Pengguna WhatsApp harus waspada akan munculnya penipuan-penipuan yang dilakukan dalam berbagai modus. Terbaru, dengan modus undangan pernikahan digital yang dikirim ke WhatsApp korban. Undangan yang dikirim tidak menampilkan rincian undangan, tetapi mengarahkan pengguna ke satu aplikasi dengan format APK.

Jika diinstal, aplikasi tersebut akan mencuri informasi pribadi pengguna sehingga besar memungkinkan bisa membobol rekening pribadi atau m-banking korban.

Merespons hal tersebut, Pengamat Keamanan Siber Alfons Tanujaya mengatakan undangan pernikahan digital yang dikirim penipu via WhatsApp sebenarnya mengandung APK dari luar Play Store yang jika diinstal, akan mencuri kredensial OTP dari perangkat korban.

"Ketika APK Android berbahaya ini dijalankan, sebenarnya akan muncul beberapa peringatan seperti menginstal aplikasi dari luar Play Store sangat berbahaya dan tidak disarankan. Dan ketika peringatan ini diabaikan, masih muncul peringatan lain ketika memberikan akses SMS kepada aplikasi yang ingin diinstal, termasuk data dokumen dan foto perangkat kepada aplikasi berbahaya yang diinstal tersebut," ujar Alfons dalam keterangannya, Sabtu (28/1/2023).

Namun, kata Alfons, masyarakat pengguna WhatsApp biasanya kurang memperhatikan peringatan ketika meng-instal aplikasi dan dengan mudah memberikan persetujuan tanpa membaca dengan teliti dan mengerti akibat dari persetujuan tersebut. Kondisi tersebut dimanfaatkan oleh penipu dengan aplikasi jahat ini untuk mencuri data.

"Sebenarnya dengan instal aplikasi jahat ini tidak cukup untuk mengakses akun mobile banking korbannya, karena mengakses akun mobile banking membutuhkan User ID, Password Mobile Banking, PIN persetujuan transaksi dan OTP (One Time Password) yang didapatkan melalui APK jahat ini," jelas Alfons.

Hanya saja, Alfons mempertanyakan cara para penipu ini bisa mendapatkan kredensial mobile banking korban. Pasalnya, APK jahat tersebut hanya bisa mencuri SMS OTP.

"Apakah karena antarorganisasi kriminal ini saling berbagi database untuk dijadikan sasaran atau ada database bank pengguna m-banking yang bocor," tandas Alfons.

Alfons mengingat kembali aksi phishing pada pertengahan tahun 2022 lalu. Saat itu, kata dia, banyak korban pengguna m-banking yang tertipu dan memberikan kredensial m-banking kepada penipu karena diancam akan dikenai biaya transfer bulanan Rp 150.000.

"Dengan asumsi data pengguna m-banking ini sudah bocor, maka salah satu hal darurat yang harus dilakukan pengguna m-banking yang mengalami kebocoran data adalah segera mengganti Password dan PIN persetujuan transaksi," imbuh dia.

Jika masih ragu, kata Alfons, perlu mempertimbangkan untuk mengganti akun m-banking atau memilih penyedia m-banking yang memberikan pengamanan lebih baik. Meskipun dia mengakui, jika Bank menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan mengambil alih akun m-banking sekalipun berhasil mendapatkan semua kredensial dan OTP persetujuan transaksi.

"Bagi Bank penyedia layanan m-banking, kami menyarankan untuk menerapkan verifikasi What You Have untuk perpindahan akun m-banking ke ponsel baru atau nomor ponsel baru. Jadi jangan mengandalkan verifikasi What You Know saja untuk memindahkan akun m-banking ke ponsel atau nomor ponsel baru," jelas dia.

Alfons mencontohkan Verifikasi What You have adalah verifikasi kartu ATM, KTP asli, fisik pemilik rekening. Sementara verifikasi What You Know adalah User ID, Password, PIN persetujuan transaksi dan kode OTP.

Lebih lanjut, Alfons mengharapkan pemerintah dan regulator yang mengatur lembaga finansial, untuk menentukan standar pengamanan transaksi finansial digital yang ketat dan aman seperti m-banking. Hal ini untuk memastikan transaksi finansial digital tidak mudah dieksploitasi.

"Hal ini sangat penting karena banyaknya kasus pembobolan m-banking ini akan menurunkan kepercayaan masyarakat terhadap sektor keuangan digital dan akan menghindari menggunakan channel digital. Padahal pemerintah sangat berkepentingan terhadap digitalisasi dalam sektor finansial karena akan memberikan efek berganda bagi perkembangan ekonomi Indonesia," pungkas Alfons.

Setelah viral modus penipuan online dengan mengirimkan file berformat APK di pesan WhatsApp oleh kurir paket saat ini kembali viral modus penipuan sejenis dengan modus undangan nikah.

Pelaku akan mengirimkan undangan pernikahan tanpa menyebutkan pihak yang mengundang, dan file undangan juga berbentuk APK. bentuk APK atau Android Package Kit adalah file tidak resmi yang dapat membahayakan isi ponsel dan penggunanya.

Ketika mendapatkan file APK yang tidak jelas, lalu membuka file tersebut maka pelaku akan mencuri kredensial One Time Password (OTP) korban.

Jika OTP dicuri, pelaku bisa melakukan perpindahan akun m-banking atau dompet digital lainnya dari akun korban.

Untuk mencegah penipuan dengan kedok file, berikut langkah yang bisa dilakukan:

1. Jangan menginstall aplikasi di luar Play Store.

2. Jangan memberikan akses baca ke aplikasi yang tidak jelas.

3. Jangan memberikan OTP ke pihak lain.

4. Cek dan pantau aplikasi yang tidak penting dan mencurigakan.

Di era modern ini, pelaku penipuan menggunakan banyak cara yang sudah maju sehingga kita harus selalu berhati-hati agar tidak terkena penipuan.