Penipuan dengan modus kurir yang mengirim foto belakangan viral di media sosial. Penipu yang mengaku sebagai kurir menanyakan pengiriman sembari mengirim foto yang diklaim paket padahal aplikasi (APK) untuk mengincar rekening target.
Salah satu warganet yang mengungkap penipuan ini adalah pengguna instagram dengan akun @evan_neri.tftt. Menurutnya, pelaku berpura-pura sebagai kurir J&T Express yang berusaha memverifikasi identitas penerima paket.
Ia juga mengirimkan lampiran dengan nama file ‘LIHAT Foto Paket’. Padahal, ekstensi datanya bukan berformat foto biasanya, seperti .jpg atau .jpeg, tapi .apk.
Menurut Evan, penipuan ini menggunakan malware berjenis RAT (Remote Administrator Tool). Secara singkat, malware ini akan membuat pelaku bisa mengontrol ponsel korban tanpa sepengetahuannya.
Dari beberapa korban yang telanjur mengunduh, Evan mengungkapkan saldo para korban ludes. Padahal, korban tidak pernah menjalankan atau membuka aplikasi apa pun dan mengisi user ID maupun password pada situs lain.
“Dalam kasus ini, korban terlanjur mengunduh file tsb. Dan tanpa diketahui korban, saldo BRIMO ludes. Korban mengaku tidak pernah menjalankan atau membuka aplikasi apapun dan mengisi user Id maupun password pada situs lain,”lanjut dia.
Lantas bagaimana cara kerja penipuan ini?
Korban diharuskan mengklik pesan bertuliskan LIHAT Foto Paket. Meski bernama ‘foto’ file tersebut sejatinya merupakan aplikasi dengan ekstensi APK.
Jika korban mengklik dan menyetujui semua permission apk tersebut, semua ‘data’SMS akan tercuri.
“Inti dari bentuk kejahatan digital ini adalah, korbannya di’hipnotis’ dengan bentuk manipulasi psikologi ‘Apa benar ada sebuah paket?’ maka si korban akan merasa ‘ah tidak’ lalu korban akan terhipnotis sekali lagi untuk membuka sebuah file ‘LIHAT Foto Paket’ tersebut,” kata pegiat keamanan jaringan (network security) dari Universitas Muhammadiyah Sidoarjo, Nikko Enggaliano Pratama.
Nikko menuturkan, aplikasi ini bisa masuk ke akun M-Banking karena biasanya korban menggunakan nomor yang sama dengan yang digunakan untuk Whatsapp. Pelaku pun akan berasumsi, korban memiliki saldo banyak di akun M-Banking tersebut.
Lantaran itulah, katanya, penjahat membuat aplikasi dengan target mencuri data SMS. Pasalnya,bank butuh one time password (OTP) yang akan dikirimkan lewat SMS.
“Tapi kan gak selalu korban melakukan transaksi SMS yang butuh OTP, pasti expired dong? Benar. Tapi bagaimana kalau si Penjahat yang memulai semuanya dengan Login, Transferdari device pribadinya? Karena sudah dapat akses OTP dari handphonemu,” tukas Nikko.
Berdasarkan penelurusan terhadap aplikasi ‘LIHAT Foto Paket’ yang berukuran 5,5 MB itu, ia mengungkap sejumlah akses luar biasa yang bisa didapat APK tersebut jika diizinkan oleh calon korbannya.
Yakni, menerima SMS, mengakses internet, hingga mengirim SMS.
Identitas Pelaku Terungkap
Lebih lanjut, Nikko lalu menelusuri pelaku penipu ini. Menurutnya, pelaku bernama Rand* Raml* dengan akun Instagram @rndyinher* dan akun Telegram @RndyTechofficia*.
Nikko kemudian melakukan decompile aplikasi ini untuk mencari kode sumber (source code).Aplikasi ini kemudian diketahui meminta izin (permission) untuk menerima SMS, akses internet, mengirim SMS.
“Tidak peduli aplikasi ini otentik dengan yang beredar atau tidak tapi aplikasi ini juga melakukan pencurian data SMS para pengguna yang menginstall ini,” jelasnya.
Aplikasi dengan nama dasarcom.rndytech.smstestini melakukan loading terhadap situs J&T (https://jet.co.id/track). Sisanya, melakukan pengecekan permission untuk membaca SMS.
“Jika memang ini aplikasi hanya untuk pengecekan JET RESI, kenapa butuh permission SMS?” cetusnya.
Usai membongkar permission check, Nikko menemukan potongan kode yang mengarahkan ke desain perangkat lunak yang bisa membuat lebih dari dua aplikasi terhubung atau REST API (https://randiramli.com) dengan isi detail dari Hp yang dipakai korban.
“Jahat ya. Untuk apa kebutuhan developer aplikasi mengetahui detail device kita?” ucapnya.
Cara Terhindar
Sementara itu, Nikko mewanti-wanti untuk tidak mudah menginstall aplikasi, apalagi yang berasal dari luar toko aplikasi resmi seperti Google Play Store.
“Pesan moral yang dapat disampaikan di awal ini adalah jangan pernah install aplikasi selain dari Play Store, itu langkah awal,” cetus Nikko, “Langkah agak keras adalah install aplikasi yang umum saja.”
Klarifikasi J&T
Di sisi lain, J&T telah mengklarifikasi kasus ini. Pihak J&T menegaskan, namanya hanya dicatut penipu dan tidak pernah meminta pelanggan mengunduh aplikasi.
“Sprinter J&T Express 𝗧𝗜𝗗𝗔𝗞 𝗣𝗘𝗥𝗡𝗔𝗛 meminta J&T Friends untuk mengunduh aplikasi melalui Whatsapp atau chat. Aplikasi resmi kami hanya ada di App Store dan Play Store dengan nama pencarian ‘J&T Express’,” jelas perusahaan di akun Instagramnya, Sabtu (19/11).
J&T juga mengimbau pelanggan untuk berhati-hati terhadap modus lain, seperti mengaktifkan nomor resi atau cetak resi melalui transfer.
“Serta mohon selalu berhati-hati dengan modus aktivasi nomor resi/ cetak resi melalui transfer m-banking ataupun virtual account. J&T Express tidak pernah menagihkan biaya tambahan saat proses pengiriman berlangsung,” katanya.
Senada, akun resmi BRI,@kontak BRI, meminta nasabah berhati-hati dengan modus phishing atau penipuan untuk mencuri data pribadi.
“Sobat BRI. Waspada modus penipuan yang mengatasnamakan kurir pengiriman paket yang mengirimkan File APK. Jangan pernah klik atau Install File tersebut agar terhindar dari kebocoran atau pencurian data (Phishing),” kicau akun tersebut.
Sumber : CNN [dot] COM