Saling Berbagi Modus Pencuri Akun Aplikasi
Selayaknya kehidupan nyata, dunia siber pun diisi tangan-tangan jahil. Untuk menghindarinya, perlu kepedulian bersama untuk saling mengedukasi. Media sosial pun menjadi sarana edukasi bersama.
Tampil sebagai anonim, pemilik akun Twitter @OTPDrama membagikan berbagai macam modus pelaku kejahatan yang mengincar kode sandi sekali pakai atau one-time password (OTP) berbagai akun aplikasi. Ia pun mengklaim dirinya sebagai mantan penipu.
“Ya maka itu, saya pakai Telegram supaya enggak bisa dilacak,” kata pemilik akun @OTPDrama yang bersuara lelaki di seberang sana, saat dihubungi Kompas dengan Telegram Call, Januari lalu.
Sejak unggahan pertama pada 13 Desember 2019, @OTPDrama sudah membagikan 674 kicauan hingga pertengahan Februari. Isinya berbagai macam modus yang dilakukan penipu untuk mencuri akun yang dipakai pengguna aplikasi, termasuk memperdaya pengguna aplikasi untuk mengirimkannya sejumlah uang.
Contohnya, pada 30 Desember 2019, tiga hari setelah musisi Maia Estianty membagikan pengalaman akun Gojek miliknya dibajak penipu di Instagram, @OTPDrama menulis satu rangkaian utas twit khusus mengenai call forwarding menggunakan kode *21*. Utas yang berisi 24 rangkaian kicauan tersebut mendapatkan 500 retweet dan likes dari para warganet.
Dengan detail, @OTPDrama menjelaskan dan memberikan contoh skenario yang dapat terjadi ketika penipu meminta kode OTP untuk menguasai akun aplikasi korban.
Selain membagikan modus penipu, @OTPDrama juga membagikan tips melindungi akun dari pembajakan penipu.
Salah satunya adalah modus pembajakan akun sopir ojek daring. Dengan mengaku sebagai staf layanan pelanggan atau customer service, pelaku memberitahukan sopir ojek daring yang menjadi target korbannya bahwa korban tidak bisa menarik uang hasil menarik ojek, dari aplikasi. Pelaku lalu meminta korban menyebutkan kode yang dikirim ke ponselnya lewat SMS. Padahal itu adalah kode OTP yang terkirim secara otomatis oleh sistem Gojek karena nomor korban didaftarkan oleh pelaku ke aplikasi Gojek yang baru.
Setelah berhasil, pelaku akan menggunakan akun sopir ojek daring sebagai sarana untuk menipu dan membajak akun pelanggan ojek daring. Untuk menjebak korbannya, pelaku akan melakukan tipu daya seperti meminta korbannya menyebutkan PIN yang dikirim ke ponselnya. Padahal PIN yang masuk adalah kode OTP untuk mengakses akun ojek daring korban.
“Si driver palsu (penipu) menelpon calon korbannya, kemudian ngomong begini; mbak mbak, bayar pakai Gopay lagi error nih, saya nggak punya cash (uang tunai). Kata restonya bisa bayar, tapi minta PIN yang dikirim sama resto ya mbak (padahal PIN itu OTP)," contoh tipu daya pelaku yang diunggah @OTPDrama.
Selain membagikan modus penipu, @OTPDrama juga membagikan tips melindungi akun dari pembajakan penipu. Salah satunya, pengamanan pada akun Whatsapp dengan memasang dua langkah verifikasi atau two-step verification berupa PIN.
Seperti halnya akun ojek daring, untuk menggunakan akun Whatsapp juga harus menggunakan OTP yang dikirimkan oleh sistem Whatsapp ke ponsel pengguna. Jika OTP akun Whatsapp itu dapat dikuasai pelaku kejahatan seperti pada pencurian akun ojek daring, maka akun Whatsapp akan digunakan pelaku sebagai sarana kejahatannya. Akun itu akan digunakan pelaku sebagai sarana untuk meminta uang yang kepada orang-orang yang terhubung dengan akun WA korban.
