TEMPO.CO, Jakarta - Saat ini ada modus baru pembobol mobile banking atau m-banking lewat undangan pernikahan online. Tapi dari mana para penjahat siber itu bisa mendapatkan kredensial mobile banking korbannya?
Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, menduga kemungkinan antarorganisasi kriminal saling berbagi database untuk dijadikan sasaran atau ada database bank pengguna m-banking yang bocor.
Baca: Rekening Nasabah Rp 320 Juta Dibobol, Bos BCA: KTP, ATM, Buku Tabungan, PIN Itu Nyawa Kedua
Alfons menjelaskan, surat undangan pernikahan itu sebenarnya mengandung APK (berkas paket aplikasi Android yang digunakan untuk mendistribusikan dan memasang software dan middleware ke ponsel) dari luar Play Store. Jika diinstal, maka kredensial One Time Password atau OTP bisa dicuri dari perangkat korbannya.
Padahal, menurut Alfons, ketika APK Android berbahaya ini dijalankan, sebenarnya akan muncul beberapa peringatan, seperti 'menginstal aplikasi dari luar Play Store sangat berbahaya dan tidak disarankan'.
Saat peringatan itu diabaikan, kata dia, peringatan lain akan tetap muncul ketika memberikan akses SMS kepada aplikasi yang ingin diinstal. “Termasuk data dokumen dan foto perangkat kepada aplikasi berbahaya yang di instal tersebut,” ucap Alfons lewat keterangan tertulis pada Sabtu, 28 Januari 2023.
Selain itu, kemungkinan besar karena masyarakat tidak terbiasa memperhatikan peringatan saat instal aplikasi, maka aplikasi jahat pencuri data akan tetap terinstal dan menjalankan aksinya. Karena pengguna ponsel biasanya mudah sekali memberikan persetujuan (Allow) tanpa membaca dengan teliti dan mengerti akibat dari persetujuan yang diberikan.
Selanjutnya: Alfons menuturkan, sebenarnya....
