Setelah berhasil mencuri OTP, maka akan terjadi perpindahan akun m-banking dari ponsel korban ke ponsel pelaku. Saat APK berbahaya ini dijalankan, sebenarnya akan muncul beberapa peringatan. Jika peringatan tersebut diabaikan, maka akan muncul peringatan lain, saat memberikan akses SMS kepada aplikasi yang akan diinstal. Bukan hanya SMS, tetapi juga peringatan untuk memberikan akses data dokumen dan foto perangkat kepada aplikasi berbahaya.
Jika masyarakat tidak terbiasa memperhatikan peringatan tersebut, dan langsung memberikan persetujuan atau “Allow” tanpa membaca maupun mengerti akibatnya, maka aplikasi yang dibuka akan terinstal, selanjutnya penipu menjalankan aksinya untuk mencuri saldo korban.
“Undangan pernikahan palsu dari penipu ini akan membuat hati Anda hancur, karena saldo Anda akan dikuras habis,” kata Alfons Tanujaya, pakar keamanan siber Vaksincom, dikutip dari Kompas.com.
Menurut dia, sebenarnya instal aplikasi saja tidak cukup untuk mengakses akun m-banking korban. Sebab, mengakses akun membutuhkan user ID, kata sandi, PIN persetujuan transaksi, dan OTP.
“Jadi menjadi pertanyaan besar adalah, darimana kriminal ini bisa mendapatkan kredensial mobile banking korbannya, karena APK jahat ini hanya bisa mencuri SMS OTP,” kata Alfons.
Ada beberapa kemungkinan dari mana penipu mendapatkan data kredensial pemilik akun m-banking. Pertama, didapat dari aksi phishing sebelumnya. Misalnya, aksi yang menipu korban dengan menyatakan, bahwa biaya transfer bulanan berubah menjadi Rp 150.000.
Korban yang tertipu pun akan diarahkan untuk mengisi sejumlah data-data penting yang cukup untuk mengambil alih akun m-banking. Kemungkinan ke dua, pengelolaan dan pengamanan data kredensial dari penyelenggara m-banking kurang baik, sehingga bisa bocor dan jatuh ke tangan penipu.
“Memang ada komunikasi antara kelompok penipu yang mengeksploitasi m-banking dan mereka saling berbagi database,” katanya.
Untuk amannya, masyarakat pengguna m-banking harus ekstra waspada. Jangan instal aplikasi apa pun dari luar Play Store. Jangan berikan akses baca atau kirim SMS ke aplikasi tidak dikenal. Pantau aplikasi yang bisa mengakses SMS dan hapus aplikasi yang tidak esensial. Jika menemukan aplikasi pencuri SMS, segera hapus dan reset m-banking.
Namun, jika pengguna m-banking sudah terlanjur menginstal APK, segera ganti kata sandi dan PIN persetujuan transaksi. Jika masih ragu, bisa juga mengganti akun m-banking atau memilih penyedia m-banking yang memberikan pengamanan lebih baik.
Masyarakat diimbau untuk hati-hati mengakses pesan dari orang yang tidak dikenal. Modus penipuan dengan modifikasi APK dapat mencuri akses pengguna ponsel, bila asal mengklik pesan yang berasal dari orang yang tidak dikenal.**
Discussion about this post