Jika penggunanya merupakan orang awam atau tidak mengerti, tentunya file tersebut akan dibuka begitu saja karena berpikir positif sebagai undangan pernikahan.
Namun ternyata file tersebut berisi APK yang dapat mengincar pesan OTP untuk membobol rekening atau saldo penggunanya.
Pengamat keamanan Siber dan Forensik Digital dari Vaksincom Alfons Tanujaya menyampaikan bahwa secara teknis pengamanan verifikasi transaksi keuangan di Android sudah cukup baik karena harus memasukan PIN atau password rahasia setiap melakukan transaksi.
Namun permasalahannya para modus-modus penipuan tersebut mengincar pesan SMS OTP yang merupakan bagian dari pengamanan. Sedangkan pesan OTP tersebut hanya boleh diketahui oleh sang pemilik saja.
“Untuk verifikasi penting sperti memindahkan rekening ke ponsel lain atau berganti nomor ponsel harus memasukkan password sekali pakai OTP (One Time Password) yang merupakan bagian dari pengamanan TFA (Two Factor Authentication) atau otentikasi dua faktor yang hanya diketahui oleh pemilik akun,” ujarnya mengutip dari Liputan6.
Ia juga menilai bahwa pengiriman SMS OTP tersebut termasuk dalam kategori yang paling lemah dari sisi penggunaannya daripada OTP lain. Hal tersebut karena SMS adalah teknologi komunikasi jadul yang tidak dienkripsi sehingga mudah untuk dicuri.
“Tapi celakanya OTP menggunakan SMS ini termasuk kategori OTP yang paling lemah dari sisi pengamanannya dibandingkan OTP lainnya karena SMS merupakan teknologi komunikasi jadul yang tidak dienkripsi, mudah dicuri dan melibatkan pihak ketiga dalam pengirimannya,” kata Alfons.
Modus undangan pernikahan menjadi jenis penipuan yang saat ini populer digunakan para penipu. Banyak orang yang menjadi korban tidak menduga jika undangan tersebut berisi aplikasi yang bisa membobol bank.
Bahkan, sang penipu kerap kali membuat aplikasi dirancang dengan cermat dengan tampilan seperti undangan pernikahan pada umumnya.
Namun ada satu hal yang bisa kita perhatikan untuk membedakan undangan penipuan dan undangan asli. Hal pertama tentu pada nomor pengirimnya dan memperhatikan jenis file yang dikirim melalui pesan WhatsApp tersebut.
Modus undangan biasanya akan berbentuk aplikasi dan memunculkan permintaan akses yaitu akses izin mengirim dan melihat SMS. Jika muncul opsi tersebut kita harus bisa menghindari untuk memberikan akses izin karena jika diberikan izin maka penipu bisa melihat SMS OTP yang sangat rahasia.
“Bila korbannya mengizinkan hal ini, maka aplikasi jahat itu akan dapat membaca SMS ponsel dan kemudian akan mengirimkan semua SMS yang masuk, termasuk SMS OTP m-banking, SMS OTP WhatsApp dan SMS lainnya ke akun telegram penipu,” kata Alfons.
Alfons juga mengimbau kepada pihak nasabah dan bank yang menggunakan SMS sebagai OTP. Pihaknya harus sangat berhati-hati dan menjaga agar pesan SMS tersebut jangan sampai bocor karena bisa berakibat fatal untuk rekening tersebut bisa dibobol.
Ia juga menyebutkan untuk pihak layanan finansial untuk memberikan perhatian khusus jika SMS OTP bisa berhasil dicuri. Diantaranya melakukan langkah pengamanan tambahan seperti verifikasi fisik atau aktivitas vital seperti perpindahan akun finansial ke nomor ponsel baru atau perangkat ponsel baru.
saat ini pengembang Android sudah sangat berusaha dalam menjaga keamanan untuk pengguna dan aplikasi pencuri SMS tersebut tidak bisa diinstal dari toko resminya. Namun banyak diantaranya para penipu tersebut mengirim aplikasi yang bisa diinstal di luar Play Store.
Meskipun para penipu tersebut mengirim aplikasi di luar Play Store pihak Android sendiri akan memunculkan peringatan kepada penggunanya. Peringatan ini bisa didapatkan atau di aktifkan melalui pengaturan masing-masing ponsel.
Penipuan yang menyasar pengguna ponsel Android dengan memanfaatkan aplikasi APK Android Package Kit, terus berkembang dan menyasar pengguna mayoritas awam.
Motif penipuan ini tujuannya klasik, yaitu mendapatkan keuntungan finansial.
Karena terjadi digitalisasi yang cukup masif dalam dunia perbankan, maka transaksi keuangan banyak dilakukan melalui kanal digital, baik melalui mobile banking dan dompet digital.
Sebenarnya secara teknis pengamanan verifikasi transaksi keuangan di Android sudah cukup baik, karena pemilik akun harus memasukkan PIN / Password rahasia setiap kali melakukan transaksi finansial.
Lalu untuk verifikasi penting seperti memindahkan rekening ke ponsel lain atau berganti nomor ponsel, harus memasukkan password sekali pakai OTP (One Time Password) yang merupakan bagian dari pengamanan TFA Two Factor Authentication atau otentikasi dua faktor, yang hanya diketahui oleh pemilik akun.
Masalahnya, pengiriman OTP ini dilakukan menggunakan sarana SMS, karena alasan praktis dimana OTP menggunakan SMS yang memiliki cakupan pengguna yang paling luas, murah, mudah digunakan oleh semua kalangan dan tidak terlalu rumit dibandingkan OTP lain, seperti menggunakan Token atau aplikasi otentikasi seperti Google Authenticator atau Authy.
Tapi celakanya OTP menggunaan SMS ini termasuk kategori OTP yang paling lemah dari sisi pengamanannya dibandingkan OTP lainnya, karena SMS merupakan teknologi komunikasi jadul yang tidak dienkripsi, mudah dicuri dan melibatkan pihak ketiga dalam pengirimannya.
Harusnya nasabah dan bank yang menggunakan SMS sebagai OTP, penting menyadari hal ini dan sangat berhati-hati dalam melakukan aktivitas digitalnya dan menjaga jangan sampai SMSnya bocor, karena akan berakibat fatal dana rekeningnya dibobol.
Selain itu, pihak penyelenggara layanan finansial baik bank maupun dompet digital juga perlu memberikan perhatian khusus jika SMS OTP nasabah berhasil dicuri dan melakukan langkah pengamanan tambahan, misalnya verifikasi fisik untuk aktivitas vital, seperti perpindahan akun finansial ke nomor ponsel baru atau ponsel baru.
Teknik yang paling sering dilakukan dalam mencuri SMS OTP dan banyak memakan korban adalah teknik rekayasa sosial, yang dirancang sedemikian rupa guna mengelabui korbannya.
Salah satu rekayasa sosial yang populer adalah mengirimkanfile aplikasi jenis APK atau sejenisnya seperti Undangan Pernikahan/ FIle PDF dan lain-lain melalui Whatsapp. Bagi orang yang awam tentu saja akan membuka file tersebut dan mengizinkan akses penuh di smartphonenya