Di tahun 2020 ini masih ada saja pembajakan akun dengan cara mengambil data user ID dan Password seorang user.
Secara logika cara ini sangat mudah dicegah. Namun seperti kata seorang teman, tidak semua orang teliti dan jeli, maka itu penipu masih punya kesempatan berhasil dalam usahanya mengetahui user ID dan password seseorang.
Teknik mengirimkan link yang sebenarnya tidak berhubungan dengan aplikasi yang dipakai korban, dan kemudian 'membuat' korban login kedalam aplikasi palsu tersebut, sementara dibalik layar (backend) aplikasi, system menerima user id dan password dan mengirimkannya ke aplikasi asli untuk login.Â
Jika login otomatis oleh aplikasi palsu ke aplikasi asli berhasil, berarti user ID dan password yang dipakai untuk aplikasi asli sudah terbaca oleh aplikasi palsu.Â
Selanjutnya, user ID dan password yang merupakan kunci untuk mengakses sebuah digital akun, dipakai untuk menggerayangi isinya, ibarat pencuri yang masuk ke rumah dan mengambil barang-barang berharga didalam rumah.
Salah siapa?
Menurut saya ada kesalahan dari user yang tidak memeriksa dengan teliti link yang dipakai untuk login. Tidak double check dengan provider aplikasinya menanyakan tentang produk yang ditawarkan terpisah lewat email atau tidak melalui aplikasi resmi. Ada kesalahan dari penyedia aplikasi juga, karena seharusnya mereka terus-menerus meningkatkan sistem keamanan aplikasinya.Â
Apalagi produk-produk aplikasi digital lain sudah menggunakan sistem pengamanan lebih canggih, misal dengan OTP.
Dan seharusnya secara implementasi ada pencegahan dari sistem agar user yang belum mengimplementasikan sistem keamanan yang baru, misal karena tidak memberikan nomor HP, sehingga OTP tidak dapat diimplementasikan, ada peringatan dari sistem untuk memperbaharui datanya, sehingga implementasi pengamanan sistem yang baru dapat terupdate bagi semua pengguna.
Bagaimana dengan kasus artis ME yang katanya kehilangan saldo gopay setelah menekan *21*[no telp]? Sementara menurut pejabat berwenang, kode *21* itu adalah fitur untuk "call forwarding".Â
Bukankah call forwarding itu adalah mengalihkan panggilan telepon ke nomor yang ditentukan? Apakah call forwarding ini juga dapat memforward kode OTP yang diterima via SMS (bukan panggilan telpon)?
Kalau dilihat dari nama atau istilahnya sih, call forwarding itu hanya untuk mengalihkan panggilan (call) saja. Paling mungkin adalah sms forwarding/SMS divert diaktifkan.Â
Mungkin setelah mendapatkan 'akses' ke nomor telepon utama, dimana telepon masuk diteruskan ke nomor lain yang sudah didaftarkan (dengan cara menjebak), si penjebak mengaktifkan sms divert/sms forwarding, yang kemudian memforward seluruh sms yang masuk.
Bagaimana caranya mengaktifkan sms forwarding tanpa konfirmasi dari HP yang nomornya didaftarkan? Mungkin ada yang pernah mencoba konfirmasi sesuatu dengan cara minta ditelpon ke nomor yang didaftarkan?Â
Dalam keadaan call forwarding/call divert diaktifkan, maka telpon yang masuk itu diterima oleh nomor telepon yang didaftarkan sebagai nomor kemana telepon dialihkan. Jadi kemungkinan metoda inilah yang dipakai si penjebak.
Dalam kasus call forwarding/call divert ini, sepertinya memang pihak penyedia aplikasi tidak bisa disalahkan, karena yang dibajak adalah akses telponnya bukan aplikasi Gojegnya.Â
Hanya saja ada baiknya jika aplikasi dilengkapi dengan analisa data otomatis untuk memberikan warning otomatis ketika menemui transaksi yang tidak biasa dibandingkan informasi sebelum-sebelumnya dan meminta pengguna untuk cek isi akun digitalnya.
Memang, bila sudah terjadi tak dapat bisa dicegah lagi. Namun, minimal, kita bisa mengetahui lebih cepat agar dapat ditangani segera.
Namun hati-hati juga dengan warning seperti itu. Karena beberapa kali saya menerima email berupa warning dari sebuah platform financial International yang mengatakan ada informasi tidak biasa pada akun digital saya dan ada link yang harus di klik. Ternyata linknya mengarah ke alamat yang lain.Â
Paling aman adalah login langsung ke alamat yang benar atau via aplikasi, tanpa menggunakan link yang diberikan, dan pastikan tidak ada transaksi 'gelap' pada akun fintech anda (VRGultom)
