Data lebih berharga dari emas, banyak orang yang sulit menerima bagaimana kumpulan karakter belaka bisa dianggap lebih berharga daripada emas. Kasus penipuan yang dilaporkan ke Vaksincom ini kembali menunjukkan mention yang keilhatannya sepele dan tinggal klik saja bisa mengakibatkan kerugian finansial lebih dari Rp 25 juta.
Pengguna media sosial kerap diminta untuk berhati-hati untuk tidak membagikan informasi berharga dirinya yang sering dilakukan untuk kepentingan tertentu, apakah itu ingin berbagi informasi, ingin eksis atau tujuan lain seperti diminta oleh pihak tertentu untuk kepentingan promosi.
Sudah menjadi standar dan kebiasaan pelaku event, baik event komunitas seperti kegiatan olahraga atau undian yang mensyaratkan pesertanya untuk melakukan mention dengan iming-iming hadiah tertentu. Tujuannya mungkin tidak negatif, melainkan untuk meningkatkan jangkauan event tersebut supaya lebih populer atau untuk kepentingan branding.
Namun, mention bisa menjadi petaka jika dimanfaatkan oleh pelaku kejahatan dan kasus mention yang kelihatannya sepele yang dilaporkan ke Vaksincom ini mengakibatkan kerugian finansial hingga puluhan juta.
Mention dan tag di media sosial tujuannya untuk meningkatkan gaung dari satu aktivitas dan sangat bermanfaat untuk branding. Namun tanpa disadari hal ini mengumpulkan semua orang yang melakukan aktivitas yang sama dengan kondisi tertentu (seperti pengguna layanan, nasabah satu bank, peserta undian) pada satu tempat, apakah itu di posting atau komentar pada posting/event.
Dan penipu tanpa perlu bersusah payah tinggal melihat komentar dan memanen siapa saja yang melakukan mention dan menjadikannya sasaran eksploitasi. Secara tidak langsung, pelaksana event ini menyodorkan nasabahnya sendiri kepada penipu untuk dieksploitasi.
Penipu tidak usah bersusah payah lagi menjaring calon korbannya, karena semuanya sudah disediakan oleh bank pelaksana event. Mau menghubungi korbannya? Tidak usah susah payah mencari nomor teleponnya, tinggal DM saja dari Instagram dengan akun palsu yang logonya sudah direkayasa seakan-akan dari CS bank untuk kemudian meminta kontak korban.
Jika DM dilakukan kepada sembarang anggota Instagram, kecil kemungkinan ini akan berhasil karena ada beberapa syarat yang harus dipenuhi untuk keberhasilan dalam penipuan ini seperti:
- Akun Instagram harus nasabah bank yang bersangkutan
- Akun Instagram sedang mengikuti kuis/undian yang diadakan oleh bank pada periode tersebut.
Celakanya, kedua kondisi di atas yang sulit didapatkan oleh penipu ini malah disediakan oleh bank dengan meminta nasabah undian melakukan mention, dalam kasus ini korbannya dalam kondisi mudah percaya karena memang benar mengikuti undian/kuis dan mengharapkan untuk memenangi undian tersebut.
Hal ini yang menjadi titik lemah yang sering dimanfaatkan oleh kelompok penipu dan harus disadari oleh penyelenggara event dan peserta event/undian dan semua pengguna media sosial.
Memang salah korban yang menjadi sasaran penipuan ini, mengapa ia seperti kerbau dicocok hidung mengikuti apa saja yang diperintahkan oleh penipu dan memberikan kredensial dan OTP yang seharusnya tidak boleh dibagikan.
Tetapi ada hal penting yang perlu disadari oleh pelaksana event di mana korban bisa sampai dalam kondisi tersebut karena memang ia mengikuti event yang diadakan oleh pelaksana event dan pelaksana event yang meminta korban melakukan mention/tag sehingga secara tidak langsung penyedia event seakan menyodorkan anak ayam (nasabah) ke kawanan serigala (penipu) untuk menjadi korban penipuan undian. (lihat gambar 1)
Singkat kata, korban dihubungi oleh penipu dan diinformasikan bahwa ia memenangi undian dan diarahkan pada tautan yang meminta korban memasukkan kredensial digital banking termasuk TFA yang seharusnya tidak diberikan.
Namun karena korban mengira ia sedang dihubungi oleh CS bank, tentunya tidak curiga dan memasukkan data yang diminta pada situs yang disediakan dan yang terjadi bukannya mendapatkan hadiah undian, melainkan saldo di tabungannya dikuras oleh penipu.
Dari kasus ini ada dua pihak yang harus belajar. Pertama, pihak bank yang menyelenggarakan undian atau event, jangan mengorbankan nasabah Anda untuk kepentingan branding. Nasabah Anda adalah aset yang harus Anda lindungi dan jangan disodorkan ke mulut serigala dengan meminta mention, tag, atau sejenisnya.
Kedua pemilik data harus lebih berhati-hati dengan data yang dimiliki, jangan mudah memberikan kepada siapapun dalam bentuk apapun karena di tangan orang yang ahli, data yang bagi sebagian besar orang tidak berharga dan terkadang menjadi beban, bisa menjadi emas atau mengakibatkan kerugian finansial besar seharga emas.
*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.
Simak Video " Pakar Keamanan Siber Bicara Sistem Keamanan Data PDNS "
(rns/rns)