Namun selama akun WA itu dilindungi dengan pengamanan lapis kedua berupa pemasangan PIN, maka dibutuhkan waktu bagi pelaku untuk menemukan PIN tersebut. Tips ini pun memperoleh respons positif oleh sebagian akun twitter yang mengikuti @OTPDrama.
“Terimakasih sudah bikin gue aware sama masalah kayak begini. Langsung gue lock WA gue dong,” tulis @vousmevoyez267.
Hampir setiap hari, @OTPDrama membagikan beragam modus dan skenario yang dikembangkan pelaku untuk melancarkan kejahatannya di daring. Salah satunya modus mencuri akun aplikasi yang tujuannya untuk menguras saldo dompet digital di aplikasi tersebut.
Selain itu, di akunnya juga dibagikan modus pelaku dalam melakukan kejahatan di pasar daring. Salah satunya modus memperdaya korban untuk mentransfer sejumlah uang ke rekening pelaku. Ada pula unggahannya yang terbaru, yaitu modus pembobolan akun sekuritas.
Pemilik akun @OTPDrama mengungkapkan, ia sengaja membagikan modus-modus pencurian akun aplikasi agar pengguna aplikasi lebih peduli untuk menjaga akunnya. Apalagi, saat ini nomor ponsel dijadikan identitas untuk mendaftar di berbagai macam aplikasi, mulai dari akun perbankan, dompet digital, bahkan akun sekuritas untuk jual beli saham.
Menurut @OTPDrama, kesadaran melindungi akun harus tumbuh di kalangan pengguna aplikasi karena pelaku senantiasa menggunakan rekayasa sosial atau tipu daya untuk memengaruhi korban dengan tujuan korban memberikan kode sandi OTP. Kode itu yang digunakan pelaku untuk menguasai akun berbagai macam aplikasi milik korban.
“Kenapa aku buat akun @OTPDrama? Karena ini fokusnya adalah memberikan edukasi kepada masyarakat terkait modus penipuan ini. Kenapa? Karena yang menjadi masalah itu bukanlah sistemnya. Ini pakai teknik konvensional, benar-benar konvensional. Kayak aku dulu ini, aku benar-benar cuma modal ngomong (untuk menipu dan menguasai akun aplikasi korban),” kata @OTPDrama.
Dengan menggunakan media sosial, Muhammad Sabda Dzikriulloh (26) membagikan pengalamannya memancing penipu di kanal Youtube miliknya, Sabda Dz. Pemuda asal Bogor, Jawa Barat, ini mengisi kanalnya dengan video aksinya mengerjai para penipu. Hingga Februari 2020 ini, ada 198 video prank aksinya menjahili penipu yang sudah ia unggah.
“(Dengan kanal Youtube ini) Saya jadi belajar banyak modus penipuan. Manfaatnya, bisa ngasih tahu teman. Sekaligus, menjadi cara agar bagaimana caranya masyarakat tahu bahwa seperti inilah bentuk penipuan,” kata Sabda.
Lewat konten videonya, Sabda memancing penipu lewat hubungan telepon, untuk menunjukkan modus dan tipu daya yang dilakukan penipu. Seperti videonya yang berjudul “Penipu Kaget, Gue Nyamar Jadi Polisi Sekarang” telah ditonton hingga 1 juta kali.
Gugah kewaspadaan
Selain menampilkan kepiawaiannya memancing dan menjahili penipu, Sabda juga menyelipkan pesan kepada warganet yang menonton kontennya agar selalu tetap waspada terhadap berbagai macam modus penipuan. “Intinya adalah kita harus selalu waspada terhadap penipuan,” ucapnya pada salah satu konten video yang diunggah Sabda di kanal Youtube miliknya.
Di kolom komentar, beberapa warganet pun mengungkapkan, video yang dibuat Sabda cukup memberikan pengetahuan terkait modus yang dilakukan penipu. “Biar sekarang penipu-penipu sudah tidak bisa berkutik. Mantap mas. Membantu sekali yang belum tahu,” kata pemilik akun Game Android di kolom komentar salah satu konten video Sabda Dz.
