Tipuan Undangan Nikah Online Makin Canggih, Ini Ciri-cirinya!
Uzone.id – Modus penipuan link dan APK palsu yang menyerupai file undangan online, kurir paket hingga BPJS sudah lama beredar di masyarakat. Bahkan, masyarakat pun sudah paham dan bisa membedakan mana file yang asli dan file yang palsu.
Tapi, memang dasarnya penjahat siber ini cerdik, modus penipuan lain pun kembali muncul ke permukaan. Masih menggunakan iming-iming undangan online, modus kali ini dimodifikasi jadi lebih meyakinkan.
Pakar Siber Vaksincom Alfons Tanujaya pun mencoba membedah modus baru undangan online part dua yang meresahkan warga ini.
Modus kali ini bertujuan untuk mencuri kode OTP (One Time Password) yang digunakan untuk memverifikasi akun penting seperti rekening dan akun bank.
Sebagai tambahan informasi, OTP ini merupakan bagian dari pengamanan TFA Two Factor Authentication yang hanya bisa digunakan satu kali dan hanya diketahui oleh pemilik akun. OTP sering kali dikirim ke SMS atau WhatsApp, namun karena cakupan SMS yang lebih luas, biasanya OTP dikirim melalui SMS.
Nah, dalam teknik rekayasa sosial undangan pernikahan versi terbaru ini, file yang dikirimkan benar-benar mirip dengan undangan online yang sering diterima masyarakat dari orang terdekat mereka.
Tidak ada embel-embel APK dibelakangnya, tidak diminta untuk menginstal sebelum melihat isinya. Tampilan awal ketika dibuka sangat meyakinkan kalau itu adalah undangan online biasa.
Korban akan melihat nama dan foto dari mempelai pria dan wanita beserta tanggal pernikahannya.
Tapi, kunci dari modus ini adalah muncul pop up minta izin akses untuk ‘mengirim dan melihat pesan’ ketika kalian membuka undangan dalam waktu cukup lama.
Akses inilah yang jadi gerbang pencuri untuk mengobrak-abrik data ponsel kalian, yang kemudian digunakan untuk mencuri OTP pada fitur SMS. begini kira-kira pop up izin akses yang muncul dalam undangan palsu versi terbaru.
Apabila kalian menekan ‘Izinkan’, maka hacker akan masuk ke sistem dan membaca data SMS ponsel kalian. Setelah itu, SMS yang masuk seperti SMS OTP m-banking, SMS OTP Whatsapp dan SMS lainnya akan dirikimkan ke akun Telegram penipu.
“Jika hal ini terjadi dan penyelenggara layanan finansial tidak mengamankan nasabahnya dengan baik, seperti melakukan verifikasi tambahan ketika akun m-banking tersebut diakses dari ponsel lain, maka penipu bisa mengakses akun m-banking korban dan melakukan transaksi termasuk mencuri dana dari rekening korban,” jelas Alfons Tanujaya dalam keterangan yang diterima Uzone.id, Rabu, (08/11).
Lalu, apa yang harus dilakukan untuk mencegah versi terbaru dari penipuan undangan online ini?
Karena akses penipuan ini membutuhkan aplikasi di luar Google Play Store, maka sistem Google sendiri akan menampilkan peringatan kepada penggunanya sebelum menginstal aplikasi palsu tersebut.
Jika kalian menemukan pop up notifikasi untuk menginstal aplikasi di luar Google Play Store, segera klik ‘Tidak’ dan jangan tekan Lanjutkan atau Instal.
Kalian bisa menonaktifkan fitur instal aplikasi dari luar Play Store dengan cara membuka Pengaturan>Install Aplikasi Tak Dikenal>lalu matikan toggle di aplikasi-aplikasi yang banyak digunakan, seperti Whatsapp, Chrome, SMS, Telegram, Zoom dan lainnya.
Untuk memastikan ponsel kalian aman dari aplikasi pencuri, kalian bisa mengeceknya dengan cara buka Pengaturan>Manager Izin>SMS, lalu periksa aplikasi apa saja yang memiliki hak untuk membaca, mengirim dan menampilkan SMS. Jika ada tulisan ‘Undangan Pernikahan’ maka segera uninstall.
“Aplikasi "Undangan Pernikahan" adalah aplikasi jahat yang seharusnya tidak boleh terinstal, apalagi diberikan izin mengirimkan dan menampilkan pesan SMS,” tambah Alfons.
Jika aplikasi sudah terlanjur diinstal atau sudah terlanjur mengklik ‘izinkan’, Alfons menjelaskan kalau kemungkinan besar akun atau perangkat kalian sudah berhasil dieksploitasi.
Karena itu sangat penting bagi semuanya untuk memastikan kalau layanan keuangan digital yang digunakan ditambah dengan verifikasi berlapis. Selain itu, bagi yang terlanjur menginstal, segera mengunjungi CS secara tatap muka, mengunjungi ATM dan mendapatkan kode/PIN untuk berganti ponsel.
“Atau misalnya verifikasi lainnya seperti verifikasi wajah atau telepon langsung dari call center untuk memastikan bahwa yang meminta akses ke rekening memang adalah pemegang rekening yang bersangkutan,” tambah Alfons.
Related Article