.webp)
Dari sistem yang dipakai oleh penyedia layanan, para penipu atau scammer yang makin canggih, dan juga celah yang ada pada sisi operator penyedia layanan seluler. Di bawah ini adalah penjelasan dari berbagai faktor pendukung, dan juga cara untuk mengantisipasi praktik penipuan dengan modus yang lazim terjadi.
Kemudahan mengubah identitas
Kemudahan mengganti identitas pada aplikasi dimana dalam hal ini berganti nomor HP pada aplikasi secara tidak langsung menjadi pemicu maraknya scam pada pengguna Gojek dan Grab. Padahal dalam kenyataannya jarang sekali pengguna awam yang berganti-ganti identitas dalam menggunakan aplikasi.
SCROLL TO CONTINUE WITH CONTENT
Padahal selama ini yang bisa mengirimkan Pop Up hanya operator telko. Hal ini perlu menjadi perhatian provider Telko karena secara tidak langsung provider telko mendukung aksi scammer ini.
 Scammer yang mampu memunculkan Pop Up pada HP korban incarannya. Foto: Dok. Alfons Tanujaya |
Keamanan Berbanding Terbalik dengan Kenyamanan
"Keamanan berbanding terbalik dengan kenyamanan" hal ini yang menjadi hukum yang diamini oleh pegiat sekuriti dalam pengamanan akses. Jika anda ingin mengamankan pintu anda bisa memasang grendel. Tetapi anda menjadi repot karena setiap kali masuk pintu harus membuka grendel tersebut. Jika ingin mengamankan lebih jauh, mungkin grendel tersebut anda tambahkan dengan gembok yang anda pegang kuncinya.
Contoh paling mudah dari hal ini adalah layanan internet atau mobile banking dan aplikasi semacam Gojek dan Grab. Di mana perlakuan terhadap aplikasi perbankan yang sangat berbeda (baca: rumit) karena harus melalui sejumlah proses yang terbilang merepotkan, karena memang sudah semestinya seperti itu.
Namun di balik kerepotan tersebut pemilik akun bank menjadi aman dan jarang sekali ada scammer kurang kerjaan nekat mengambil alih/balik nama kepemilikan rekening bank orang lain. Paling sering terjadi adalah modus pencurian PIN ATM yang menggunakan kamera tersembunyi atau PIN pad tambahan guna menguras saldo akun bank.
Lain halnya di dunia aplikasi, sekalipun mengandung nilai ekonomis dan sangat populer, membuka akun baru di Gojek dan Grab sangat mudah, hanya berbekal nomor telepon saja sudah cukup untuk membuka rekening baru. Yang menjadi masalah adalah ketika kemudahan pembukaan akun ini disalahgunakan untuk mengambil alih akun yang sudah ada dimana hanya dengan memasukkan nomor telepon saja sudah cukup untuk memicu pengiriman OTP.
Aksi Scammer
Lalu bagaimana scammer menjaring korbannya, saat ini modus yang dilakukan adalah menyusup ke dalam sistem aplikasi menggunakan akun driver aplikasi dan order favorit yang menjadi incaran scammer saat ini adalah Go Shop dan Grab Delivery.
Alasan Go Shop atau Grab Delivery menjadi sasaran scammer adalah karena praktik meminta tambahan dana cukup sering terjadi dan driver dengan berbekal nomor telepon dan nama pengguna layanan scammer dengan hanya bermodalkan akun driver akan melakukan usaha mengambil alih akun hanya dengan memasukkan nomor telepon akun yang di incar. Lalu scammer menelpon korbannya dan berusaha mengelabui pengguna aplikasi guna mendapatkan OTP.
 Foto: Dok. Alfons Tanujaya |
Sekali berhasil mendapatkan OTP tersebut maka ia akan leluasa mengambil alih saldo Gopay atau OVO akun korbannya. Sekali tertipu memberikan OTP korbannya tidak bisa melakukan apapun alias merelakan akunnya diambil alih dan saldonya dikuras oleh penipu.
Lebih gawatnya lagi, ada scammer yang lebih canggih karena tidak mengandalkan SMS dan telepon saja tetapi memiliki kemampuan menampilkan Pop Up pada ponsel korbannya guna menakut-nakuti korbannya.
Antisipasi
Beberapa hal yang dapat dilakukan untuk mengantisipasi dan menekan tingkat scam ini melibatkan banyak pihak, pihak terkait langsung yang terpenting adalah anda sebagai pengguna aplikasi dan pihak pemilik aplikasi. Pihak ketiga yang terkait adalah perusahaan telekomunikasi dan penegak hukum.