Animo warganet yang besar pun mengantarkan Sabda mendapatkan hadiah dari Youtube, pada Agustus 2019, yakni sebuah ‘Silver Play Button’, penanda kanal Sabda Dz telah mencapai seratus ribu pelanggan.
Edukasi terkait ancaman kejahatan di siber juga dibagikan oleh Direktorat Tindak Pidana Siber, Bareskrim Polri, di Twitter dan Instagram dengan nama akun @ccicpolri. Kedua akun itu cukup memberikan peringatan kepada masyarakat terkait informasi apa saja yang harus tetap dijaga saat beraktivitas di ruang digital.
Menjaga kerasahasiaan kode OTP, contohnya, merupakan salah satu edukasi yang dikampanyekan @ccicpolri di Twitter dan Instagram. Lewat kedua akun itu, kepolisian menyarankan agar masyarakat melaporkan kejahatan siber yang dialaminya, di situs Patrolisiber.id.
Namun kedua akun resmi Polri ini tidak membagikan detail skenario yang dikembangkan pelaku untuk menjerat korbannya seperti yang dibagikan @OTPDrama dan Sabda.
Saling berbagi modus penipuan di daring juga dilakukan oleh warganet yang pernah nyaris menjadi korban, maupun yang sudah menjadi korban. Asya (36), salah satunya, membagikan pengalaman akun ojek daring miliknya yang nyaris dicuri penipu. Pengalaman itu ia alami dua tahun lalu dan dibagikan di dinding akun Facebook miliknya pada Januari 2018 lalu.
Unggahannya itu pun menarik perhatian teman-temannya di Facebook. Di kolom komentar beberapa dari mereka ada yang mengungkapkan mengalami kejadian serupa. "Persis seperti kisahku dan keponakanku. Hati-hati preeen," tulis Evi, salah satu teman di jejaring akun Facebook Asya.
Menjadi menarik lagi karena Asya turut mengunggah rekaman percakapannya dengan pelaku. Rekaman percakapan itu dengan sendiri menunjukkan ragam tipu daya yang dilakukan penipu.
“Saya ingat teman saya yang pernah merekam percakapan mereka di telepon dengan penipu. Begitu ada orang yang berusaha meminta kode OTP (akun ojek daring), saya langsung rekam percakapan itu,” jelasnya.
Asya mengaku bisa melindungi akun ojek daringnya dari pencurian karena sebelumnya dia juga pernah membaca bahwa OTP tidak boleh dibagikan kepada siapa pun. Oleh karena itu, ketika pelaku meminta ia menyebutkan kode tersebut, Asya pun meyakini orang tersebut adalah penipu yang berniat mencuri akun ojek daringnya.
Feli Sumayku, penyiar radio Hard Rock FM yang menjadi korban pembajakan akun Gojek, juga menjadikan media sosial sebagai wadah berbagi pengalaman pahit yang menimpanya. Kejadian itu menyebabkan saldo Gopay miliknya Rp 450.000 dikuras pelaku
Beberapa jam setelah akun Gojeknya dibajak pelaku pada 19 November 2019, Feli mengunggah pengalamannya di akun Instagram dan Twitter @nonafeli miliknya. Setiap detail pengalaman dia ceritakan mulai dari awal pemesanan, rekayasa sosial yang dilakukan pelaku, hingga pemulihan akun dari pihak Gojek.
“Kita nggak usah bicara nominalnya ya. Ini pelajaran saja kalau ternyata penipu-penipu itu memang sudah sangat amat pintar. Janganlah jadi bodoh kayak gue. Kalau ada kasus-kasus yang serupa mendingan dimatiin saja telponnya,” ujar Feli di akhir video unggahannya.
Unggahan tersebut mendapat banyak respon dari pengikut media sosial Feli di Instagram dan Twitter maupun warganet lainnya. Hingga 10 Februari 2020, unggahan Feli di Instagram TV telah mencapai 165.000 penonton dan 242 komen.
