icon-category Digilife

Tips Lindungi OTP M-Banking dari Modus ‘SMS to Telegram’

Ilustrasi aplikasi M-Banking (Foto: Nathan Dumlao/Unsplash)

Uzone.id - Celah baru di aplikasi mobile banking dinilai membahayakan pengguna awam, dan mungkin saja mengakibatkan kerugian materiil yang sangat besar. Alfons Tanujaya selaku pengamat siber dari Vaksincom mengatakan, saat ini hacker ataupun scammer dimungkinkan mencuri SMS OTP untuk mengambil alih akun mobile banking pengguna menggunakan modus ‘SMS to Telegram’. 

Sekadar informasi, OTP atau one time password biasanya hanya digunakan sekali, tepatnya pada proses verifikasi ketika pengguna memindahkan akun m-Banking mereka ke perangkat baru. 

Sementara untuk otorisasi transaksi setelahnya, hanya mengandalkan password login dan PIN transaksi, dan sama sekali tidak mengandalkan OTP.

Modus SMS to Telegram ini memanfaatkan aplikasi custom yang mengusung skema SMS forwarder. Fungsi utama aplikasi ini adalah untuk membaca SMS yang diterima via aplikasi Telegram. Fitur inilah yang digunakan scammer untuk mendapatkan akses terhadap OTP tersebut.

Sebab, ketika mereka mendapatkan akses terhadap OTP, dapat dengan mudah memindahkan akun m-Banking incarannya ke smartphone lain dan melakukan berbagai transaksi ilegal yang begitu merugikan korbannya.

“Siapapun yang bisa mengakses OTP tersebut, bisa memindahkan akun m-Banking tersebut ke ponsel lain dan melakukan transaksi seperti menguras dana akun tersebut dan mengirimkannya ke rekening penampungan yang telah dipersiapkan penipu,”  jelasnya, dalam keterangan resmi yang diterima Uzone.id.

Baca juga: Waspada Modus ‘SMS to Telegram’, Cara Baru Curi OTP Mobile Banking

Hanya saja, untuk membuat aplikasi ini dapat bekerja sesuai keinginan, scammer perlu memasangkan aplikasi SMS to Telegram. Inilah yang tricky, makanya kebanyakan penipu mengincar pengguna awam yang ‘kurang melek’ teknologi.

Penipu menggunakan cara rekayasa sosial, dimana mereka berpura-pura menjadi kurir untuk meminta korban melacak paket belanja online menggunakan aplikasi yang dikirimkan ke WhatsApp. 

Aplikasi yang dikirim berekstensi .APK, yang biasanya membuat pengguna awam langsung memasang software tersebut. Apalagi, tampilan dan penamaan aplikasinya pun dibuat mirip dengan aplikasi kurir atau pengiriman yang asli.

Namun bedanya, aplikasi tersebut meminta banyak hak akses yang benar-benar tak masuk akal. Salah satunya adalah untuk membaca dan mengirimkan SMS, terutama kode OTP.

“Jika pengguna ponsel adalah orang yang cukup mengerti teknologi, kemungkinan kecil akan menjadi korban karena akan menghindari instal aplikasi dari luar Play Store, apalagi hak yang diminta sangat tinggi, khususnya membaca SMS dan mengirimkannya lagi,” terang Alfons.

“Namun karena pengguna m-Banking yang diincar oleh penipu ini umumnya adalah orang awam, maka kemungkinan besar korban akan tertipu,” sambungnya.

Oleh karenanya, berikut ini beberapa tips agar terhindar dari modus penipuan dengan SMS to Telegram, agar akun m-Banking atau mobile banking kalian tetap aman dari pencurian kode OTP via SMS.

Hindari install aplikasi dari luar Google Play Store

Sistem operasi Android memanglah open source, sehingga memungkinkan pengguna juga untuk install aplikasi dari sumber di luar Google Play Store, semisal software dengan instalasi berekstensi .APK. 

Namun disarankan untuk jangan sekali-kali memasang aplikasi dari ekstensi ini. Selain tak jelas sumber dan siapa yang membuatnya, juga tak ada jaminan keamanan yang diberikan.

Pastikan juga untuk mematikan fitur install dari pihak luar atau ‘Install Unknown Apps’ yang terletak di pengaturan smartphone Android. Biasanya, terletak pada bagian Security. Apabila ada aplikasi yang diizinkan, disarankan untuk segera mematikannya. 

Uninstall aplikasi

Kalau aplikasi terlanjur terpasang di smartphone, segera hapus aplikasi tersebut. Agar benar-benar dihapus sampai ke akarnya, cobalah untuk masuk ke App Info dari aplikasi terkait.

Kemudian masuk ke bagian Storage, dan tekan Clear Data untuk benar-benar menghapus seluruh akses maupun data yang terkait aplikasi. Setelahnya, barulah tekan Uninstall untuk menghapus aplikasi.

Baca juga: Tabungan Dikuras Ratusan Juta Gegara Aplikasi Palsu J&T, Ini Kata Pengamat

Cabut hak akses ‘SMS to Telegram’

Berikutnya dengan mencabut hak akses Telegram untuk membaca SMS. Berikut caranya, menurut Alfons:

  • Masuk ke Settings dan klik Search atau kolom pencarian.
  • Ketikkan Permission Manager, dan klik hasil pencarian yang ditampilkan.
  • Scroll ke bawah, cari dan klik SMS.
  • Di bagian Allowed, klik Telegram dan akan muncul pop-up ‘SMS Permission Telegram’. Tekan Don’t Allow dan klik Back.
  • Pastikan daftar SMS yang diizinkan hanya pada aplikasi yang kalian percaya saja.
  • Kalau ada nama aplikasi yang mencuri SMS dengan nama J&T _Express atau nama apa saja yang terasa asing, langsung tekan Don’t Allow dan hapus aplikasinya.
  • Pastikan akun m-Banking kalian masih aktif dan kalau perlu, segera reset kredensial dari akun m-Banking ke bank.

Baca juga: Data WhatsApp Bocor, Pengamat Ungkap Cara Hacker Kumpulkan Data

Berhati-hati terhadap rekayasa sosial

Rekayasa sosial menjadi salah satu cara terfavorit para penipu untuk memuluskan rencananya. Makanya, selalu hindari, acuhkan dan blokir nomor tak resmi yang berpura-pura menjadi akun resmi dari layanan yang populer.

Biasanya, akun yang benar-benar resmi terdaftar pada WhatsApp Business dengan tanda ceklis di samping namanya. Kalau tidak ada hal seperti itu, cuekin saja ya!

Cek informasi menarik lainnya di Google News

Bantu kami agar dapat mengenal kalian lebih baik dengan mengisi survei di sini