Viral Penipuan Modus Kurir Kirim Foto Paket, Saldo Rekening Terkuras!

Modus Penipuan
Tangkapan layar modus penipuan melalui whatsapp. | ist

FORUM KEADILAN – Baru-baru ini viral modus penipuan, dengan berpura-pura menjadi kurir yang mengirimkan foto paket. Padahal, itu adalah upaya peretasan terhadap ponsel korban, untuk membobol rekening hingga saldonya terkuras habis.

Dalam sebuah unggahan di Instagram, akun @evan_neri.tftt menjelaskan modus kejahatan siber baru ini. Bermula dengan si penipu yang berusaha mengontak korban via WhatsApp.

Bacaan Lainnya

Pelaku berpura-pura sebagai kurir J&T Express yang menanyai identitas penerima paket. Si penipu juga mengirimkan lampiran dengan nama file ‘LIHAT Foto Paket’. Padahal, ekstensi datanya bukan berformat foto biasanya, seperti jpg atau jpeg, tetapi dengan format apk.

“Pelaku pura2 dari jasa ekspedisi lalu mengirimkan file dgn ekstensi APK. Klo tidak jeli dan hanya melihat judul file, bakal terkecoh pingin nge-klik dan unduh file-nya,” ungkap akun tersebut.

Adapun file jenis APK merupakan aplikasi yang dijalankan di perangkat mobile. Biasanya, file jenis ini merupakan aplikasi yang kerap tak terdaftar di toko aplikasi resmi Play Store atau App Store.

Tak jeli memantau format file, korban lantas mengkliknya. Itulah yang membuat saldo mobile bankink-nya diklaim ludes. Padahal, korban merasa tak pernah menjalankan, membuka aplikasi apapun, atau mengisi user ID dan password di situs lain.

“Dalam kasus ini, korban terlanjur mengunduh file tsb. Dan tanpa diketahui korban, saldo BRIMO ludes. Korban mengaku tidak pernah menjalankan atau membuka aplikasi apapun dan mengisi user Id maupun password pada situs lain,” lanjutnya.

Akun ini menduga, aplikasi yang dikirimkan penipu kemungkinan berjalan di latar belakang dan mengambil data korban, sehingga membuat penipu dapat mengakses akun perbankan korban.

Pihak J&T Express, yang namanya dicatut dalam kasus penipuan ini, mengatakan tidak pernah meminta pelanggan untuk mengunduh aplikasi melalui chat.

“Sprinter J&T Express Tidak Pernah meminta J&T Friends untuk mengunduh aplikasi melalui Whatsapp atau chat. Aplikasi resmi kami hanya ada di App Store dan Play Store dengan nama pencarian ‘J&T Express’,” jelas perusahaan di akun Instagramnya.

J&T juga mengimbau pelanggan untuk berhati-hati terhadap modus lain, seperti mengaktifkan nomor resi atau cetak resi melalui transfer.

“Serta mohon selalu berhati-hati dengan modus aktivasi nomor resi/ cetak resi melalui transfer m-banking ataupun virtual account. J&T Express tidak pernah menagihkan biaya tambahan saat proses pengiriman berlangsung,” katanya.

Senada dengan J&T, akun resmi BRI yaitu @kontakBRI, juga meminta nasabah berhati-hati dengan modus phishing atau penipuan untuk mencuri data pribadi.

“Sobat BRI. Waspada modus penipuan yang mengatasnamakan kurir pengiriman paket yang mengirimkan File APK. Jangan pernah klik atau Install File tersebut agar terhindar dari kebocoran atau pencurian data (Phishing),” kicau akun BRI.

Sementara itu, Konsultan Keamanan Siber dari Vaksincom, Alfons Tanujaya menjelaskan, modus serupa pernah terjadi beberapa waktu lalu.

Perbedaannya hanya terletak pada penipu yang mengirimkan file dengan nama aplikasi salah satu jasa ekspedisi.

“Itu penipunya hanya mengubah tema socengnya (rekayasa sosial), kalau kemarin apps-nya untuk lacak paket, kalau yang sekarang apps-nya untuk melihat gambar paket,” ujar Alfons dikutip dari Kompas.com.

Alfons bilang, modus penipuan ini bertujuan mencuri One-Time Password atau OTP yang biasa dikirim melalui SMS.

Ketika korban meng-klik file dari penipu, file itu akan terinstal dan memiliki tampilan meyakinkan bak salah satu jasa ekspedisi. Padahal, aplikasi itu merupakan program SMS forwarder atau SMS to Telegram.

Aplikasi SMS to Telegram sendiri bukanlah aplikasi jahat dan banyak tersedia di Play Store.

“Aplikasi ini berguna untuk membantu pengguna ponsel membaca SMS-nya di aplikasi Telegram dan bisa digunakan untuk otomasi pendukung aplikasi lain,” terang Alfons.

Penggunaan SMS forwarder, kata Alfons, menjadi usaha pelaku untuk mendapatkan kode OTP dari korban.

Sebab, saat ini, pengguna m-Banking sudah memiliki kesadaran untuk menjaga OTP yang dikirimkan melalui SMS dan tidak memberikannya ke sembarang orang.

“Kemudian dalam proses instalasi aplikasi ini akan meminta banyak sekali hak akses dan salah satu yang sangat berbahaya bagi pengguna m-Banking adalah hak akses untuk membaca dan mengirimkan SMS,” kata dia.

Menurut Alfons, meski korban mengaku tak pernah menjalankan atau membuka aplikasi, korban mungkin tanpa sadar telah menginstal dan menyetujui SMS untuk dibaca dan diteruskan ke Telegram.(*)