Operator telko memiliki posisi strategis dalam hal ini karena kejahatan scam ini dilakukan memanfaatkan jaringan yang dimilikinya dan mereka memiliki database lengkap pelaku kejahatan, database log komunikasi, nomor telepon, IMEI dan sejarah pergerakan pelaku kejahatan.
Pemerintah sebagai penegak hukum sangat berkepentingan dengan hal ini karena aplikasi ride sharing ini terbukti memberikan dampak positif dan bahkan memberikan efek multiplier bagi perkembangan ekonomi makro.
Contohnya adalah Go Food yang memberikan kesempatan bagi pengusaha kuliner baru yang tidak harus menyewa tempat mahal untuk berjualan dan dapat berjualan dari rumah mengandalkan Go Food untuk melayani pesanan makanan sehingga terjadi pembukaan lapangan kerja baru dan usaha baru yang efisien.
Maraknya kejahatan scammer ini akan menurunkan tingkat kepercayaan terhadap keamanan aplikasi dan kontribusi terhadap perkembangan ekonomi makro yang diharapkan akan menurun. Karena itu pemerintah khususnya penegak hukum harus melakukan tindakan yang tegas dan terukur kepada para pelaku kejahatan ini.
Perusahaan telko wajib bekerjasama dengan pemerintah dan perlu membatasi akses user di luar operator terhadap fitur khusus seperti USSD sender yang dapat memicu Pop Up pada HP oleh sesama user.
Apa yang dapat dilakukan oleh pemilik aplikasi dan pengguna aplikasi. Berikut ini ada beberapa tindakan preventif yang dapat dilakukan seperti :
Bagi penyedia aplikasi
Freeze period / masa tenggang pemindahan saldo akun. Jika terjadi proses perpindahan akun, saldo yang ada tidak langsung dapat dipakai (apalagi di transfer) melainkan harus menunggu masa tenggang dulu (bisa 1 jam atau 1 hari) hal ini akan memberikan waktu yang cukup bagi korban ketika melaporkan kehilangan akun, tapi saldonya masih belum bisa diambil alih karena adanya masa tenggang. Scammer juga menjadi malas jika hasil kejahatannya tertahan atau malah gaal sekalipun sudah berhasil mengambil alih akun.
Akses terhadap akun lama (existing) harusnya dikombinasikan dengan memasukkan data tambahan seperti nama lengkap, nama mantan, NIK KTP atau alamat email yang digunakan ketika mendaftarkan akun jika ingin memindahkan ke HP baru.
Aplikasi perlu melakukan pengecekan ke SIM card yang terpasang pada HP yang bersangkutan dan membutuhkan proses/otentikasi tambahan jika ingin mengakses akun/nomor HP yang berbeda dengan nomor SIM card.
Pengiriman SMS OTP sebaiknya jangan langsung dieksekusi melainkan diawali dengan konfirmasi awal apakah benar mau memindahkan akunnya. Balas dengan "Ya" atau "Setuju" baru OTP dikirimkan.
Driver yang dapat mengakses aplikasi yang sering dijadikan sarana scam perlu dibatasi, misalnya grace period sudah bekerja beberapa lama baru boleh mengakses Go Shop / Grab Delivery.
Sedangkan bagi konsumen pengguna aplikasi beberapa hal yang perlu diperhatikan adalah :
Nomor telepon anda adalah aset anda yang sangat berharga karena digunakan sebagai sarana pengiriman OTP untuk kartu kredit, internet banking, mobile banking dan layanan keuangan lainnya. Jika anda pengguna kartu prabayar, pastikan bahwa anda sudah mendaftarkan NIK anda dengan benar.
Jaga baik-baik nomor anda dan jangan mudah berganti nomor telepon karena verifikasi OTP transaksi dikirimkan ke nomor telepon anda dan jika berhasil di ambil alih maka verifikasi persetujuan transaksi dapat dilakukan oleh pemilik baru nomor anda. Dan anda harus bertanggung jawab sepenuhnya sekalipun transaksi tersebut tidak anda lakukan.
Jangan pernah memberikan OTP kepada siapapun
Password dengan baik perangkat HP dan semua aplikasi finansial yang anda gunakan. Gunakan fingerprint atau pengamanan lain yang sudah terbukti keamanannya untuk membatasi akses dari orang yang tidak berhak. Jangan tunda dan segera hubungi penyedia aplikasi/layanan keuangan jika anda curiga/menjadi korban kejahatan scam atau finansial lainnya.
*) Alfons Tanujaya, ahli keamanan dari Vaksincom. Dia aktif mendedikasikan waktu untuk memberikan informasi dan edukasi tentang malware dan sekuriti bagi komunitas IT Indonesia.
Halaman 2 dari 2
