Ilustrasi. [Foto: Finansialku]

DIALEKSIS.COM | Jakarta - Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, mengungkap adanya modus baru pembobolan mobile banking atau m-banking yang sedang marak terjadi. Modus tersebut menggunakan surat undangan pernikahan palsu. 

“Surat undangan pernikahan itu sebenarnya mengandung APK (berkas paket aplikasi Android yang digunakan untuk mendistribusikan dan memasang software dan middleware ke ponsel) dari luar Play Store yang jika diinstal akan mencuri kredensial One Time Password atau OTP dari perangkat korbannya,” ujar dia lewat keterangan tertulis pada Sabtu, 28 Januari 2023.

Menurut Alfons, ketika APK Android berbahaya ini dijalankan, sebenarnya akan muncul beberapa peringatan. Dia mencontohkan seperti menginstal aplikasi dari luar Play Store sangat berbahaya dan tidak disarankan.

Saat peringatan itu diabaikan, kata dia, peringatan lain akan tetap muncul ketika memberikan akses SMS kepada aplikasi yang ingin diinstal. “Termasuk data dokumen dan foto perangkat kepada aplikasi berbahaya yang diinstal tersebut,” ucap Alfons.

Alfons menuturkan, sebenarnya dengan instal aplikasi jahat itu tidak cukup untuk mengakses akun mobile banking korbannya. Karena mengakses akun mobile banking membutuhkan user ID, password M-Banking, PIN persetujuan transaksi, dan OTP yang didapatkan melalui APK jahat ini.

“Jadi yang menjadi pertanyaan besar adalah dari mana kriminal ini bisa mendapatkan kredensial mobile banking korbannya. Karena APK jahat ini hanya bisa mencuri SMS OTP,” kata Alfons. Dia curiga antar organisasi kriminal ada yang saling berbagi database atau ada database bank pengguna m-banking yang bocor.

Cara Mencegah Pembobolan M-Banking

Alfons memberikan tiga hal agar terhindar dari modus tersebut. Pertama, nasabah pengguna mobile banking jangan pernah menginstal aplikasi apapun yang tidak diketahui keamanannya. Aplikasi dari Play Store saja yang pada awalnya aman, kata dia, ketika melakukan update bisa disusupi program jahat.

“Apalagi aplikasi di luar Play Store yang tidak diawasi oleh Google,” tutur dia.

Kedua, Alfons melanjutkan, jika sering menggunakan mobile banking dan saldo di bank signifikan, ada baiknya mempertimbangkan menggunakan ponsel yang berbeda. Untuk mobile banking yang nomor telepon yang digunakan tidak diberikan kepada umum dan ponselnya tidak sembarangan di instal aplikasi atau di-install aplikasi yang sangat terbatas.

“Ketiga, pastikan penyedia mobile banking yang Anda gunakan memiliki pengamanan transaksi yang mumpuni,” ucap Alfons.

Sebenarnya, jika bank menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan mengambil alih akun m-banking. “Sekalipun berhasil mendapatkan semua kredensial dan OTP persetujuan transaksi,” kata dia.

Seharusnya, dia menjelaskan, jika sistem dan prosedur pengamanan mobile banking yang baik diterapkan, sekalipun username, PIN transaksi dan OTP berhasil dikuasai oleh penipu. Akun mobile banking masih tetap aman, karena untuk perpindahan akun mobile banking ke perangkat lain harus melewati verifikasi yang sangat ketat.

“Dan bisa mencegah penipu mengambil alih akun mobile banking,” tutur dia.

Dengan asumsi data pengguna m-banking ini sudah bocor, maka salah satu hal darurat yang harus dilakukan adalah segera mengganti password dan PIN persetujuan transaksi. Jika masih ragu, pertimbangkan untuk mengganti akun m-banking atau memilih penyedia m-banking dengan pengamanan lebih baik.

Adapun saran untuk bank penyedia layanan m-banking, dia meminta agar menerapkan verifikasi What You Have untuk perpindahan akun m-banking ke ponsel baru atau nomor ponsel baru. Jadi jangan mengandalkan verifikasi What You Know saja untuk memindahkan akun m-banking ke ponsel atau nomor ponsel baru.

“Verifikasi What You Have ini contohnya adalah verifikasi kartu ATM, KTP asli, fisik pemilik rekening. Sedangkan verifikasi What You Know adalah user ID, password, PIN persetujuan transaksi, dan kode OTP,” ucap dia.(Tempo)