Senin, 19 Feb 2018 13:10 WIB

Kolom Telematika

Modus Operandi Penipuan Mengatasnamakan Go-Jek

Penulis: Alfons Tanujaya - detikInet
Foto: detikINET/Ari Saputra Foto: detikINET/Ari Saputra
Jakarta - Siapa yang tidak senang memenangkan undian atau bonus hadiah? Rasanya hati berbunga-bunga jika hadiah tersebut jumlahnya cukup besar. Psikologi ini dimengerti sekali oleh kelompok penipu dan dimanfaatkan dengan cerdik untuk menjerat korbannya.

Seperti yang terjadi pada penipuan hadiah Go-Jek yang marak, modusnya sebenarnya tidak jauh-jauh dari penipuan Telkomsel Poin yang ramai terjadi di 2013. Korban diiming-imingi dengan informasi palsu bahwa ia telah memenangkan hadiah undian besar dan dikelabui untuk mengirimkan sejumlah uang untuk menebus pajak atas undian yang dimenangkan.

Menurut perkiraan Vaksincom, kemungkinan pelaku penipuan masih memiliki keterkaitan dengan pelaku penipuan Telkomsel Poin yang beralih sasaran karena tingginya popularitas pengguna Gojek.

Walaupun rekayasa sosial modus menang undian atau hadiah yang digunakan sama, teknis penipuan kali ini sedikit berbeda. Tekniknya tidak menggunakan situs palsu yang direkayasa untuk mengelabui korbannya, tetapi memanfaatkan sistem login otomatis yang digunakan oleh Go-Jek yang kurang menerapkan prinsip keamanan yang baik.

Hanya berbekal nomor ponsel korbannya, sistem Go-Jek akan secara otomatis mengirimkan password login ke SMS nomor yang bersangkutan. Jika penipu berhasil mendapatkan SMS tersebut, maka dia dengan leluasa bisa menguasai akun tersebut menggunakan ponsel lain.



Dari sisi pengguna memang harus berhati-hati dan tidak mudah percaya pada telepon yang tidak dikenal. Dan kalau tidak mengerti apa maksud SMS yang diterima sebaiknya ditanyakan kepada rekan yang lebih mengerti dan pada prinsipnya tidak boleh memberikan kode akses atau apapun yang diterima dari SMS, email atau aplikasi lainnya karena sifatnya memang rahasia dan dapat digunakan untuk mengambil alih akun.

Hal ini juga perlu menjadi perhatian penyedia layanan seperti Go-Jek dan aplikasi lainnya. Harus disadari bahwa tidak semua pengguna layanan Go-Jek mengecap pendidikan tinggi, melek sekuriti dan mengerti bahasa Inggris.

Go-Jek sejatinya adalah produk lokal Indonesia, ada baiknya menggunakan Bahasa Indonesia sebagai bahasa utama dalam komunikasi dengan pelanggan.

Penipuan Hadiah Go-Jek Ilustrasi (Foto: Lamhot Aritonang/detikcom)

Teknik Fraud


Menurut pengetesan yang dilakukan oleh Lab Vaksincom, teknik penipuan yang dilakukan oleh pencuri akun Go-Jek ini tidak terlalu rumit dan ada faktor kelemahan dari sistem login Go-Jek yang memungkinkan ponsel penipu memicu server Gojek mengirimkan password login secara otomatis ke ponsel korban.

Caranya sangat simpel. Penipu hanya perlu mengetahui nomor ponsel calon korbannya dan login cukup memasukkan nomor telepon ponsel korban. Tanpa melakukan pengecekan data apapun pada ponsel penipu yang memasukkan nomor telepon tersebut, (sekalipun ponsel korban masih aktif dan terhubung ke sistem Go-Jek), secara otomatis server Go-Jek akan langsung mengirimkan SMS yang berisi password untuk login ke ponsel korban. (lihat gambar)

Penipuan Hadiah Go-Jek Foto: Vaksincom


Jika pada saat itu penipu menelepon korbannya dan dengan berbagai macam rekayasa seperti menang undian, atau salah kirim kode dan minta dikasihani agar dibantu, kalau tidak order Go-Jeknya bisa batal dan seterusnya, korban bisa sangat mudah termakan omongan si penipu.

Alhasil, korban tertipu karena akun Go-Jeknya diambilalih dan saldo Go-Paynya dikuras. Telepon ke kantor Go-Jek bukannya mendapatkan bantuan malah diceramahi soal keamanan. Mengapa kok kode rahasia diberikan.

Padahal sudah dituliskan dalam SMS tersebut: This is your secret password for LOGIN. GO-JEK never asks for your password, DO NOT GIVE IT TO ANYONE. Your PASSWORD is ####

Namun apakah sudah dipastikan semua pelanggan Go-Jek mengerti akan hal ini? Kalau pelanggan Go-Jeknya kritis, dia lalu tanya balik: I did not ask for my PASSWORD, why did your server keep sending PASSWORD to my phone?



Dengan asumsi operator Go-Jek mengerti bahasa Inggris, mana pertanggungjawaban Go-Jek soal pengiriman password yang tidak diminta oleh pemilik akun Go-Jek tersebut? Belum lagi kalau pengiriman password via SMS tersebut biayanya ditanggung oleh pemilik akun.

Masalah yang harus diperbaiki disini adalah :

1. Pelanggan perlu diberi pendidikan untuk tidak memberikan kode password yang dikirimkan melalui SMS.

2. Pihak pemilik aplikasi juga perlu membuat pengamanan yang baik.

Keamanan berbanding terbalik dengan kenyamanan. Memang nyaman kalau setiap kali login tinggal memasukkan nomor telepon lalu password otomatis dikirimkan ke SMS dan akan langsung disambut oleh aplikasi dan dimasukkan sebagai password.

Namun yang menjadi masalah adalah, kenyamanan tersebut berakibat orang lain yang tidak berhak, hanya bermodalkan nomor telepon pengguna, akun Go-Jek bisa memicu pengiriman SMS berisi kode password.

Dalam kasus ini, cara yang digunakan untuk mendapatkan SMS tersebut masih primitif, yakni menipu korbannya bahwa dia menang undian, minta bantuan nomor SMSnya salah kirim.

Tetapi kalau di ponsel korbannya sudah tertanam malware yang mampu melakukan pencurian informasi SMS yang masuk pada ponsel korbannya, tanpa perlu menelepon korbannya, password login akun akan dikirimkan secara otomatis kepada pembuat malware.


*Penulis adalah peneliti keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktu untuk memberikan informasi dan edukasi tentang malware dan sekuriti bagi komunitas IT Indonesia.
(rns/rns)

Redaksi: redaksi[at]detikinet.com
Informasi pemasangan iklan
Hubungi: sales[at]detik.com
News Feed