Maia dikelabui pengemudi Gojek yang menyebut motornya mogok dan memintanya mengganti pengemudi dengan mengetikkan kode USSD. Kode USSD yang diminta adalah *21* yang diikuti dengan nomor ponsel asing (*21*082178912261).
Berdasarkan keterangan Telkomsel, kode OTP ini digunakan untuk meneruskan SMS dan panggilan telepon ke nomor yang diinginkan. Dengan demikian, pengguna nomor tersebut akan menerima panggilan telepon dan SMS yang diterima nomor telepon pengirim kode USSD.
"Ternyata itu kode kita sedang forward data telepon kita ke dia [...] Gw udah call ke Telkomsel buat minta kode menonaktifkan forwarding (pemindahan) data. Alhamdulillah bisa," tulis Maia saat itu lewat akun Instagramnya. Namun kini tulisan tersebut telah dihapus oleh Maia.
Pengamat Keamanan Siber dari Vaksin.com, Alfons Tanujaya menduga dalam baris kode USSD tersebut, pelaku juga menyertakan kode untuk mengakifkan SMS forward (layanan penerusan SMS).
"Menurut pengakuan dia dikelabui untuk mengaktifkan call forward. Tapi secara teknis untuk mencuri OTP membutuhkan SMS. Sehingga patut diduga (kode) call forward tersebut ikut mengaktifkan SMS forward," ujar Alfons saat dihubungi CNNIndonesia.com, Senin (30/12).
Ketika isi SMS diteruskan ke pelaku, maka pelaku bisa mudah mendapatkan kode OTP yang masuk ke inbox Maia. Ketika hal ini terjadi, seluruh akun media sosial, dompet digital, media sosial, email hingga ecommerce yang tersambung ke nomor ponsel itu terancam serangan peretas.
[Gambas:Video CNN]
Lebih lanjut, Alfons mengimbau agar pengguna selalu berhati-hati karena peretas saat ini memiliki berbagai variasi serangan siber. Ia mengatakan pengguna harus berhati-hati saat diminta untuk memasukkan kode USSD oleh orang asing.
"Kalau selama ini kan harus hati-hati jangan memberikan kode yang diterima dari pesan singkat. Sekarang bertambah lagi dengan tidak mengikuti permintaan memasukkan kode atau angka dan mengirimkannya," katanya.
Alfons mengatakan selain rekayasa teknik, pelaku juga menggunakan rekayasa sosial untuk mendukung modusnya. Rekayasa sosial tersebut akan mendorong korban untuk melakukan hal-hal yang diminta oleh pelaku.
"Misalnya driver atau penipu berpura-pura dalam posisi kesusahan dan minta tolong jadi orang susah dan korban akan dibuat kasihan sehingga mau membantu," ujar Alfons.
Alfons kemudian menyarankan agar tidak menyimpan kartu kredit di dalam e-commerce. Sebab, sekali akun diretas, maka penipu bisa menggunakan kartu kredit tersebut.
"Sekali akun kebobolan maka penipu akan bisa melakukan transaksi mengakses dan menggunakan nomor kartu kredit yang disimpan tersebut karena persetujuan transaksinya umumnya juga dilakukan via SMS yang telah dikuasai oleh penipu," kata Alfons.
Kasus ini terungkap setelah Maia bercerita lewat akun media sosial Instagram. Menurut penuturannya saat itu ia hendak memesan layanan pesan makanan yang dimiliki perusahaan GoJek itu, Kamis (26/12) kemarin. Namun si driver mengklaim kendaraannya mogok dan mengusulkan untuk mengganti pengemudi. (jnp/eks)
No comments:
Post a Comment