Sejak 20 Desember 2022 Direktorat Tindak Pidana Siber (Dittipdisiber) Bareskrim Polri telah menerima laporan terkait penipuan berkedok modifikasi APK dan link phishing tersebut, bahkan sudah ada 29 laporan lainnya yang diterima kepolisian di wilayah.
Menurut literatur, phising adalah upaya untuk mendapatkan informasi data seseorang dengan teknik pengelabuan. Sedangkan data yang menjadi sasaran phising adalah data pribadi (nama, usia, alamat), data akun (username dan password), serta data finansial.
Phishing berasal dari bahasa Inggris fishing, yaitu memancing. Kegiatan phising memang bertujuan memancing orang untuk memberikan informasi pribadi secara sukarela tanpa disadari. Informasi yang dibagikan tersebut akan digunakan untuk tujuan kejahatan.
Dalam kasus ini, pelaku penipuan menggunakan modifikasi APK mengirim pesan lewat WhatsApp yang berisi link (tautan) berisi kalimat-kalimat yang membuat penerima tergerak untuk mengklik link tersebut, seperti resi pengiriman paket, promo perbankan, atau link facebook live.
Oleh karena itu, bagi yang punya hobi belanja daring harus cermat dan teliti apabila menerima pesan WhatsApp dari nomor kontak yang tidak dikenal, jangan asal atau langsung mengeklik pesan yang dikirim oleh orang yang tidak dikenal atau orang yang tidak ada dalam daftar kontak ponsel.
Hal yang perlu dipastikan ketika menerima pesan berisi link resi pengiriman paket adalah apakah pada hari itu sedang melakukan transaksi belanja daring. Kalau tidak ada abaikan pesan, jangan membuka atau mengekliknya, lalu cek lokapasar terlebih dahulu apakah barang sudah benar-benar diproses.
Sejak laporan diterima, terdapat 493 nasabah bank yang melapor telah menjadi korban penipuan link phishing dan modifikasi APK tersebut dengan total kerugian seluruh korban mencapai Rp12 miliar. Kerugian paling besar dialami salah satu nasabah hingga Rp700 juta.
Bentuk satgas khusus
Menindaklanjuti situasi tersebut, Kapolri Jenderal Pol. Listyo Sigit Prabowo telah memerintahkan jajarannya bergerak cepat dengan membentuk satuan tugas (Satgas) perkara penipuan berkedok modifikasi Android Package Kit atau APK, berdasarkan Surat Perintah Kapolri Nomor: Sprin/3643/XII/RES.2.5.2022, tanggal 23 Desember 2022.
Tim Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri bersama Polda jajaran pun kemudian bergerak melakukan pengungkapan. Alhasil pada 7 Desember 2022 tim menangkap salah satu pelaku penipuan berkedok APK di Sulawesi Selatan.
Dari penangkapan tersebut, dilakukan pendalaman hingga berkembang ke tersangka lainnya. Diketahui pula, praktik penipuan ini dilakukan oleh komplotan yang tidak hanya melibatkan satu pelaku saja, tapi belasan orang dan tempat untuk mengoperasikan kegiatan penipuan tersebut tidak berada di satu lokasi, tapi terpencar di sejumlah daerah.
Dari penangkapan pelaku pertama, satgas bergerak menangkap satu orang pelaku di wilayah Makassar pada tanggal 7 Desember 2022. Kemudian, penangkapan berlanjut di tanggal 13 Desember 2022, menangkap satu orang pelaku.
Pengembangan terus dilakukan, tanggal 31 Desember 2022 ditangkap enam orang pelaku di Palembang. Masih di kota yang sama, satgas menangkap empat orang pelaku lainnya tanggal 3 Januari 2023 dan tanggal 5 Januari ditangkap satu pelaku di Banyuwangi.
Sehingga total ada 13 orang pelaku yang telah ditangkap dan ditetapkan sebagai tersangka. Masing-masing mereka punya peran dan tugas yang berbeda-beda. Tiga orang berperan sebagai developer APK, yakni RR, WEY dan AI. Sedangkan 10 orang lainnya ada yang berperan sebagai agen database, social angineering, penguras rekening dan penarikan uang.
