Waspada Modus ‘SMS to Telegram’, Cara Baru Curi OTP Mobile Banking

pada 1 tahun lalu - byMuhammad Faisal Hadi Putra

Uzone.id -Lebih waspada saat menggunakan aplikasimobile banking, sebab ada celah keamanan baru yang ditemukan dan amat berbahaya bagi pengguna awam. Celah tersebut menggunakan aplikasi ‘SMS to Telegram’, yang memungkinkanhackeratauscammermencuri SMS OTP untuk mengambil alih akunmobile banking.

Alfons Tanujaya, pengamat siber dari Vaksincom menyebut, aplikasi m-Banking yang biasa kita gunakan mengutamakan kemudahan di atas keamanan. Maksudnya, otorisasi transaksi hanya dilakukan mengandalkanpassword logindan PIN transaksi, dan sama sekali tidak mengandalkan OTP.

OTP atauone time passwordini hanya digunakan sekali, tepatnya pada proses verifikasi ketika pengguna memindahkan akun m-Banking mereka ke perangkat baru.

Itu berarti, siapapun yang mendapatkan akses terhadap OTP tersebut, dapat dengan mudah memindahkan akun m-Banking incarannya kesmartphonelain dan melakukan berbagai transaksi ilegal yang begitu merugikan korbannya.

“Siapapun yang bisa mengakses OTP tersebut, bisa memindahkan akun m-Banking tersebut ke ponsel lain dan melakukan transaksi seperti menguras dana akun tersebut dan mengirimkannya ke rekening penampungan yang telah dipersiapkan penipu,” jelasnya, dalam keterangan resmi yang diterimaUzone.id.

Banyak cara untuk membuat rekening penampungan hasil menguras tabungan si korban. Alfons mengatakan, penipu bisa saja memanfaatkan data kependudukan Indonesia yang sudah bocor secara masif untuk membuat KTP bodong untuk membuka rekening penampungan hasil kejahatan.

Selain itu,scammerpun bisa mengirimnya ke dompet digital atauvirtual accountyang hanya berbekal nomor ponsel pra bayar, sehingga bakal lebih sulit dilacak pihak berwenang.

Bagaimana carahackercuri OTP pengguna?

Butuh aplikasi SMSforwarderseperti SMS to Telegram untuk melancarkan aksi sihackeratauscammer. Sebenarnya, aplikasi ini bukanlahsoftwareyang jahat, karena banyak tersedia di Play Store yang telah melalui pengecekan keamanan rutin oleh Google.

Malah, aplikasi tersebut juga dibagikan secara gratis di GitHub. Gunanya aplikasi ini sebenarnya sederhana, membuat pengguna dapat membaca SMS yang diterima via aplikasi Telegram.

Hanya saja, fitur inilah yang dimanfaatkan oleh parahackermaupun penipu untuk mengambil alih akun m-Banking incarannya.

“Yang jadi masalah adalah SMS pada dasarnya merupakan sarana komunikasi yang kurang aman, tidak dienkripsi dan mudah disadap,” kata Alfons.

“Namun karena popularitas, biaya implementasi yang murah dan penetrasinya yang tinggi, SMS dipilih sebagai sarana untuk verifikasi penting seperti otorisasi identitas akun, mengamankan transaksi finansial seperti menyetujui transaksi keuangan atau mengotorisasi perpindahan akun m-Banking ke ponsel baru,” jelasnya.

Di sinilah tugas aplikasi SMSforwarderseperti SMS to Telegram ini.Hackermemanfaatkannya untuk mencuri SMS OTP, mengambil alih akun m-Banking korban, dan menguras isi tabungannya dalam sekejap.

Namun, aplikasi tersebut harus diinstal ke ponsel korbannya, dan tentu saja tidak ada orang yang ‘dengan bodohnya’ mau disuruh memasang aplikasi yang mencurigakan.

Penipu pun mencoba cara rekayasa sosial yang biasanya efektif membuat korbannya melakukan perintah apapun, seperti memasang aplikasi SMS to Telegram misalnya.

Rekayasa yang paling lumrah dilakukan adalah penipu berpura-pura menjadi kurir untuk meminta korban melacak paket belanjaonlinemenggunakan aplikasi yang dikirimkan ke WhatsApp.

Aplikasi yang dikirim berekstensi .APK, yang biasanya membuat pengguna awam langsung memasangsoftwaretersebut. Apalagi, tampilan dan penamaan aplikasinya pun dibuat mirip dengan aplikasi kurir atau pengiriman yang asli.

Namun bedanya, aplikasi tersebut meminta banyak hak akses yang benar-benar tak masuk akal, dimana salah satunya adalah untuk membaca dan mengirimkan SMS, terutama kode OTP.

Ketika penipu berhasil mendapatkan kode OTP, otomatis mereka dapat mengakses akun m-Banking pengguna dengan mudahnya, dimana mereka bisa melakukan transaksi seperti menguras dana korban maupun melakukan hal-hal yang tidak diinginkan lainnya.

“Jika aplikasi ini berhasil terinstal, maka bot otomatis akan mengirimkan SMS yang masuk ke perangkat ke akun telegram penipu menggunakan bot SMS to Telegram untuk kemudian di eksploitasi oleh penerima OTP ini,” pungkas Alfons.