuan transaksi dan kode OTP," lanjutnya.
Baca juga: Ramai Tagar #KAIsedangtidakbaikbaiksaja dan Seruan Pakai Pita Hitam untuk Pegawai, Ada Apa?
Modus penipuan berpura-pura kurir dan petugas PLN
Sebelumnya, penipuan serupa pernah terjadi dengan modus berpura-pura menjadi kurir jasa ekspedisi dan petugas PLN.
Pelaku mengirimkan file dengan ekstensi APK bertuliskan foto paket atau tagihan listrik kepada korban.
Bagi para korban yang terlanjur mengunduh file, saldo mobile banking atau m-banking tanpa sepengetahuan tiba-tiba ludes.
Padahal, korban kala itu mengaku tidak pernah menjalankan atau membuka aplikasi apa pun. Korban juga mengatakan, tidak ada perintah untuk mengisi user ID atau kata sandi pada situs lain.
Dapatkan update berita pilihan dan breaking news setiap hari dari Kompas.com. Mari bergabung di Grup Telegram "Kompas.com News Update", caranya klik link https://t.me/kompascomupdate, kemudian join. Anda harus install aplikasi Telegram terlebih dulu di ponsel.