Pelaku Melakukan Pendekatan atau social engineering pada korban
Penipuan berformat android package kit (APK) yang dikirim melalui WhatsApp terus berlanjut. Beberapa waktu lalu, modus yang digunakan adalah dengan menyamar sebagai pengirim paket.
Kali ini yang ramai dan memakan korban adalah dengan modus berpura-pura mengirimkan undangan. Ketua Lembaga Riset Keamanan Siber Communication & Information System Security Research Center (CISSReC), Pratama Persadha mengatakan, pelaku melakukan pendekatan atau social engineering pada korban agar mengunduh dan memasang file APK yang mereka kirimkan.
Dia menuturkan, faktor ketidaktahuan masyarakat dan jagonya pelaku melakukan social engineering dalam hal ini meyakinkan calon korbannya untuk mengeklik dan menginstal aplikasi berisi exploit tersebut. “Setelah terinstal inilah para pelaku bisa mengambil berbagai data dan mendorong para korban, misalnya untuk membuka aplikasi internet banking. Lalu, pelaku bisa mulai mengeruk uang korban,” kata Pratama kepada Republika, Senin (30/1/2023).
Lebih lanjut Pratama menjelaskan, yang patut dicatat dan menjadi sangat penting adalah banyaknya korban karena data masyarakat yang bocor. Mulai dari kebocoran kartu sim, data BPJS, Tokopedia, KPU, dan berbagai kebocoran lainnya. Kondisi ini jelas mempermudah pelaku dalam melakukan penargetan calon korban.
Menurut Pratama, pemerintah dan perbankan harus melakukan edukasi karena tindak kejahatan ini langsung ke masyarakat. Selain edukasi, pemerintah harus bisa menegakkan Undang-Undang Perlindungan Data Pribadi (UU PDP) agar mengurangi kebocoran data di berbagai lembaga, baik lembaga negara maupun swasta.
“Pemerintah untuk urusan edukasi ini bisa mendorong sektor swasta yang dijadikan topeng oleh para pelaku, misalnya dalam hal ini perbankan dan ekspedisi. Misalnya, perbankan sering melakukan WA dan SMS edukasi ke masyarakat, termasuk warning di aplikasi perbankan mereka,” ujar Pratama. “Pelaku cukup pintar berpura-pura sebagai kurir karena saat ini memang belanja online sudah menjadi budaya baru di masyarakat Indonesia, terutama sejak pandemi,” katanya.
Selanjutnya, dia menyebutkan, keamanan aplikasi perbankan memang berbeda-beda setiap bank. Namun, dengan peningkatan kasus fraud, mereka juga meningkatkan standar keamanan. Perbankan relatif lebih fleksibel dan mempunyai anggaran yang banyak untuk melakukan peningkatan keamanan siber di ekosistem mereka.
“Perbankan tinggal melakukan berbagai edukasi yang masif bagi nasabah, sembari terus meningkatkan keamanan siber di ekosistem mereka, terutama aplikasi perbankannya,” ujar Pratama.
Sebagai langkah pencegahan, Pratama menyarankan bagi masyarakat yang sudah pernah memasang APK dari para pelaku, sebaiknya melakukan factory reset pada ponsel pintarnya. Namun, bila phishing menggunakan malware yang relatif kuat, pilihannya adalah berganti ponsel pintar.
Lalu langkah lain adalah memasang antivirus pada ponsel, karena pelaku biasanya menggunakan malware. Di sinilah diharapkan malware terdeteksi oleh antivirus.
“Namun tak kalah penting adalah masyarakat jangan menginstal aplikasi di luar playstore resmi. Karena ini meningkatkan risiko masuknya aplikasi palsu ataupun malware ke ponsel kita,” kata Pratama.
Terutama, ia melanjutkan, bagi pemakai android. Sebaiknya, jangan ubah pengaturan awal ponsel yang mencegah instalasi aplikasi asing dari pihak ketiga. Dan paling penting, Pratama mengingatkan, jangan klik apa pun yang diberikan oleh orang asing, baik lewat WA, telegram, surel, maupun media sosial.
Kontribusi berbagai pihak
- Adanya aksi penipuan pengiriman surat undangan pernikahan dalam bentuk APK lewat aplikasi WhatsApp, telah membuat banyak orang khawatir. Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, membagikan sejumlah langkah mitigasi dan pencegahan terhadap aksi penipuan daring.
- Jika data pengguna m-banking dengan kredensial, seperti user ID, password, dan PIN pernah bocor, salah satu hal darurat yang harus dilakukan adalah segera mengganti kata sandi dan PIN persetujuan transaksi Anda. “Ini langkah pertama dan darurat,” kata Alfons.
- Jika masih ragu dengan langkah pertama, Vaksincom menyarankan Anda untuk mengganti akun m-banking, atau memilih penyedia m-banking yang memberikan pengamanan lebih baik.
- Dari segi bank, Alfons menyarankan bank menerapkan verifikasi What You Have untuk perpindahan akun m-banking ke ponsel baru atau nomor ponsel baru. What You have ini membutuhkan verifikasi kartu ATM fisik, KTP asli fisik, verifikasi sidik jari, dan data fisik lain dari pemilik rekening.
- Hal ini berbeda dengan verifikasi What You Know untuk memindahkan akun m-banking ke ponsel atau nomor ponsel baru. Verifikasi What You Know hanya membutuhkan user ID, kata sandi PIN persetujuan transaksi, dan kode one time password (OTP).
- Di sisi pemerintah, Alfons menyarankan untuk menentukan satu standar pengamanan transaksi finansial digital yang ketat dan aman, seperti untuk m-banking. Dengan begitu, m-banking tidak mudah dieksploitasi orang yang tidak bertanggung jawab.
Pemerintah dan perbankan harus melakukan edukasi.
PRATAMA PERSADHA, Ketua Lembaga Riset Keamanan Siber Communication & Information System Security Research Center (CISSReC)
Sumber : https://www.republika.id/posts/37009/berhati-hati-dengan-pesan-pembawa-malware
Comments
Post a Comment