Floresa.co – Whatsapp, salah satu dari beberapa platform media sosial yang berada di bawah perusahaan media sosial Meta.Inc milik Mark Zuckerberg menjadi aplikasi percakapan paling populer di dunia.
Laporan Statista.com menunjukkan pada April 2024, aplikasi yang pertama kali ditemukan dua mantan insinyur Yahoo, Brian Acton dan Jan Koum tersebut, yang diakuisisi oleh Facebook.Inc [kini menjadi Meta.Inc] pada tahun 2014, memiliki 2 miliar pengguna aktif.
Jumlah ini jauh melebihi pengguna aplikasi lainnya, yakni WeChat 1,3 miliar, Facebook 1 miliar, dan Telegram 900 juta.
Meski demikian, WhatsApp ternyata memiliki tingkat keamanan yang masih perlu diwaspadai para penggunanya.
Hal tersebut dibuktikan oleh adanya berbagai macam modus penipuan online lewat aplikasi percakapan tersebut.
Sebagian besar penipuan tersebut dilakukan dengan mengirim malware dalam bentuk file apk. [application package file], di mana ketika pengguna mengklik dan mengunduhnya, pengirim file tersebut mendapatkan akses atas perangkat korban, termasuk menguras rekening bank.
Maware merupakan akronim dari malicious software (perangkat lunak berbahaya) adalah program atau file yang berbahaya bagi pengguna komputer atau ponsel. Jenis malware dapat mencakup virus, worm, trojan horse, dan spyware. Program jahat ini dapat melakukan berbagai fungsi berbeda seperti mencuri, mengenkripsi, atau menghapus data, mengubah atau membajak fungsi komputasi inti dan memantau aktivitas komputer atau ponsel pengguna tanpa izin mereka.
Beragam Modus
Berikut beberapa modus penipuan di aplikasi Whatsapp yang dirangkum Floresa.
- Modus Kurir
Penipuan jenis ini adalah yang pertama kali viral pada akhir tahun 2022, terungkap dalam kasus pembobolan rekening seorang pelanggan J&T Express.
Seseorang yang mengaku kurir mengirimkan pesan dan sebuah lampiran dengan nama file ‘LIHAT Foto Paket’ dalam bentuk apk.
Malware kiriman kurir palsu tersebut, yang langsung diunduh pelanggan, akhirnya bisa mengakses akun perbankan seluler [mobile banking] dan menguras seluruh isinya.
2. File Undangan Nikah
Pengiriman malware yang bertujuan membobol akses dalam perangkat pengguna juga dibalut dalam bentuk file undangan pernikahan.
File tersebut biasanya diberi nama “Surat Undangan Pernikahan Digital”, dengan keterangan apk. dan ukuran file [MB] di bagian akhir.
Pengirim juga biasanya menyertakan chat ajakan “Kami harap kehadirannya”.
3. Surat Tilang Palsu
Pengiriman surat tilang menjadi salah satu modus penipuan. Pengguna aplikasi menerima sebuah surat tilang dari pengirim yang mengaku anggota kepolisian, dengan pesan bahwa pengguna tersebut telah melanggar peraturan lalu lintas.
Sejumlah pengguna mengatakan surat tilang palsu tersebut diberi nama file “Surat Tilang-1.0.apk”.
4. Catut Operator My Telkomsel
Modus lainnya dari penipu di Whatsapp adalah mencatut nama operator resmi My Telkomsel, sebuah aplikasi yang dibuat untuk memudahkan kontrol akun para pengguna dari penyedia jasa Telkomsel.
Beberapa pengguna Whatsapp mendapatkan pesan dalam bentuk file apk. dari pengirim yang mengaku operator.
Jika file tersebut diunduh dan diinstal, maka pengguna akan dimintai izin akses beberapa aplikasi, misalnya foto, video, SMS, serta akun perbankan, yang kemudian membuat penipu leluasa membobol dan menguras isi rekening korban.
5. Pengumuman dari Bank
Pengguna Whatsapp juga bisa saja mendapatkan pesan dari pengirim yang mengatasnamakan lembaga bank, meminta nasabah untuk mengisi formulir tentang perubahan tarif transaksi dan transfer.
Perangkat milik pengguna yang membuka link menuju formulir tersebut ternyata dibobol oleh pengirim, yang kemudian mendapatkan akses atas berbagai data di dalamnya.
6. Undangan VCS
Salah satu cara penipu melakukan pemerasan adalah mengirim undangan Video Call Sex [VCS], di mana nomor tak dikenal melakukan panggilan video [VC], yang jika diangkat akan langsung menunjukkan tampilan orang [umumnya perempuan] tanpa busana.
Rekaman layar Video Call tersebut digunakan untuk memeras korban dengan ancaman-ancaman tertentu.
