Modus penipuan melalui WhatsApp (WA) terus berkembang, dan salah satu pola yang masih sering terjadi adalah dengan menggunakan file APK (Android Package Kit) yang disamarkan menjadi berkas palsu. Kali ini, berkas palsu tersebut menyamar sebagai undangan pernikahan.
Ahli keamanan siber terkemuka, Alfons Tanujaya dari Vaksincom, mengungkapkan bahwa modus penipuan ini bertujuan untuk mencuri SMS OTP (One Time Password) guna meretas rekening atau saldo dari akun aplikasi dompet digital milik korban yang tersimpan dalam ponsel.
“Tujuan dari penipuan ini biasa, yaitu untuk mencari keuntungan finansial. Karena transaksi keuangan saat ini banyak dilakukan secara digital, baik melalui mobile banking maupun dompet digital, maka penipuan semacam ini cukup diminati,” ungkap Alfons.
Alfons menjelaskan bahwa file APK yang menyamar sebagai undangan pernikahan merupakan salah satu bentuk rekayasa sosial. File ini diciptakan untuk menipu korban seolah-olah berasal dari seseorang yang dikenal oleh mereka.
“File undangan pernikahan ini didesain dengan cermat untuk memperoleh kepercayaan korban. Kebanyakan dari mereka akan percaya bahwa pesan WhatsApp yang mereka terima adalah undangan pernikahan yang sesungguhnya, tanpa curiga untuk membuka dan menjalankan aplikasi tersebut,” paparnya.
Alfons menekankan bahwa korban cenderung mudah terperdaya karena tampilan undangan pernikahan yang dibuka terlihat meyakinkan, dengan informasi yang sangat lengkap, mulai dari foto hingga nama pasangan yang akan menikah, dirancang semirip mungkin dengan aslinya.
Ketika file undangan pernikahan dibuka, aplikasi tersebut meminta izin kepada korban untuk mengirim dan melihat SMS yang ada di ponsel korban. Jika korban memberikan izin, ini akan memberikan celah bagi pelaku kejahatan siber untuk berhasil meretas akses ke perangkat ponsel korban.
“Jika hal ini terjadi dan penyedia layanan keuangan tidak melindungi pengguna dengan baik, misalnya dengan melakukan verifikasi tambahan saat akun m-banking diakses dari perangkat lain, maka penipu dapat mengakses akun m-banking korban dan melakukan transaksi keuangan untuk mencuri dana dari rekening mereka,” jelas Alfons.
Alfons juga menyoroti bahwa meskipun sistem verifikasi menggunakan OTP (One Time Password) telah baik dengan memasukkan kode sekali pakai sebagai bagian dari otentikasi dua faktor, namun penggunaan SMS dinilai rentan dan tidak aman.
“Metode OTP menggunakan SMS ini termasuk yang paling rentan dari segi keamanan, karena pesan SMS merupakan teknologi komunikasi yang mudah dicuri dan melibatkan pihak ketiga dalam pengirimannya,” tambah Alfons.
