Akun Whatsapp Kok Bisa Diretas, Ya? Sebuah Pelajaran dari Dua Menteri
Sejak awal 2021, banyak beredar pesan di platform Whatsapp berisi permintaan agar kode voucer ”game” yang ”nyasar” dikirim lagi. Itulah awal peretasan akun. Jika tak hati-hati, bukan hanya kita, relasi juga dirugikan.
Oleh
Nina Susilo
·4 menit baca
Pada awal Februari 2021 ini, Menteri Koordinator Bidang Pembangunan Manusia dan Kebudayaan Muhadjir Effendy mengumumkan penggantian nomor telepon selulernya. Penggantian sementara dilakukan setelah akunnya di platform percakapan Whatsapp atau WA diretas.
”Saya pikir, semua orang yang minta tolong itu tidak ada yang mau menipu,” ujarnya sekilas menceritakan kejadian tersebut baru-baru ini.
Sejak awal 2021, memang marak beredar pesan di platform Whatsapp yang berisi permintaan supaya kode voucer game yang nyasar dikirimkan kembali. Umumnya, ejaan yang digunakan dalam pesan tak terlalu baik. Gambar profil pun menampilkan seorang perempuan berseragam pegawai toko ritel, seperti Indomaret dan Alfamart.
Apabila dicek di kotak pesan singkat, biasanya muncul juga pesan layanan singkat (SMS) dari Whatsapp bertuliskan huruf Thailand dan nomor kode verifikasi atau kata sandi sekali pakai yang terdiri dari empat hingga enam digit karakter (one-time password/OTP) tertentu. Ketika nomor OTP tersebut kita kirimkan kepada orang tak dikenal itu, biasanya akun Whatsapp kita pun terambil alih alias tak bisa diakses.
Saya pikir, semua orang yang minta tolong itu tidak ada yang mau menipu.
Menteri Pemuda dan Olahraga Zainuddin Amali punya cerita lain saat diretas akunnya. Ia pun mengaku pernah menerima pesan serupa. ”Saya cepat blokir dan hapus saja,” ujarnya.
Sejauh ini, pengambilalihan akun ini kerap kita sebut hacking. Padahal, sesungguhnya kejahatan siber ini tak menggunakan teknologi mutakhir sama sekali. Pelaku hanya mendaftarkan akun Whatsapp dengan nomor yang dimiliki, lalu menghubungi orang yang memiliki nomor tersebut untuk mendapatkan OTP.
Masalahnya, OTP dikirimkan dalam bahasa tak dikenal sehingga tersamar. Selain itu, narasi yang disiapkan adalah permintaan tolong untuk mengirimkan kode voucer game. Untuk mendukung narasi itu, dipasang gambar profil perempuan berseragam. Apabila rasa kasihan dan kebaikan hati mendominasi, OTP bisa diberikan secara sukarela.
”Social engineering”
Korban yang tidak sadar dengan social engineering ini bisa terkena (tipu).
Hal ini, kata pakar digital forensik Ruby Alamsyah, murni kejahatan siber dengan modus social engineering. Untuk mendapatkan kepercayaan korban, biasanya ada tawaran hadiah, ada kepanikan yang dilontarkan, atau diciptakan kondisi yang diinginkan pelaku.
”Korban yang tidak sadar dengan social engineering ini bisa terkena (tipu),” ujarnya.
Modus ini bisa dilakukan di platform daring apa pun yang memiliki metode otentifikasi dua faktor, yakni kata kunci saat login dan OTP.
OTP memang kata kunci dinamis yang disiapkan sistem melalui algoritma tertentu. OTP hanya berlaku untuk masa singkat tertentu dan semestinya menjadi pengaman lapis kedua. Namun, melalui narasi yang dibangun untuk membuat lengah, OTP bisa tanpa sadar diberikan.
Dua Waspada
Di masa pandemi, berbagai aktivitas dilakukan di platform-platform digital. Urusan perbankan menggunakan mobile banking atau internet banking. Menjual atau membeli barang dikerjakan di marketplace.
Supaya lebih aman, Ruby menyarankan dua hal supaya tak menjadi korban. Pertama, informasi terkait e-banking, m-banking, atau kartu kredit serta data diri jangan terlalu mudah diberikan kecuali atas permintaan sendiri.
Pasalnya, sudah banyak pula surat elektronik yang mengatasnamakan Apple atau Google Playstore yang menyebutkan pembelian perangkat lunak (software) tertentu dan jika tidak ada pembelian, penerima surel diminta mengklik file tertentu. Umumnya, penerima surel akan panik dan segera mengikuti permintaan tersebut. Permintaan mengisikan data pribadi seperti nama, tanggal lahir, nomor kartu kredit, bahkan menyertakan foto kartu kredit pun bisa dilakukan tanpa sadar.
Pernah juga muncul pesan yang menyebutkan hadiah tumbler dari waralaba penjual kopi Starbucks. Dalam link yang disertakan, permintaan untuk mengisikan data pribadi dan nomor kartu kredit juga muncul. Kegembiraan mendapat hadiah dimanfaatkan para pelaku social engineering atau tukang tipu untuk menyedot informasi penting. Tak ada angin, tak ada hujan, kartu kredit bisa dengan mudah dibobol.
Dua hal supaya tak menjadi korban. Pertama, informasi terkait e-banking, m-banking, atau kartu kredit serta data diri jangan terlalu mudah diberikan kecuali atas permintaan sendiri.
”Permintaan informasi terkait hal-hal itu harus diwaspadai, kecuali itu permintaan kita sendiri,” tutur Ruby.
Kedua, semua data kata kunci ataupun OTP untuk login platform-platform digital sebaiknya tidak diberikan kepada orang lain. Lengah akan membuat akun kita mudah dibobol.
”Kesadaran keamanan berteknologi, baik di perbankan digital maupun pada platform-platform digital ini sangat diperlukan. Apalagi di masa pandemi, para pelaku semakin getol karena banyak calon korban,” ucap Ruby.
Saat ini, lanjutnya, para pemilik platform digital sudah membeli sistem keamanan yang tinggi. Namun, kebanyakan pelaku kriminal siber mencari celah pada pengguna. Faktor kegembiraan, kepanikan, atau kebaikan hati bisa dimanfaatkan. Karena itu, jika tak waspada dan tidak menyadari kalau sedang menghadapi penipu, bisa saja kita pun dapat menjadi korban berikutnya. Tentu, Anda tidak mau, kan?