Dari unggahan itu pula, banyak warganet membagikan kisahnya tentang modus penipuan dan pembajakan akun ojek daring dengan modus serupa di kolom komentar.
"Sama mbak, aku juga kena tipu gitu. Dia (pelaku) telpon tiba-tiba. Namanya aku lagi sibuk jadi nggak terlalu pay attention (memperhatikan). Dia bilang aku dapat voucher Rp 1 juta dari Gojek. Dia bilang ada SMS kan dari Gojek. Nah dia minta kode verifikasinya. Karena saya lagi buru-buru, saya kasih," tulis Saras, salah satu pengikut akun Feli di Instagram, di kolom komentar.
Ada pula yang berkomentar bahwa uang hangus hingga Rp 1 juta karena terjerat penipuan serupa. "Uangku hangus sejuta lebih gara-gara ketipu kayak gini," tulis Nely .
Senior Manager Corporate Affairs Gojek, Teuku Pravinanda, mengatakan, pihaknya telah gencar melakukan edukasi kepada pelanggan maupun mitra Gojek agar tak memberikan kode OTP kepada siapapun.
"Edukasi dilakukan dengan memanfaatkan aplikasi, kanal resmi sosial media Gojek, dan juga media massa. Khusus untuk mitra driver (sopir), Gojek turut menyampaikan edukasi terkait hal ini melalui wadah Kopdar Mitra Driver Gojek yang diselenggarakan setiap 2 minggu sekali," jelasnya.
Hingga kini, ada banyak kanal aduan terkait penipuan di ruang digital, seperti yang disediakan Mabes Polri dalam portal Patroli Siber dengan alamat patrolisiber.id. Badan Regulasi Telekomunikasi Indonesia juga memiliki kanal pelaporan penipuan berbasis SMS, bernama @aduanBRTI di Twitter. Kementerian Komunikasi dan Informatika juga menyediakan situs cekrekening.id bagi warga yang ingin melaporkan rekening bank yang diduga digunakan penipu.
Akan tetapi, dari kanal-kanal pelaporan itu, belum ada yang memberikan informasi cukup detail terkait proses terjadinya penipuan. Modus yang digunakan penipu hingga proses pencurian atau pembajakan akun malah lebih banyak ditemukan pada cuitan yang diunggah di akun Twitter @OTPDrama, konten Youtube milik Sabda Dz yang menampilkan cara-cara memancing dan menangkal penipu, dan pengalaman para korban yang diunggah di akun media sosial mereka masing-masing.
Anggota Ombudsman RI Adrianus Meliala menyampaikan, saat ini masing-masing institusi pemerintah hiruk-pikuk menyediakan aplikasi laporan. Padahal di setiap aplikasi itu harus memiliki 4 hal, yakni perlu ada sosialisasi, ramah terhadap pengguna, terbarukan, dan juga menanggapi pengaduan.
“Nah itu (4 hal yang yang harus ada pada aplikasi laporan) ternyata tidak ada. Masing-masing (institusi pemerintah) sibuk dengan membuat aplikasi laporan, karena ini ada kaitannya dengan penyerapan anggaran,” jelasnya.
Ketua Yayasan Lembaga Konsumen Indonesia Tulus Abadi memandang, masih banyaknya konsumen tertipu di aplikasi pasar daring, transportasi, maupun aplikasi percakapan, akibat edukasi terkait pengamanan akun dari pengelola aplikasi yang masih rendah. Di sisi lain, literasi kita juga masih rendah sehingga mudah terjebak tipu daya pelaku.
“Konsumen nggak ngerti soalnya (melindungi diri dan akun aplikasinya). Literasi yang rendah di satu sisi, dan sisi lain edukasi yang kurang. Rata-rata konsumen menjadi korban karena dua hal itu,” jelasnya.
Selayaknya kehidupan nyata, dunia siber pun diisi tangan-tangan jahil. Untuk menghindarinya, perlu kepedulian bersama untuk saling mengedukasi, seperti yang dilakukan @OTPDrama dan Sabda.