“Kalau ragu dan diperas, hubungi teman yang mengerti dan minta bantuannya untuk menghadapi ancaman-ancaman yang tidak kita mengerti, jangan main mengikuti ancaman saja,” kata pakar keamanan siber Alfons Tanujaya.
7. Modus Kode QR
Modus ini terbilang paling baru, biasa juga disebut sebagai quishing, yaitu gabungan dari QR dan phising.
Pelaku biasanya memancing korban dengan mengirimkan kode QR, yang jika di-scan akan membawa pengguna ke situs tertentu yang dapat membaca pesan teks biasa, juga melacak daftar aplikasi hingga alamat peta pengguna.
Pelaku quishing akan mengarahkan korban yang telah masuk ke situs tersebut untuk mengunduh sesuatu yang samar-samar, lalu memasukkan beberapa kredensial login yang membuat data-data dalam perangkat bisa diakses pelaku.
Beberapa Cara Menghindari Penipuan
Sebagian besar modus penipuan di atas termasuk kategori phising, yaitu serangan digital bermotif penipuan yang menargetkan informasi atau data sensitif korban melalui email, unggahan media sosial, atau pesan teks. Istilah phising adalah bentuk lain dari kata phishing yang berasal dari bahasa Inggris ‘fishing’ yaitu memancing.
Pelaku serangan digital ini memancing pengguna media sosial dan aplikasi percakapan untuk membuka dan mengunduh aplikasi malware, mengklik tautan berbahaya, mengisi formulir palsu, atau memberikan data-data pribadi kepada pelaku.
Phising biasanya memiliki beberapa ciri, yakni identitas pelakunya palsu, tautan atau file yang dikirimkan palsu, berisi perintah untuk mengisi data pribadi sensitif, dan disertai rayuan atau ancaman. Korban yang ditargetkan pelaku biasanya tidak spesifik.
Beberapa cara yang bisa dilakukan untuk mengantisipasi terjadinya serangan phising adalah.
- Rutin Periksa Keamanan Perangkat
Pemeriksaan rutin terhadap seluruh isi perangkat bertujuan untuk mengecek pesan dan file-file mencurigakan, juga mengantisipasi akses terhadap perangkat oleh pihak lain.
2. Amankan Informasi Login Akun
Pengguna harus menyimpan informasi login akun-akun pribadi dengan baik, tidak menyimpannya di perangkat publik atau perangkat milik orang lain. Selain itu, sandi atau password pribadi yang sensitif perlu dibuat secara unik dan disimpan pada tempat yang aman. Mengganti password secara rutin juga bisa menjadi salah satu strategi, selain mengaktifkan autentikasi dua faktor pada setiap akun yang dimiliki.
3. Abaikan Perintah dari Pesan yang Masuk ke Perangkat.
Setiap hari perangkat kita biasanya menerima banyak pesan yang masuk dari berbagai sumber, baik email, website, maupun nomor tak dikenal pada Whatsapp dan aplikasi percakapan lainnya. Pengguna seharusnya tidak ‘asal klik’ pada tautan yang masuk ke perangkat.
“Jika pengguna terlanjur mengklik atau download file apk ilegal, segera kembalikan handphone ke setelan pabrik (reset factory),” kata Nuraini Razak, Direktur Corporate Affairs Tokopedia.
Selain pesan, telepon dari nomor baru yang tidak dikenal juga perlu diwaspadai, terutama yang berhubungan dengan akses pada data pribadi dan keuangan.
4. Jangan Mudah Tergiur
Pengguna diharapkan tidak cepat dan mudah tergiur oleh tawaran-tawaran tertentu dari sumber yang tidak dikenal atau sumber yang tidak resmi, misalnya tawaran mendapatkan hadiah tertentu dari bank.
5. Akses Internet yang Aman
Mengakses dengan Secure Socket Layer atau SSL untuk memastikan penelusuran yang aman di berbagai macam situs internet. SSL yang ditandai oleh protokol akses “https://” dapat menghindari pengguna dari phising dan malware.
6. Tidak Lekas Percaya dengan Kode QR di Tempat Umum
Terkait quishing, pengguna pertama-tama diharapkan tidak mempercayai kode QR yang ada di tempat-tempat umum, atau disebarkan oleh orang tak dikenal melalui aplikasi percakapan.
Selain itu, kode QR yang memuat tujuan kejahatan dapat dikenali dari cara penyebarannya yang disertai saran untuk “meningkatkan rasa urgensi dan kekhawatiran calon korbannya”.
Misalnya dengan menyertakan pernyataan, “Pindai kode QR ini untuk memverifikasi identitas Anda atau mencegah penghapusan akun Anda.”
Editor: Anno Susabun