Modus baru dalam kejahatan perbankan digital kembali ditemukan. Kali ini penipu menggunakan undangan pernikahan digital melalui WhatsApp untuk membobol mobile banking. Sudah bersama saya melalui sambungan virtual Alphon Tanu Jaya, pakar keamanan cyber dan forensik digital. Selamat pagi Mas Alphon. Pagi, judi, semoga sehat selalu ya.
Baik, salam sehat juga mas. Mas ini kita selalu melihat bahwasannya kejahatan di online selalu meningkat ya. Bahkan laporan sudah mencapai 405 ribu untuk sektor perbankan ataupun kejahatan transaksi melalui online yang dilaporkan oleh Koninfo. Apakah modus penipuan online dengan mengirimkan file dengan format Android Package Kit atau APK ini merupakan modus sniffing mas?
Ya ini merupakan perkembangan dari Pising, sebenarnya mereka hanya membutuhkan SMS OTP ini untuk memindahkan account mobile banking dari rekening pemilik ke rekening pembajak. Jadi sebelumnya kan dulu pakai paket kurir, sekarang jadi undangan nikah. Lalu kemarin kita baru dapat lagi ada sebagai tagian BPJS.
Tujuannya sebenarnya ingin mendapatkan SMS OTP, jadi secara otomatis. SMS OTP yang masuk untuk persetujuan perpindahan rekening ini akan di-forwardkan ke perangkat dari penipunya, biasanya ke telegram, jadi hal itu yang perlu menjadi perhatian masyarakat, jangan terlalu mudah mengklik lalu menginstal, sebenarnya itu ada permintaan persetujuan, apakah Anda yakin ingin menginstal dari luar playstore jika itu diklik pun, nanti ada persetujuan lagi, apakah Anda yakin ingin memberikan akses SMS kepada aplikasi ini, kalau Kalau di klik yaudah semua SMS yang masuk akan otomatis diteruskan ke penipunya dan itu akan digunakan untuk mengambil alih akun mobile banking dan mengurus prasdananya Bung Yudi. Iya, Mas Alvan kalau kita bicara modus tadi ya dengan memberikan tautan kemudian kita mendownload.
Tapi di satu sisi apakah ini termasuk dalam modus sniffing? Karena kalau saya baca sniffing ini sangat menggunakan mobile banking yang berbasis pada wifi ataupun internet publik. Apakah ini kurang lebih sama?
cara kerjanya mas? Kalau dari sisi definisi mungkin ini tidak bisa dimasukkan ke sniffing, karena sniffing itu dia mencuri transaksi yang lewat transaksi yang lewat itu baik whatsapp maupun dari internet, sekarang sudah dienkripsi dengan baik. Jadi yang terjadi adalah SMS forwarding.
Jadi ini bukan sniffing, dan juga bukan RAT, jadi bukan remote access Trojan. Saat ini di Indonesia, kamu lihat, belum sampai ke level situ. Kalau sudah... masuk ke level RAT, remote access to region itu sangat mengkhawatirkan karena sangat berbahaya bisa melakukan remote kepada perangkat kita. Tapi yang terjadi sekarang semata-mata hanya SMS forwarding, jadi SMS to telegram.
Dan ini yang satu catatan penting yang perlu kita perhatikan adalah untuk mengakses dan memindahkan akun mobile banking ke telepon lain tidak hanya butuh SMS OTP, kita butuh yang lain namanya user ID, password, dan pin. pin transaksi. Nah, kami sinyalir bahwa data ini sebenarnya sudah menyebar di kalangan penipu itu.
Apakah mereka dapatkan waktu phishing yang tahun 2022, yang waktu itu kenaikan biaya admin, di mana banyak yang menjadi korbannya, mereka tidak mau kena biaya admin, lalu diarahkan ke situs phishing, lalu memasukkan data user ID, password, dan pin. Di sana, dari situ dilakukan profiling, lalu ditarget korbannya. Jadi, untuk mendapatkan OTP. Nah, jadi, Jadi kalau dia bisa dapatkan OTP-nya dan dia punya database-nya, ya itu jadi sempurna.
