PendahuluanÂ
Beberapa minggu terakhir ini lini masa saya banya bersliweran kasus hilangnya Saldo rekening bank setelah korban menerima pemberitahuan adanya pengiriman paket dan korban kemudian diminta untuk cek paket tersebut dengan menginstall APK (aplikasi android).
Dari "bau bau" nya ini adalah sebenarnya modus penipuan dengan beberapa teknik social engineering (soceng), user akan "digiring" untuk mengklik dan install aplikasi yang berisi payload yang memungkinkan aktifitas di smartphone korban dapat di remote dari jarak jauh. Sebenarnya ini mirip modus kasus kiriman WA yang seolah olah dari sebuah bank untuk meminta konfirmasi kenaikan biaya.
Bedanya ada di jebakannya, pada kasus APK jebakannya berupa file APK yang harus diinstal di hp korban, sedangkan kasus konfirmasi kenaikan biaya jebakanya ada di website yang didesain mirip dengan website asli bank tersebut.
Metodologi
Di sini saya ingin mencoba menjelaskan bahwa di kasus APK ini ada beberapa metodologi yang mungkin digunakan si penipu:
1. Metode dengan membangun backdoor yang ditumpangi payload remote access.
APK-nya sendiri bisa menggunakan APK yang sudah ada yang tersedia resmi di Google Playstore, misalnya APK WhatApp, APK Telegram, APK game, dll.
Tidak perlu secara spesifik jenis APK tertentu, semua APK bisa "ditempeli" payload ini, tinggal diset IP server penerima (listener) dan port listenernya.
Setelah jadi tinggal didistribusikan ke target dengan social engineering (soceng) tadi, entah pura-pura ngirim paket, ngirim makanan dll (pokoknya target harus install APK palsu tadi).
Nanti dari HP korban akan melakukan koneksi "Reverse TCP" balik ke server penipu. Dari sinilah kemudian mereka bisa akses ke handphone tanpa diketahui oleh si pemilik, umumnya mereka akan mencoba mencari SMS yang ada kode-kode OTP.
2. Metode dengan memanfaatkan aplikasi SMS fowarder, misalnya SMS to Telegram.
Aslinya aplikasi ini legal (bukan mengandung payload atau backdoor berbahaya) hanya memang disalah gunakan.
Aplikasi ini fungsinya adalah mengirimkan SMS yang diterima ke aplikasi Telegram. Tetapi disalahgunakan dengan "Membelokan" ke Telegram si penipu. Kalau ini digunakan modalnya cuma soceng murni, modal mulut berbusa-busa.
Kedua metode tersebut tujuan akhirnya adalah untuk mendapatkan One Time Password (OTP) yang biasanya digunakan pada transaksi perbankan melalui SMS ke user. Ketika penipu mendapatkan kode authorisasi tersebut, ya sudah rekening bisa dikuras.
Tetapi dari kedua metode tersebut, yang lebih berbahaya adalah nomor 1 karena dengan menggunakan RAT (remote acces tool) yang sudah ditanam di payload, penipu tidak hanya sekedar bisa mencuri OTP saja namun bisa mencuri apapun termasuk mencuri data privat lainnya, misalnya access message, folder foto, kontak bahkan mengaktifkan kamera HP dan mengambil foto secara diam-diam tetapi tanpa meninggalkan jejak di galeri foto.
Hebatnya tidak susah susah amat membuat backdoor semacam ini, kalau ada yang mengikutin channell IT Security Saya ada beberapa tools yang saya ulas untuk tujuan edukasi. Ya balik lagi, sehebat apapun tool-nya yang lebih hebat adalah social engineeringnya, kalau kita tidak terpengaruh penipu itu mau omong apa dan menggunakan nalar kita (tidak gampang percaya) maka aman-aman saja.
Penutup
Diakhir artikel saya ini, mungkin rekomendasi yang bisa saya sarankan untuk pencegahan adalah :
- Budayakan untuk mencari informasi, bertanya dan jangan mudah percaya orang ketika ada yang mengirim pesan dengan tautan apapun (meskipun itu keluarga/teman sendiri) karena tidak ada jaminan yang mengirim pesan adalah benar benar keluarga Anda. Lakukan crosscheck pokoknya, ya.
- Selalu ambil aplikasi mobile dari sumber yang terpercaya misalnya Google Playstore, Applestore.
- Gunakan aplikasi firewall dan proteksi untuk mendeteksi keluar masuknya data di smartphone.
- Hubungi saya untuk mendapat support (*becanda).
Salam Cyber Securiy , Stay Safe and Stay Connected.
