Penulis:
Upaya penipuan melalui WhatsApp masih sering terjadi, dengan pelaku cenderung menggunakan metode social engineering atau manipulasi psikologis untuk memperoleh akses informasi yang seharusnya bersifat terbatas.
Salah satu target utama pelaku adalah informasi yang dapat digunakan untuk melakukan pencurian rekening korban. Selama tahun 2023, penipuan dilakukan melalui pengiriman file APK yang disamarkan dalam tampilan foto paket, tagihan, pengumuman bank, hingga undangan pernikahan.
Dalam modus terbaru, pelaku mengeksploitasi momentum pemilu dengan mengirim file APK yang diklaim sebagai pemberitahuan lokasi Tempat Pemungutan Suara (TPS).
Semuel Abrijani Pangerapan, Direktur Jenderal Aplikasi dan Informatika di Kementerian Komunikasi dan Informatika (Kominfo), menekankan pentingnya untuk tidak mengunduh file APK yang mencurigakan.
“Jangan mengunduh APK. APK itu seperti program. Ketika Anda membuka itu, itu pasti akan mengunduh perangkat lunaknya,” ujarnya di acara Peluncuran Literasi Digital Publik 2022, sebagaimana dilaporkan oleh CNN Indonesia pada Minggu (21/1/2024).
Pemahaman ini ditekankan sebagai langkah pencegahan, karena file APK dapat menjadi pintu masuk bagi malware atau program berbahaya yang memungkinkan pelaku untuk mengakses ponsel korban dan mengumpulkan informasi yang diperlukan untuk melakukan pencurian, baik melalui rekening bank maupun dompet digital. Sampai awal 2024, beberapa riwayat penipuan online mencakup:
Modus Kurir dengan File APK
Hingga awal 2024, beberapa riwayat penipuan online telah terjadi, termasuk modus penipuan melalui imitasi kurir dengan menggunakan file APK, yang pertama kali menjadi viral pada akhir 2022.
Salah satu kasus ini terungkap melalui unggahan di Instagram oleh akun @evan_neri.tftt. Tangkapan layar chat Telegram menunjukkan interaksi dengan penipu yang mengklaim sebagai kurir dari J&T Express. Dalam percakapan tersebut, penipu mengirimkan lampiran dengan nama file ‘LIHAT Foto Paket’ kepada korban, namun sebenarnya berupa file APK.
Korban yang tidak waspada mengklik file tersebut dan mengunduhnya, menyebabkan saldo mobile bankingnya habis. Penting untuk dicatat bahwa korban tersebut tidak pernah menjalankan atau membuka aplikasi apa pun atau memberikan informasi login di situs lain.
Aplikasi tersebut kemungkinan berjalan di latar belakang dan dapat mengakses data korban, memberikan akses bagi penipu untuk mencuri informasi akun perbankan korban. Pihak J&T Express menegaskan bahwa mereka tidak pernah meminta pelanggan untuk mengunduh aplikasi melalui chat.
Modus Undangan Pernikahan APK
Penipuan dengan modus undangan pernikahan menjadi sorotan di akun Twitter @txtfrombrand. Dalam unggahannya, penipu mengirimkan file APK berjudul ‘Surat Undangan Pernikahan Digital’ berukuran 6,6 MB, dilengkapi dengan pesan “Kami harap kehadirannya.
” Akun @txtfrombrand mencatat penipuan ini sebagai modus baru setelah modus bukti resi. Penipu bahkan mengajak calon korban untuk membuka file APK tersebut, dengan alasan untuk memeriksa keaslian undangan yang diklaim ditujukan kepada mereka.
Modus Surat Tilang APK
Penipuan online dengan modus pengiriman file APK kembali muncul dengan dalih surat tilang melalui WhatsApp pada Maret 2023. Beberapa warganet membagikan tangkapan layar percakapan dengan kontak yang mengaku sebagai kepolisian dan menuduh penerima pesan melanggar lalu lintas.
Pengirim pesan meminta untuk membuka file berjudul ‘Surat Tilang-1.0.apk’ yang disertakan dalam pesan WhatsApp tersebut. Akun @MurtadhaOne1 memberi peringatan terhadap penipuan ini dan menyarankan agar tidak mengklik atau mendownload file dengan ekstensi “.apk” dari orang yang tidak dikenal di perangkat.