Dia bisa mengambil alih akunnya dan mengoros dan lain-lain, Bung Yudi. Kalau tadi Mas Alvan mengatakan profiling dari calon ataupun target daripada korban sendiri ya, kita bisa melihat ini merupakan salah satu indikasi dari social engineering ya Mas, di mana para pelaku kejahatan cyber itu juga melihat perilaku dan kecederungan serta bagaimana habit dari para calon korbannya. Dan yang menarik apakah memang data-data yang dicuri tadi itu tadi...
Mas mengacu pada peristiwa pencurian data di 2022. Apakah ini juga merupakan salah satu hal yang perlu diwaspadai mengingat data kita sudah tidak lagi bersifat rahasia. Terutama terkait dengan data-data mungkin alamat, kemudian juga data pribadi yang boleh jadi semua sudah tersebar mas. Ya jadi sebenarnya data ini sangat rahasia dan mereka dapatkan dengan kecerdikannya melakukan rekesa sosial.
Jadi mereka melakukan rekesa sosial memasukkan sebagai pengumuman bank kalau Anda tidak ingin dikenakan biaya fix transfer Rp150.000 per bulan. Anda harus isi form ini, padahal itu memalsukan dari bank, bank tidak melakukan hal itu. Mereka ceritakan sekali kan nasabah mana ada yang mau dikenakan 150 ribu flat selama sebulan walaupun transfernya unlimited, lalu mereka akan mengisi. datanya. Nah, di situ dipancing untuk mengisi data, user ID, password, dan PIN.
Nah, dari situ dikumpulkan datanya, dan kami sinyalir, waktu itu korbannya sangat banyak dari beberapa bank pengelola mobile banking, lalu data itu kemungkinan besar sudah beredar di kalangan penipu ini jadi sekarang mereka sudah punya nomor telepon sudah punya user ID pasu dan pin, lalu mereka tinggal mendapatkan OTP ini, nah dapatkan OTP ini yang mereka kirim APK nah APKnya mereka pinter sekali kemarin jadi sebagai kurir paket lalu selanjutnya sekarang jadi undangan nikah, besok dia jadi BPJS, jadi hal ini yang perlu diperhatikan oleh masyarakat, dan bank... penyelenggara mobile banking juga harap juga tolong diperbaiki sistem keamanannya, jadi jika terjadi perpindahan nomor account mobile banking harap Anda gunakan autentikasi what you have jadi bukan what you know, all what you have itu seperti korbannya pemilik rekening harus ke ATM, karena dia butuh kartu ATM kan, what you have penipu tidak punya, dia perlu ke ATM untuk mengganti user ID dari mobile bankingnya, atau dia harus ke chat memperlihatkan KTP-nya, what you have-nya KTP nah, seperti ini yang kecil, perlu diperhatikan juga oleh penyelenggara mobile banking jadi, masyarakat memang pada umumnya kan awam, gitu, kalau orang yang tidak mengerti melakukan klik lalu setuju semua, nah, kalau misalnya melakukan verifikasi what you have ini, setiap perpindahan akun, maka walaupun penipu memiliki kredensial dan memiliki SMS OTP dia tidak akan bisa mengambil danaan yang kenapa? karena sudah dilindungi dengan baik oleh bank... Nah hal itu yang kami sarankan untuk diperhatikan oleh bank penyedia juga. Dari OJK juga kami benar-benar berharap bahwa OJK sebagai wasit, sebagai pengawas untuk melakukan standarisasi yang baik gitu loh.
Pokoknya kalau mau pindah nomor handphone harus ada verifikasi what you have ke banknya atau ke ATMnya. Jadi itu yang kami sarankan. Dan masyarakat juga harus berhati-hati. Jangan sembarangan kalau terima APK langsung di install atau disetujui.
