Setelah 13 orang komplotan pembobol m-banking yang memalsukan APK kurir pengiriman barang online dan mengakibatkan kerugian Rp 12 miliar tertangkap oleh Bareskrim Polri, komplotan penipu lain seakan tidak jera kembali menjalankan aksinya melakukan penipuan yang mirip dengan tema yang berbeda.
Kali ini dengan mengirimkan Surat Undangan Pernikahan yang sebenarnya mengandung APK dari luar Play Store yang jika di instal akan mencuri kredensial OTP dari perangkat korbannya. Modus kejahatan siber ini juga memanfaatkan WhatsApp sebagai medianya.
Pakar Keamanan Siber dari Vaksincom, Alfons Tanujaya menjelaskan, jika APK itu diinstal akan mencuri kredensial OTP (One Time Password) dari perangkat korban. Akses OTP itu kemudian bisa digunakan pelaku kejahatan siber untuk menguras rekening korban.
Meski begitu, ketika APK Android berbahaya ini di jalankan, sebenarnya akan muncul beberapa peringatan seperti menginstal aplikasi dari luar Play Store sangat berbahaya dan tidak disarankan. Dan ketika peringatan ini diabaikan, masih muncul peringatan lain ketika memberikan akses SMS kepada aplikasi yang ingin di instal, termasuk data dokumen dan foto perangkat kepada aplikasi berbahaya yang di instal tersebut.
“Namun kemungkinan besar karena masyarakat tidak terbiasa memperhatikan peringatan ketika instal aplikasi dan dengan mudah memberikan persetujuan (Allow) tanpa membaca dengan teliti dan mengerti akibat dari persetujuan yang diberikan maka aplikasi jahat pencuri data ini akan tetap terinstal dan menjalankan aksinya,” jelas Alfons melalui keterangannya.
Meski demikian, secara teknis, Alfons memaparkan, sebenarnya dengan install aplikasi jahat ini tidak cukup untuk mengakses akun mobile banking korbannya, karena mengakses akun mobile banking membutuhkan User ID, Password Mobile Banking, PIN persetujuan transaksi dan OTP yang didapatkan melalui APK jahat ini.
Namun yang menjadi pertanyaan besar adalah dari mana pelaku kejahatan siber ini bisa mendapatkan kredensial mobile banking korbannya karena APK jahat ini hanya bisa mencuri SMS OTP. Alfons menduga antar organisasi kriminal ini saling berbagi data base untuk dijadikan sasaran atau ada data base bank pengguna m-banking yang bocor.
“Jadi yang menjadi pertanyaan besar adalah dari mana pelaku bisa mendapatkan kredensial mobile banking korbannya karena APK jahat ini hanya bisa mencuri SMS OTP,” ucap Alfons.
Seperti kita ketahui, pada aksi phishing sebelumnya pada pertengahan 2022 banyak korban pengguna m-banking yang tertipu dan memberikan kredensial m-banking kepada penipu karena diancam akan dikenai biaya transfer bulanan Rp 150.000.