Antara Aplikasi E-Wallet dan Ketidakpahaman Ancaman Siber
Cyberthreat.id – Sejak aplikasi-aplikasi e-commerce atau sejenisnya marak dipakai pengguna Indonesia, kalangan milenial kota rajin mengecek potongan harga di aplikasi.
Terlebih, pengembang aplikasi dompet digital (e-wallet) kian mempermudah transaksi di gerai-gerai lokal. Warung kecil hingga restoran mewah mendukung dompet digital. Banderol diskon sekian persen atau free ongkos kirim: senjata penarik pembeli, siapa yang tak terpikat?
Namun, mereka tak menyadari ada kalanya promosi atau diskon adalah celah empuk yang dipakai penjahat siber.
Maraknya pemakaian e-wallet, seperti OVO, GoPay, LinkAja dan lain-lain juga menjadi target kelompok penjahat siber.
Penawaran-penawaran hadiah secara online yang dikirim melalui email, SMS, atau telepon adalah umpan atau pintu masuk penipuan online atau scamming.
Penjahat siber satu ini terkadang tak perlu memiliki keahlian layaknya peretas (hacker) yang menguasai pemrograman. Mereka cenderung hanya mengandalkan teknik rekayasa sosial (social engineering), permainan kata-kata, dan memainkan psikologis dari calon korban.
Kejadian yang menimpa penyanyi dan artis Maia Estianty juga penyiar RRI asal Kota Sorong, Papua adalah contoh bagaimana penjahat menyasar pengguna e-wallet.
Berita Terkait:
- Akun GoPay hingga WhatsApp Maia Estianty Diretas
- Awas Fitur Call Forwarding, Maia Estianty Jadi Korbannya
- OTP WhatsApp Maia Estianty Dibobol, Ini Cara Amankannya
Para penipu ini berupaya sebisa mungkin untuk mendapatkan kode sandi sekali pakai (one-time password/OTP) dari korban. Teknik mereka bisa macam-macam. Dari tingkat sederhana hingga memang ada peretasan canggih.
Namun, pada sejumlah kejadian, korban cenderung diperdaya karena ketidaktahuan informasi, misalnya, tentang kode Call Forwarding; ini yang dialami oleh Maia. Atau, korban masih belum paham bahwa OTP adalah kode penting yang tak boleh diserahkan kepada siapa pun saat bertransaksi di aplikasi.
Berita Terkait:
- Penipuan Online Kasus Tertinggi yang Diterima Polri
- Penyiar RRI Ditipu Driver Gojek, Uang Rp 28 Juta Raib!
- YLKI: Literasi Konsumen Masih Minim, Ini Bahaya!
Menurut Country Manager Indonesia CashShield, Kevin Onggo, angka penipuan (fraud) di sektor keuangan terbilang tinggi mulai kasus kartu kredit hingga dompet digital.
CashShield adalah perusahaan online asal Singapura yang fokus pada manajemen risiko. Perusahaan mengelola penipuan pembayaran dan mencegah pengambilalihan akun yang dialami klien.
Indonesia termasuk negara dengan kasus fraud tinggi. Laporan Polri menyebutkan, kasus yang diterima semester pertama 2019 yang tertinggi adalah penipuan online. Namun, polisi tidak menyebutkan berapa banyak penipuan online, khususnya yang terjadi di layanan dompet digital.
Menurut Kevin, ada perbedaan kasus fraud di Indonesia dengan negara-negara lain. Ia mencontohkan kasus di Eropa, di mana penjahat lebih menargetkan kartu kredit.
Berita Terkait:
- Social Engineering, Ancaman Terbesar Pengguna E-Wallet
- Ini 10 Dompet Digital Terpopuler di Indonesia
- Riset: Mayoritas Pengguna Dompet Digital Bertransaksi Ritel
Sementara, di Indonesia, kata dia, saat ini mayoritas target penipuan adalah pengguna e-wallet, “Misalnya, penipuan lewat modus permintaan one-time password (OTP) ke pengguna dompet digital tersebut,” kata dia seperti dikutip dari detikNet, 9 Oktober 2019.
Presiden Whitehat Society dari Universitas Manajemen Singapura, Winston Ho, mengatakan, di era pembayaran elektronik semakin populer, aplikasi yang tidak dipercaya dan SMS phishing adalah akses mudah bagi peretas ke ponsel seseorang.
Whitehat Society adalah sekelompok peretas etis yang konsen dalam isu keamanan siber.
Lelaki 25 tahun itu juga mengaku bahwa dirinya termasuk orang yang paranoid dengan aplikasi e-wallet atau aplikasi apa pun yang terkait dengan kartu kredit atau rekening bank. Dia lebih memilih untuk tetap menggunakan transaksi tunai.
Berita Terkait:
- Ini 6 Modus Penipuan Kuras Saldo GoPay dan Solusinya
- Tiga Serangan yang Dipakai untuk Bobol Dompet Digital
Hal ini didasari oleh eksperimen yang dilakukan Winston dan rekannya, Wan Ding Yao, terhadap beberapa e-wallet dari beberapa bank lokal. Mereka menemukan, ada praktik yang diterapkan justru tidak aman.
Meski banyak orang yang percaya bahwa kata sandi, verifikasi dua langkah (2FA)dan pengenalan sidik jari pada e-wallet mungkin bisa mencegah penjahat siber, ternyata hal itu tidak cukup, kata mereka.
Masalahnya, seorang penipu atau peretas dapat membodohi pengguna agar mengunduh versi e-wallet yang dimodifikasi atau disamarkan. Teknik yang mereka pakai, apalagi jika bukan iming-iming hadiah atau uang gratis. Padahal aplikasi yang telah dimodifikasi tersebut bisa mengandung virus komputer yang sulit dideteksi seperti Trojan.
"Siapa yang tidak menginginkan uang gratis? Jika Anda memilih untuk menginstal program dan memberikannya semua izin yang biasanya tidak Anda berikan, Anda membiarkan peretas mendapatkan akses ke telepon Anda," kata Wan seperti dikutip dari Channel News Asia.
Setelah memberikan akses ke ponsel, peretas bisa dengan mudah mengambil data di ponsel. Dengan virus yang mereka buat, langkah-langkah keamanan seperti kata sandi dan sidik jari mungkin tidak akan banyak berguna, karena peretas dapat mengambil alih SMS pada ponsel pengguna.
“Jika pengguna menerima kata sandi satu kali (OT), peretas akan dapat masuk ke telepon pengguna tanpa menimbulkan kekhawatiran dan mengambil OTP untuk mengotentikasi dirinya sendiri,” tutur Wan.