Modus Aplikasi MyTelkomsel Palsu
Penjahat siber kini mengadopsi modus dengan menyamar sebagai MyTelkomsel, aplikasi resmi dari operator seluler Telkomsel, dengan tujuan membuat pelanggan tertarik untuk mengklik file APK. Dalam modus ini, calon korban diminta untuk mengakses dan mengunduh file APK yang dikirimkan melalui pesan singkat.
Setelah proses instalasi selesai, para korban akan diminta memberikan izin akses ke beberapa aplikasi, termasuk foto, video, SMS, dan bahkan akun layanan perbankan digital atau fintech. Jika akses tersebut diberikan kepada pelaku, maka kemungkinan besar mereka dapat mengendalikan perangkat korban dan mengakses informasi rahasia seperti PIN, password, dan kode OTP.
Vice President Corporate Communications Telkomsel, Saki Hamsat Bramono, menegaskan bahwa Telkomsel tidak pernah meminta kode verifikasi dalam bentuk apapun, termasuk mengirimkan permintaan kepada pelanggan untuk mengunduh file APK. Beliau juga menyarankan agar pelanggan tidak langsung percaya pada penawaran hadiah dan tidak memberikan informasi data pribadi atau layanan jasa keuangan yang bersifat rahasia.
Modus Pengumuman Bank Palsu
Dalam modus penipuan lainnya, pelaku menggunakan pengumuman bank palsu yang mengatasnamakan lembaga keuangan tertentu. Korban kemudian diminta untuk mengirimkan file PDF yang seringkali berisi informasi tentang perubahan tarif transaksi dan transfer yang tidak masuk akal.
Pelaku memanipulasi psikologis korban dengan memberikan dua pilihan, yaitu setuju atau tidak setuju terhadap perubahan tersebut. Jika korban menolak, pelaku akan meminta korban untuk mengisi formulir yang terdapat dalam tautan atau link yang disertakan dalam pengumuman palsu tersebut.
Ketika korban mengakses tautan tersebut, aksi pencurian data akan segera dilakukan. Sebagai langkah pencegahan, disarankan agar korban tidak langsung setuju terhadap perubahan yang mencurigakan dan berhati-hati terhadap link atau tautan yang dapat mengarahkan pada pencurian data.
Modus VCS
Modus Video Call Sex (VCS) dari nomor yang tidak dikenal menjadi viral di media sosial dan berpotensi menjadi bahan pemerasan. Pengalaman ini dialami oleh akun Twitter @a.dewiangriani, yang menerima video call berulang kali dari nomor yang tidak dikenal pada Selasa (12/12/2023).
Meskipun telah mengabaikan panggilan tersebut tiga kali, pemilik akun akhirnya memutuskan untuk mengangkat panggilan yang keempat. Hasilnya, muncul seorang perempuan tanpa busana. Pakar keamanan siber, Alfons Tanujaya, menyatakan bahwa modus VCS dari nomor yang tidak dikenal ini merupakan bentuk ancaman dan pemerasan yang memanfaatkan ketidaktahuan seseorang tentang teknologi.
Alfons Tanujaya menyarankan untuk tidak langsung menanggapi ancaman tersebut, tetapi sebaliknya, jika ragu dan merasa diancam, sebaiknya menghubungi teman yang mengerti tentang teknologi untuk meminta bantuan dan menghadapi ancaman yang tidak dipahami.
Modus Aplikasi PPS PEMILU 2024 Palsu
Terbaru, modus penipuan menggunakan file apk telah menyamarkannya dengan nama “PPS PEMILU 2024”. Menurut Kominfo, file tersebut sebenarnya adalah modus penipuan.
Pemerintah Kabupaten Sukoharjo, melalui akun resmi Twitter @sukoharjo_kab, memberikan klarifikasi bahwa file apk “PPS PEMILU 2024” mirip dengan modus penipuan yang menggunakan apk undangan pernikahan.
Apabila file tersebut diklik dan di-install, apk tersebut akan meminta akses SMS. Dari situ, pelaku dapat memperoleh One Time Password (OTP) hingga username dan password mobile banking korban.
Untuk menghindari risiko seperti ini, Kominfo menyarankan masyarakat untuk mendownload aplikasi hanya dari toko aplikasi resmi, seperti Google Play Store atau App Store.
