Awalnya eksploitasi yang kerap dilakukan oleh driver adalah menggunakan teknik tuyul alias pemesan fiktif menggunakan fake GPS dengan tujuan mencapai target yang diberikan kepada driver dan mendapatkan bonus tinggi. Untuk ancaman yang satu ini korbannya masih perusahaan penyedia aplikasi dan kelihatannya hal ini sudah disadari dan dapat diantisipasi.
Sakit kepala bertambah setelah muncul eksploitasi yang melibatkan pihak ke-3, dimana yang menjadi korban kini adalah para pemilik akun aplikasi dengan modus yang sederhana, mengambil alih akun dengan tujuan mendapatkan saldo Gopay atau OVO korban.
Sebenarnya pihak penyedia aplikasi juga sudah melakukan langkah pencegahan yang di atas kertas cukup efektif, yaitu menggunakan pengamanan TFA Two Factor Authentication dengan menambahkan perlindungan OTP One Time Password yang dikirimkan ke SMS pemilik akun setiap kali akan berganti HP sehingga tanpa kode 4 angka OTP dari SMS ini akun tidak akan berpindah tangan dan saldo aman dari incaran penipu.
Baca juga: Awas! Hati-hati Kena Tipu FaceApp Palsu |
Namun masalahnya hal ini melibatkan masyarakat umum pemilik akun dengan latar belakang yang beragam, dari millenial yang sangat mengerti teknologi sampai orang tua yang terkadang gaptek dan "baik hati" karena percaya saja ketika ditelepon oleh pihak yang mengaku dari pihak penyedia aplikasi. Karena itu penyedia aplikasi bekerja keras mensosialisasikan pentingnya OTP dan kode tersebut tidak boleh diberikan kepada SIAPAPUN termasuk ke pihak penyedia aplikasi.
 Foto: Istimewa |
Penindakan lemah dan mudahnya menjadi scammer
Kelihatannya tindakan scammer ini makin menjadi-jadi karena penegakan hukum yang lemah dan cenderung pasif/reaktif dilakukan oleh penyedia aplikasi. Jadilah masyarakat pengguna layanan ini menjadi bulan-bulanan scammer ketika menggunakan layanan tertentu pada Gojek dan Grab.
Ketika Vaksincom melakukan konfirmasi kepada pihak penyedia aplikasi, jawaban yang didapatkan adalah pihak penyedia aplikasi tidak dapat proaktif melakukan penindakan dan hanya mengandalkan pada laporan konsumen setiap kali ada insiden. Jadi tidak ada tindakan proaktif yang dilakukan oleh pihak penyedia aplikasi untuk mencegah maraknya scam saldo ini.
Penindakan yang lemah terhadap scammer atau fakir Top up ini menyebabkan aktivitas scam untuk mendapatkan saldo aplikasi ini secara ilegal makin menjadi-jadi, khususnya untuk layanan tertentu yang kerap melibatkan transfer saldo. Adapun aplikasi yang menjadi favorit scammer saldo adalah GoShop dan Grab Delivery. Terbukti dari usaha scamming yang langsung dialami Vaksincom ketika mencoba menggunakan dua layanan tersebut.
 Foto: Istimewa |
Setelah mendapatkan SMS OTP, langsung Vaksincom mendapatkan telepon baik dari driver yang bersangkutan maupun nomor lain yang dengan berbagai macam trik berusaha mengelabui untuk mendapatkan 4 nomor OTP tersebut. Baru setelah diberikan nomor OTP yang salah dua kali berturut-turut telepon langsung di tutup.
Berdasarkan pengamatan Vaksincom, pengguna GoShop dan Grab Delivery ini menjadi favorit scammer karena layanan kerap melibatkan interaksi driver langsung dengan konsumen dimana tidak jarang driver meminta konsumen untuk mentransferkan dana jika kekurangan.
Namun dalam proses transfer dana tersebut scammer yang menjadi driver tersebut mengelabui korbannya dan meminta kode OTP sehingga berhasil menguasai akun dan menguras saldo korban. Dan celakanya ketika menyadari telah menjadi korban penipuan, sudah menjadi korban PHP dimana barang belanjaan yang ditunggu-tunggu, dapat bonus lagi saldo aplikasinya dikuras oleh penipu.
Tips untuk pengguna
Khusus untuk pengguna aplikasi Gojek (Gopay) dan Grab (OVO), harap waspada ketika menggunakan layanan GoShop dan Grab Delivery yang saat ini menjadi favorit scammer.
Ketika menerima SMS pemberitahuan OTP, jangan memberikan nomor OTP tersebut kepada siapapun, termasuk mantan. Jika ada yang menelpon mengaku dari Gojek atau Grab, jangan dimarahi dan balas dengan memberikan sembarang nomor seperti tanggal lahir mantan 1707, 2512 atau 0212 sampai dia kapok sendiri mengapa memilih anda menjadi korban.
*) Alfons Tanujaya, ahli keamanan dari Vaksincom. Dia aktif mendedikasikan waktu untuk memberikan informasi dan edukasi tentang malware dan sekuriti bagi komunitas IT Indonesia.
Simak Video "Respons Yusuf Mansur Usai Pernyataannya Jadi Komisaris Dibantah Grab"
[Gambas:Video 20detik]
(asj/fyk)
