KOMPAS.com - Pengamat keamanan siber Alfons Tanujaya meminta masyarakat agar tidak sembarangan membuka atau mengeklik tautan maupun dokumen yang dikirimkan melalui aplikasi pesan instan (WhatsApp).
Pasalnya, pesan berisi tautan atau dokumen yang dikirimkan oleh nomor tidak dikenal dengan dalih apa pun dapat mencuri data rekening, termasuk membobol m-banking di ponsel, apabila asal diklik.
Imbauan tersebut diberikan Alfons seiring beredarnya pengungkapan penipuan melalui WhatsApp (WA) dengan modus mengirimkan undangan pernikahan, seperti disebutkan oleh akun Twitter @txtxfrombrand.
Baca juga: Belajar dari Kasus Pasutri Bobol M-Banking, Segera Lapor Bank Jika Ponsel Hilang
Dalam aksinya, pelaku mengirimkan pesan berupa APK atau Android Package Kit yang diberi nama Surat Undangan Pernikahan Digital, melalui WA.
Pelaku mengarahkan korbannya untuk membuka pesan tersebut dengan alasan meminta kesediaan korban untuk hadir dalam acara pernikahan.
"Kali ini dengan mengirimkan surat undangan pernikahan yang sebenarnya mengandung APK dari luar Play Store yang jika di-instal akan mencuri kredensial OTP dari perangkat korbannya," kata Alfons ketika dihubungi Kompas.com, Sabtu (28/1/2023).
Baca juga: Waspada Phising, Modus Cara Melihat Siapa Saja yang Intip Profil Facebook
Baca juga: Awas, Penipuan Berkedok Pesan Barang via WA, Bisa Bajak Akun Media Sosial
Bahaya penipuan berkedok undangan pernikahan
Alfons membeberkan, ketika APK dijalankan, akan muncul beberapa peringatan, seperti menginstal aplikasi dari luar Play Store yang sangat berbahaya dan tidak disarankan.
Bila peringatan tersebut diabaikan, masih muncul peringatan lain ketika memberikan akses SMS kepada aplikasi yang ingin diunduh.
"Termasuk daya dokumen dan foto perangkat kepada aplikasi berbahaya yang di-instal tersebut," jelas Alfons.
Baca juga: Waspadai, Modus Pencurian Data dengan File APK Undangan Pernikahan
Kendati modus ini berbahaya bagi keamanan ponsel, sebagian orang yang tidak terbiasa akan memperhatikan peringatan ketika aplikasi diunduh.
Ada kemungkinan mereka juga memberikan persetujuan atau allow tanpa membaca dengan teliti dan mengerti akibat dari persetujuan yang diberikan.
"Maka aplikasi 'jahat' pencuri data ini akan tetap terinstal dan menjalankan aksinya," jelas Alfons.
Baca juga: Hacker asal Sleman Raup Rp 31,5 Miliar dengan Meretas Perusahaan di AS
Bahaya lainnya
Alfons menambahkan, APK yang sudah terunduh sebenarnya tidak cukup untuk mengakses akun m-banking pada ponsel.
Pasalnya, akses menuju m-banking masih membutuhkan user ID, password, PIN persetujuan transaksi, dan one time password (OTP) yang didapatkan melalui APK tersebut.
Ia menjelaskan, penipu dapat memperoleh kredensial m-banking lantaran APK yang digunakan untuk mengelabuhi korban hanya bisa mencuri SMS OTP.
Dalam hal ini, Alfons mencontohkan kasus penipuan mengatasnamakan BRI dengan dalih bank ini akan menetapkan biaya transfer bulanan senilai Rp 150.000.
Sebagian nasabah BRI yang mendapatkan pesan tersebut lantas memberikan kredensial m-banking mereka.
"Karena diancam akan dikenai biaya transfer bulanan Rp. 150.000," tutur Alfons.
Baca juga: Tukang Becak Tipu Teller BCA Senilai Rp 345 Juta, Ini Kronologinya
Masyarakat harus amankan m-banking
Berkaca dari perkembangan modus pembobolan m-banking yang belakangan beredar, Alfons meminta masyarakat untuk mengamankan m-banking mereka.
Salah satu caranya dengan mengganti password dan PIN persetujuan transaksi sesegera mungkin jika merasa m-banking sudah bocor.
"Jika anda masih ragu, pertimbangkan untuk mengganti akun m-banking atau memilih penyedia m-banking yang memberikan pengamanan lebih baik," saran Alfons.
"Sebenarnya, jika bank menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan mengambil alih akun m-banking sekalipun berhasil mendapatkan semua kredensial dan OTP persetujuan transaksi," sambungnya.
Baca juga: Hati-hati Penipuan, Jangan Berikan Kode OTP kepada Siapa Pun!
Perlu keamanan lebih
Alfons juga meminta bank yang bertanggung jawab atas m-banking untuk menerapkan verifikasi What You Have untuk perpindahan akun m-banking ke ponsel baru atau nomor ponsel baru.
Bank disarankan tidak hanya mengandalkan verifikasi What You Know saja untuk memindahkan akun m-banking ke ponsel atau nomor ponsel baru.
"Verifikasi What You have ini contohnya adalah verifikasi kartu ATM, KTP asli, fisik pemilik rekening. Sedangkan verifikasi What You Know adalah user ID, password, PIN persetujuan transaksi dan kode OTP," terang Alfons.
Baca juga: Presdir BCA Tegaskan Data Rekening Pribadi Menjadi Tanggung Jawab Nasabah
Ia juga berharap, pemerintah dan regulator yang mengatur lembaga finansial untuk menentukan standar pengamanan transaksi finansial digital yang ketat dan aman.
Dengan begitu, m-banking tidak mudah dieksploitasi dan kepercayaan masyarakat terhadap sektor keuangan digital tidak turun.
"Padahal pemerintah sangat berkepentingan terhadap digitalisasi dalam sektor finansial karena akan memberikan efek berganda bagi perkembangan ekonomi Indonesia.," pungkasnya.
Baca juga: Ramai soal Bjorka, Ini Daftar Hacker Terkenal di Dunia
Dapatkan update berita pilihan dan breaking news setiap hari dari Kompas.com. Mari bergabung di Grup Telegram "Kompas.com News Update", caranya klik link https://t.me/kompascomupdate, kemudian join. Anda harus install aplikasi Telegram terlebih dulu di ponsel.