JAKARTA – Pengguna e wallet Dana harap berhati-hati dengan aksi penipuan yang menjanjikan penukaran poin jadi saldo Dana.
Korban akan dihubungi oleh penipu yang memalsukan diri sebagai Customer Service Dana yang menawarkan penukaran poin menjadi saldo Dana atau voucher belanja. (lihat gambar 1)
Gambar 1, Korban dihubungi melalui Whatsapp untuk menukarkan poin Dana
Link yang digunakan akan mengarahkan ke situs phishing dan nekadnya penipu berani menggunakan domain .id yang dikelola oleh PANDI (Pengelola Domain Indonesia) sebagai situs phishing dengan tampilan yang sangat meyakinkan.
http://projek2.02lll.web.id/Formulirr-pnukarn-pooin/x.html
Situs phishing ini akan memberikan iming-iming penukaran poin dengan saldo Dana atau voucher belanja ratusan ribu rupiah untuk menjerat korbannya (lihat gambar 2).
Gambar 2, Situs phishing yang mencatut situs asli Dana dan menjanjikan penukaran poin dengan voucher belanja atau saldo Dana.
Jika korbannya tergiur dan mengklik [Lanjutkan], maka ia akan dibawa ke halaman yang akan meminta nomor ponselnya seperti pada gambar 3 di bawah ini.
Gambar 3, Layar phishing meminta nomor ponsel Dana
Setelah korban memasukkan nomor ponselnya, korban akan diminta untuk memasukkan PIN DANA. Data tersebut akan dikirimkan secara otomatis ke akun telegram penipu yang telah dipersiapkan dan langsung digunakan untuk login. (lihat gambar 4)
Gambar 4, Korban akan digiring untuk memasukkan PIN akun DANA
Sebenarnya sistem DANA sudah melakukan pengamanan tambahan yang cukup baik dan memenuhi standar karena menerapkan OTP SMS jika ingin mengganti nomor ponsel DANA. Karena itu rekayasa sosial ini akan dilanjutkan dengan meminta 4 digit OTP yang dikirimkan ke ponsel korban ketika penipu mencoba memindahkan akun DANA korbannya. (lihat gambar 5)
Gambar 5, Layar situs phishing meminta OTP
Jika OTP kembali dimasukkan oleh korban ke situs phishing, maka OTP tersebut akan langsung dikirimkan lagi ke akun Telegram penipu dan digunakan untuk memindahkan akun DANA korban ke ponsel penipu. Setelah berhasil mengambil alih akun, jelas penipu akan langsung beraksi menguras saldo DANA korban.
Penipu saat ini juga dengan berani menghubungi korbannya secara langsung, baik melalui Whatsapp chat maupun Whatsapp call dengan tujuan untuk menggiring korbannya memasukkan kredensial ke situs phishing.
Antisipasi
Melihat bahwa penipu berani menggunakan domain .id, hal ini mungkin perlu menjadi perhatian PANDI. Meskipun bukan salah PANDI atas aksi penipuan ini, namun ada baiknya PANDI memberikan perhatian lebih pada aksi phishing menggunakan domain .id, karena banyak perusahaan besar Indonesia menggunakan domain .id seperti dana.id sebagai situs resmi layanan sehingga masyarakat yang percaya dengan domain .id kemungkinan kurang waspada dan mudah menjadi korban jika situs phishing bisa menggunakan domain .id.
Mungkin PANDI bisa lebih pro aktif melakukan pemantauan atau membuat sistem seleksi pemberian domain yang lebih aman supaya domain .id ini tidak mudah disalahgunakan untuk aktivitas jahat. Kalau perlu menyaring lebih ketat khususnya untuk domain yang diberikan secara gratis dan menindak tegas pemilik domain yang menyalahgunakan atau tidak menjaga domainnya dengan baik sehingga bisa di salahgunakan untuk aktivitas penipuan.
Bagi anda yang mendapatkan domain phishing, khususnya mengincar layanan finansial bank dan dompet digital diharapkan dapat berpartisipasi melaporkan ke aduankonten.id untuk memblokir situs penipu tersebut dan pihak berwenang segera menindaklanjuti aksi penyalahgunaan domain sesuai hukum yang berlaku.
Jika anda pengguna dompet digital DANA, sebenarnya fitur yang diberikan oleh DANA sudah cukup mumpuni dimana setting sekuriti DANA sudah mengadopsi Passkey, OTP dan Sesurity Questions (lihat gambar 6).
Gambar 6, Setting sekuriti dana sudah menggunakan Passkey dan Security Questions
Namun ketika Vaksincom melakukan pengecekan, rupanya security questions yang unik seperti nama binatang peliharaan, tempat favorit atau informasi lainnya hanya digunakan ketika ingin mereset PIN yang terlupa ke Customer Service.
Seharusnya Security Questions ini digunakan sebagai verifikasi tambahan untuk mencegah pengambilalihan akun oleh penipu. Jadi setiap kali pemilik akun ingin berganti nomor ponsel atau pindah ponsel baru, DANA jangan hanya mengandalkan PIN dan OTP SMS karena dua hal ini bisa dicuri menggunakan situs phishing.
Tanyakan juga Security Questions yang hanya diketahui oleh pemilik akun dan harusnya pengguna DANA sebagai pemilik akun juga bisa sadar. Jangan memasukkan data khususnya PIN, OTP atau informasi apapun ke situs yang tidak anda ketahui keamanannya.
Lakukan akses layanan dombet digital hanya dari aplikasi resmi yang terinstal di ponsel anda dan jika ingin mengklik mengakses situs dari peramban, pastikan alamat situs yang anda klik adalah situs resmi dan jangan pernah mengklik tautan yang diberikan oleh siapapun.*
Alfons Tanujaya, Pengamat Keamanan Siber Vaksincom.
