REPUBLIKA.CO.ID, JAKARTA — Setelah 13 orang komplotan pembobol m-banking yang memalsukan APK kurir pengiriman barang dan mengakibatkan kerugian Rp 12 miliar. Kini, komplotan penipu lain menjalankan aksinya dengan tema berbeda. Kali ini, penipu mengirimkan undangan pernikahan yang sebenarnya mengandung APK dari luar Play Store. Jika pengguna WhatsApp menginstal APK itu, maka pencuri akan mencuri kredensial OTP dari perangkat korbannya.
Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya menjelaskan bahwa umumnya undangan digital yang dikirimkan seharusnya berbentuk tautan, yang jika diklik maka menuju ke situs undangan. “Tetapi undangan palsu ini tidak berisi tautan, tapi berisi APK. Jika di-instal akan mencuri dan meneruskan SMS OTP persetujuan transaksi m-banking dari ponsel korban ke penipu,” kata Alfons dalam keterangan tertulisnya, Senin (30/1/2023).
Ketika APK Android berbahaya ini dijalankan, Alfons menjelaskan sebenarnya akan muncul beberapa peringatan seperti menginstal aplikasi dari luar Play Store sangat berbahaya dan tidak disarankan. Ketika peringatan ini diabaikan, maka masih muncul peringatan lain saat memberikan akses SMS kepada aplikasi yang ingin di-instal, termasuk data dokumen dan foto perangkat kepada aplikasi berbahaya yang di-instal tersebut.
Namun, kemungkinan besar karena masyarakat tidak terbiasa memperhatikan peringatan ketika instal aplikasi dan dengan mudah memberikan persetujuan (allow) tanpa membaca dengan teliti, maka aplikasi jahat pencuri data ini akan tetap ter-instal dan menjalankan aksinya. “Akibatnya, ada perpindahan akun (kita) ke ponsel penipu. Buntutnya, Anda tahu dong, saldonya akan dikuras habis,” ujar Alfons.
Namun, pertanyaannya, apakah cukup hanya dengan SMS OTP ini bisa mengambil alih akun m-banking? Jawabannya, tidak. Ada kredensial lain, seperti user ID, password, dan pin transaksi.
Pertanyaan besarnya, dari mana penjahat tersebut bisa mendapatkan kredensial mobile banking korbannya? Sebab, Alfons mengatakan APK jahat ini hanya bisa mencuri SMS OTP. Pertama, organisasi kriminal saling berbagi database untuk dijadikan sasaran. Kedua, ada database bank pengguna m-banking yang bocor.
Sebelumnya, ada aksi phishing yang merugikan banyak pengguna m-banking pada pertengahan 2022. Saat itu, ada informasi bahwa m-banking BRI akan mengenakan biaya transfer bulanan Rp 150 ribu. Banyak korban yang tertipu memberikan kredensial m-banking kepada penipu.