Modus Baru, Undangan Pernikahan Pembobol Rekening Bank
- Medium
VIVA Tekno – Beberapa waktu yang lalu pernah viral komplotan penjahat yang mengaku sebagai kurir J&T Express. Sebanyak 13 orang yang memalsukan APK Kurir telah ditangkap Bareskrim Polri dan menyebabkan kerugian hingga Rp12 miliar.
Model kejahatan yang baru-baru ini menjadi bahan perbincangan adalah modus penyebaran surat undangan pernikahan yang mirip dengan APK Kurir di mana 'undangan palsu' yang dikirim sebenarnya adalah APK.
APK di luar Play Store yang dipasang di perangkat ponsel kita berpotensi mencuri kredensial OTP dari perangkat korbannya. Tapi sebetulnya, sebelum mengunduh pengguna akan mendapat peringatan dari Google yang menyatakan bahwa memasang aplikasi dari luar toko resmi adalah tindakan berbahaya.
Pengguna juga akan diberi peringatan saat memberi akses SMS terhadap aplikasi tersebut, termasuk dokumen hingga foto.
"Namun kemungkinan besar karena masyarakat tidak terbiasa memperhatikan peringatan ketika instal" aplikasi dan dengan mudah memberikan persetujuan tanpa membaca dengan teliti dan mengerti akibat dari persetujuan yang diberikan maka aplikasi jahat pencuri data ini akan tetap terinstal dan menjalankan aksinya," ujar peneliti keamanan siber Alfons Tanujaya dalam keterangannya, Minggu 29 Januari 2023.
Lebih lanjut dia menjelaskan, memasang aplikasi saja sebenarnya tidak cukup untuk bisa mengakses akun mobile banking karena itu membutuhkan User ID, Password Mobile Banking, PIN persetujuan transaksi dan OTP (One Time Password).
"Jadi menjadi pertanyaan besar adalah darimana kriminal ini bisa mendapatkan kredensial mobile banking korbannya karena APK jahat ini hanya bisa mencuri SMS OTP," imbuhnya.
Dia berpikir salah satu alasannya mungkin karena organisasi kriminal ini saling berbagi database untuk dijadikan sasaran atau ada database bank pengguna m-banking yang bocor.
"Dengan asumsi data pengguna m-banking ini sudah bocor, maka salah satu hal darurat yang harus dilakukan pengguna yang mengalami kebocoran data adalah segera mengganti Password dan PIN persetujuan transaksi," kata Alfons.
Jika masih ragu, pertimbangkan untuk mengganti akun atau memilih penyedia yang memberikan pengamanan lebih baik. Tapi sebenarnya jika bank menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan mengambil alih akun sekalipun berhasil mendapatkan semua kredensial dan OTP persetujuan transaksi.
Vaksincom menyarankan untuk menerapkan verifikasi What You Have untuk perpindahan akun m-banking ke ponsel baru atau nomor ponsel baru.
"Jadi jangan mengandalkan verifikasi What You Know saja untuk memindahkan akun m-banking ke ponsel atau nomor ponsel baru. Verifikasi What You have ini contohnya adalah verifikasi kartu ATM, KTP asli, fisik pemilik rekening. Sedangkan verifikasi What You Know adalah User ID, Password, PIN persetujuan transaksi dan kode OTP," imbuhnya.
Pemerintah dan regulator diharapkan untuk menentukan standar pengamanan transaksi finansial digital yang ketat dan aman seperti m-banking sehingga tidak mudah di eksploitasi.
Hal ini sangat penting karena banyaknya kasus pembobolan m-banking yang akan menurunkan kepercayaan masyarakat terhadap sektor keuangan digital dan akan menghindari menggunakan channel digital.
Padahal pemerintah sangat berkepentingan terhadap digitalisasi dalam sektor finansial karena akan memberikan efek berganda bagi perkembangan ekonomi Indonesia.