Waspada Modus ‘SMS to Telegram’, Cara Baru Curi OTP Mobile Banking
Uzone.id - Lebih waspada saat menggunakan aplikasi mobile banking, sebab ada celah keamanan baru yang ditemukan dan amat berbahaya bagi pengguna awam. Celah tersebut menggunakan aplikasi ‘SMS to Telegram’, yang memungkinkan hacker atau scammer mencuri SMS OTP untuk mengambil alih akun mobile banking.
Alfons Tanujaya, pengamat siber dari Vaksincom menyebut, aplikasi m-Banking yang biasa kita gunakan mengutamakan kemudahan di atas keamanan. Maksudnya, otorisasi transaksi hanya dilakukan mengandalkan password login dan PIN transaksi, dan sama sekali tidak mengandalkan OTP.
OTP atau one time password ini hanya digunakan sekali, tepatnya pada proses verifikasi ketika pengguna memindahkan akun m-Banking mereka ke perangkat baru.
Itu berarti, siapapun yang mendapatkan akses terhadap OTP tersebut, dapat dengan mudah memindahkan akun m-Banking incarannya ke smartphone lain dan melakukan berbagai transaksi ilegal yang begitu merugikan korbannya.
“Siapapun yang bisa mengakses OTP tersebut, bisa memindahkan akun m-Banking tersebut ke ponsel lain dan melakukan transaksi seperti menguras dana akun tersebut dan mengirimkannya ke rekening penampungan yang telah dipersiapkan penipu,” jelasnya, dalam keterangan resmi yang diterima Uzone.id.
Baca juga: Data WhatsApp Bocor, Pengamat Ungkap Cara Hacker Kumpulkan Data
Banyak cara untuk membuat rekening penampungan hasil menguras tabungan si korban. Alfons mengatakan, penipu bisa saja memanfaatkan data kependudukan Indonesia yang sudah bocor secara masif untuk membuat KTP bodong untuk membuka rekening penampungan hasil kejahatan.
Selain itu, scammer pun bisa mengirimnya ke dompet digital atau virtual account yang hanya berbekal nomor ponsel pra bayar, sehingga bakal lebih sulit dilacak pihak berwenang.
Bagaimana cara hacker curi OTP pengguna?
Butuh aplikasi SMS forwarder seperti SMS to Telegram untuk melancarkan aksi si hacker atau scammer. Sebenarnya, aplikasi ini bukanlah softwareyang jahat, karena banyak tersedia di Play Store yang telah melalui pengecekan keamanan rutin oleh Google.
Malah, aplikasi tersebut juga dibagikan secara gratis di GitHub. Gunanya aplikasi ini sebenarnya sederhana, membuat pengguna dapat membaca SMS yang diterima via aplikasi Telegram.
Hanya saja, fitur inilah yang dimanfaatkan oleh para hacker maupun penipu untuk mengambil alih akun m-Banking incarannya.
“Yang jadi masalah adalah SMS pada dasarnya merupakan sarana komunikasi yang kurang aman, tidak dienkripsi dan mudah disadap,” kata Alfons.
“Namun karena popularitas, biaya implementasi yang murah dan penetrasinya yang tinggi, SMS dipilih sebagai sarana untuk verifikasi penting seperti otorisasi identitas akun, mengamankan transaksi finansial seperti menyetujui transaksi keuangan atau mengotorisasi perpindahan akun m-Banking ke ponsel baru,” jelasnya.
Baca juga: Tabungan Dikuras Ratusan Juta Gegara Aplikasi Palsu J&T, Ini Kata Pengamat
Di sinilah tugas aplikasi SMS forwarder seperti SMS to Telegram ini. Hacker memanfaatkannya untuk mencuri SMS OTP, mengambil alih akun m-Banking korban, dan menguras isi tabungannya dalam sekejap.
Namun, aplikasi tersebut harus diinstal ke ponsel korbannya, dan tentu saja tidak ada orang yang ‘dengan bodohnya’ mau disuruh memasang aplikasi yang mencurigakan.
Penipu pun mencoba cara rekayasa sosial yang biasanya efektif membuat korbannya melakukan perintah apapun, seperti memasang aplikasi SMS to Telegram misalnya.
Rekayasa yang paling lumrah dilakukan adalah penipu berpura-pura menjadi kurir untuk meminta korban melacak paket belanja online menggunakan aplikasi yang dikirimkan ke WhatsApp.
Aplikasi yang dikirim berekstensi .APK, yang biasanya membuat pengguna awam langsung memasang software tersebut. Apalagi, tampilan dan penamaan aplikasinya pun dibuat mirip dengan aplikasi kurir atau pengiriman yang asli.
Namun bedanya, aplikasi tersebut meminta banyak hak akses yang benar-benar tak masuk akal, dimana salah satunya adalah untuk membaca dan mengirimkan SMS, terutama kode OTP.
Baca juga: 20 Persen Netizen Gak Punya Proteksi Serangan Siber
Ketika penipu berhasil mendapatkan kode OTP, otomatis mereka dapat mengakses akun m-Banking pengguna dengan mudahnya, dimana mereka bisa melakukan transaksi seperti menguras dana korban maupun melakukan hal-hal yang tidak diinginkan lainnya.
“Jika aplikasi ini berhasil terinstal, maka bot otomatis akan mengirimkan SMS yang masuk ke perangkat ke akun telegram penipu menggunakan bot SMS to Telegram untuk kemudian di eksploitasi oleh penerima OTP ini,” pungkas Alfons.
Related Article