Kalau Anda tadi mengatakan bahwa saya... maksudnya upgrade daripada pelaku kejahatan cyber juga harusnya diimbangi dengan proteksi yang baik dari para pengguna jasa maupun pihak penyedia perbankan sendiri ya mas. Tetapi yang menarik tadi Anda katakan terkait dengan bagaimana aplikasi tersebut juga harus diimbangi dengan verifikasi seperti what you have. Lalu mengapa hal tersebut tidak terlalu jamak dilakukan di Indonesia ataupun memang ini karena literasi dalam kejahatan cyber di Indonesia masih rendah mas? Kelihatannya mungkin penyelenggara mobile banking ini beranggapan bahwa pengamanan OTP ini sudah cukup untuk mengamankan.
Karena OTP ini secara teori kan satu. ini secara de facto merupakan pengamanan terbaik. Nah tetapi yang mereka lupakan adalah pengamanan OTP ini memiliki banyak tingkat keamanan.
Jadi OTP ini ada tiga secara umum. Satu OTP token, token itu yang paling aman karena tidak ada perantara pihak ketiga lalu kedua OTP Authenticator seperti Google Authenticator, Microsoft Authenticator itu masih aman tetapi relatif kalah dengan token, kenapa? karena ada di handphone, lalu OTP ketiga, OTP dengan menggunakan SMS sebenarnya secara teknis OTP dengan SMS itu adalah OTP yang paling lemah dari semua OTP yang saya sebutkan tadi, kenapa?
karena satu ini melibatkan pihak ketiga, jadi di tengah jalan pihak ketiga itu dikawal Bika bocor itu bisa diambil OTP-nya. Yang kedua, seperti hal ini, kalau perangkatnya disusupi oleh aplikasi untuk mem-forward SMS atau pencuri SMS dan korbannya tidak sadar menjalankannya, maka OTP itu bisa dicuri. Nah, tadinya OTP yang menjadi what you have itu sebagai perangkat itu, ketika sudah dikeluarkan angkanya, lalu berhasil disadak, itu jadi what you know.
What you know itu kan bisa disebarkan, what you know itu kan user ID. password dan pin itu bisa dibagikan, tetapi what you have itu gak bisa dibagikan jadi what you have itu seperti kartu ATM, seperti KTP atau wajah kita jadi kita masih ke bank, kalau misalnya mau ganti nomor handphone atau apa, nah itu yang perlu diperhatikan oleh penyelenggara mobile banking Mas Alfon terakhir terkait dengan tips sendiri selain tadi ada mengatakan bahwa what you have itu merupakan salah satu hal yang krusial untuk melakukan... verifikasi ketika ada Pergantian nomor telepon ataupun ketika ada penggunaan telepon ataupun data berbasis telepon yang tidak sesuai dengan peruntukannya, ada hal lain nggak mas yang harus kira-kira kita perkirakan bisa menjadi salah satu protection di awal buat para pengguna jasa perbankan mobile ataupun para pengguna telepon mas? Kalau melihat bahwa data ini sudah menyebar, bahwa kemungkinan jika kita merasa bahwa dulu kita pernah dikirimi data ini, lalu mungkin data kita sudah menyebar.
Jadi ada satu saran short term dan... Satu saran long term. Saran short term saya adalah segera ganti password dan PIN dari mobile banking Anda. Itu supaya kalau misalnya data Anda sudah menyebar, sudah diganti, pelaku penipuannya nggak bisa melakukan login.
Itu yang pertama. Yang kedua, jika... sudah melakukan hal itu, kalau bisa sih ganti account mobile bankingnya dan kalau Anda kurang yakin banknya mengamankan dengan what you have, kalau misalnya ganti nomor saya sarankan, udah ganti aja penyelenggara mobile bankingnya dengan yang, kalau misalnya terjadi pergantian nomor, dia perlu verifikasi ke bank atau ke ATM-nya daripada dana Anda yang jadi taruhannya gitu loh, itu saran saya sih, jadi selain itu untuk bank dan pemerintah, kami... harapkan cobalah terapkan pengamanan yang baik yang seperti kami sarankan tadi Bumdiudi. Baik, Mas Alfon Tanu Jaya, Pakar Kamanan Cyber dan Forensik Digital.
Terima kasih untuk perbincangan ya Mas. Selamat pagi. Selamat pagi.