Kesepuluh tersangka, adalah AK, AD, E, S, R, W, R, RK, NP dan H. Selain itu, masih ada 20 orang pelaku lagi yang masih dalam pengejaran petugas. Mereka telah masuk dalam daftar pencarian orang (DPO).
Direktur Tindak Pidana Siber (Dirtipdisiber) Bareskrim Polri Brigjen Pol. Adi Vivid Agustiadi Bachtiar, Kamis (19/1), menerangkan modus yang dilakukan para pelaku adalah memodifikasi aplikasi, salah satunya aplikasi paket pengiriman, paket dalam layanan perbankan yang dikirim kepada korban yakni nasabah dari salah satu perbankan.
Nasabah yang jadi korban adalah mereka yang memiliki aplikasi mobile banking (M-baking) di ponselnya. Dengan mengirim pesan berisi resi paket pengiriman apabila diklik tautan tersebut maka menjadi akses bagi pelaku untuk mencuri data nasabah mulai dari kata sandi satu kali (OTP), hingga nama pengguna dan kode rahasia melalui modifikasi APK yang terpasang otomatis di ponsel pengguna tanpa diketahui.
“Jadi setelah kita klik, otomatis pelaku mendapat data tentang OTP kita dan segala macam,” kata Vivid.
Dari hasil penyidikan yang dilakukan, korban kebanyakan adalah nasabah bank milik pemerintah. Penyidik Dittipidsiber Bareskrim Polri masih mendalami apakah ada keterlibatan orang asing dalam pengoperasian modifikasi APK tersebut, termasuk dari mana pelaku mendapatkan data user dan password nasabah, hingga nomor identifikasi pribadi atau Personal identification number (PIN) untuk mengambil dan menguras uang nasabah.
Dalam kasus ini, pihak kepolisian mengingatkan bank untuk memperkuat sistem keamanan datanya agar data-data nasabah tidak mudah dicuri oleh pelaku kejahatan.
Pencegahan
Kejahatan penipuan modifikasi APK dan link phishing ini terus berkembang, setelah diungkap penipuan berkedok resi paket, kini muncul penipuan modifikasi APK berkedok undangan pernikahan.
Wakil Direktur Tindak Pidana Siber (Wadirtipidsiber) Bareskrim Polri Kombes Pol. Dani Kustoni membagikan tips agar masyarakat tidak mudah menjadi korban dari komplotan penipuan tersebut.
Ada beberapa modus operandi yang dilakukan oleh para pelaku, salah satunya dengan melakukan social angineering atau tindakan kejahatan yang memanipulasi psikologis korban untuk mendapatkan akses pada informasi pribadi atau data-data berharga.
Oleh karena itu, upaya yang dapat dilakukan untuk terhindar dari pelaku penipuan ini adalah tidak mudah mengklik link yang tidak jelas, apalagi dikirim oleh orang yang tidak dikenal. Sebab, biasanya pelaku mengirimkan satu link dengan kata-kata menarik yang harapannya adalah calon korban bisa mengklik link tersebut. Jadi, bila menerima pesan seperti tersebut di atas agas diabaikan saja.
Upaya lainnya, dengan melakukan koordinasi atau menanyakan kepada pihak perbankan apabila menerima pesan berisi informasi perbankan. Tanyakan apakah ada anomali dalam transaksi perbankan yang dimiliki.
Kemudian, segera menghapus link yang dikirimkan oleh nomor tidak dikenal, lalu memblokir nomor tersebut, agar si pengirim tidak bisa lagi mengirimkan pesan serupa.
Selain itu, perlu mengecek secara berkala aplikasi yang terpasang di ponsel masing-masing, apabila ada aplikasi asing yang tidak dikenal segera dilakukan uninstal (lepas pemasangan) dan dihapus.
“Tetap lakukan pengecekan ke perbankan, atau M-banking atau internet banking yang ada di ponsel masyarakat apabila merasa sudah terlanjur menginstal aplikasi apakah ada anomali atau transaksi yang tidak pernah dilakukan, segera laporkan kepada kepolisian,” kata Dani berpesan. (*)
Berita ini telah tayang di Antaranews.com dengan judul: Teliti sebelum mengeklik pesan untuk hindari phising
