Belum lama 13 orang komplotan pembobol m-banking pakai APK
Kurir pengiriman barang online yang mengakibatkan kerugian Rp 12 milyar
tertangkap Bareskrim Polri. Kini muncul komplotan penipu lain yang melakukan
aksi yang mirip namun dengan tema yang berbeda.
Mereka mengirimkan surat undangan pernikahan yang sebenarnya mengandung APK dari luar Play Store. Begitu diinstall akan mencuri kredensial OTP dari perangkat korbannya.
Ketika APK Android berbahaya ini di jalankan, sebenarnya
akan muncul beberapa peringatan seperti menginstal aplikasi dari luar Play
Store sangat berbahaya dan tidak disarankan. Dan ketika peringatan ini
diabaikan, masih muncul peringatan lain ketika memberikan akses SMS kepada
aplikasi yang ingin di instal, termasuk data dokumen dan foto perangkat kepada
aplikasi berbahaya yang di instal tersebut.
Namun kemungkinan besar karena masyarakat tidak terbiasa
memperhatikan peringatan ketika instal aplikasi dan dengan mudah memberikan
persetujuan [Allow] tanpa membaca dengan teliti
dan mengerti akibat dari persetujuan yang diberikan maka
aplikasi jahat pencuri data ini akan tetap terinstal dan menjalankan aksinya.
Membutuhkan data Kredentsial
Sebenarnya dengan instal aplikasi jahat ini tidak cukup
untuk mengakses akun mobile banking korbannya, karena mengakses akun mobile
banking membutuhkan User ID, Password Mobile Banking, PIN persetujuan transaksi
dan OTP (One Time Password) yang didapatkan melalui APK jahat ini.
Jadi menjadi pertanyaan besar adalah darimana kriminal ini
bisa mendapatkan kredensial mobile banking korbannya karena APK jahat ini hanya
bisa mencuri SMS OTP.
Apakah karena antar organisasi kriminal ini saling berbagi
database untuk dijadikan sasaran atau ada database bank pengguna m-banking yang
bocor.
Seperti kita ketahui, pada aksi phishing sebelumnya pada
pertengahan tahun 2022 banyak korban pengguna m-banking yang tertipu dan
memberikan kredensial m-banking kepada penipu karena diancam akan dikenai biaya
transfer bulanan Rp. 150.000,-
https://www.vaksin.com/aksi-phishing-mobile-banking-bri.
Antisipasi dan Pencegahannya
Dengan asumsi data pengguna m-banking ini sudah bocor, maka
salah satu hal darurat yang harus dilakukan pengguna m-banking yang mengalami
kebocoran data adalah segera mengganti Password dan PIN persetujuan transaksi.
Jika anda masih ragu, pertimbangkan untuk mengganti akun m-banking atau memilih
penyedia m-banking yang memberikan pengamanan lebih baik. Sebenarnya, jika bank
menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan
mengambil alih akun m-banking sekalipun berhasil mendapatkan semua kredensial
dan OTP persetujuan transaksi.
Bagi bank penyedia layanan m-banking, Vaksincom menyarankan
untuk menerapkan verifikasi What You Have untuk perpindahan akun m-banking ke
ponsel baru atau nomor ponsel baru. Jadi jangan mengandalkan verifikasi What
You Know saja untuk memindahkan akun m-banking ke ponsel atau nomor ponsel
baru.
Verifikasi What You have ini contohnya adalah verifikasi
kartu ATM, KTP asli, fisik pemilik rekening. Sedangkan verifikasi What You Know
adalah User ID, Password, PIN persetujuan transaksi dan kode OTP.
No comments:
Post a Comment