Apa Itu Kode OTP yang Bisa Dicuri dalam Modus Penipuan Link Undangan Nikah di WhatsApp?

KOMPAS.com - Modus penipuan online terus berkembang. Terbaru, terdapat modus penipuan melalui link undangan nikah yang dibagikan di WhatsApp. Link undangan nikah penipuan di WhatsApp itu tidak berisi sebagaimana mestinya.

Alih-alih berisi informasi pernikahan, link tersebut mengandung file aplikasi dengan format APK (format aplikasi untuk ponsel Android). Penipuan undangan nikah di WhatsApp ini sangat membahayakan dan merugikan pengguna.

Saat link undangan nikah penipuan di WhatsApp dibuka dan pengguna tergerak untuk menginstal aplikasi APK yang dibawanya, aplikasi tersebut dapat mencuri kode OTP akun bank untuk menguras isi rekening pribadi. Modus penipuan ini sendiri telah menelan korban.

Derasmus Kenlopo, warga Kelurahan Naimata, Kecamatan Maulafa, Kota Kupang, Nusa Tenggara Timur (NTT), menjadi salah satu korban modus penipuan undangan nikah di WhatsApp. Akibatnya, ia kehilangan uang Rp 14 juta.

"Uang saya Rp 14 juta dalam rekening, sekarang hanya tersisa Rp 25.000," kata Derasmus dikutip dari Kompas.com.

Dengan adanya korban, lantas apa itu kode OTP yang bisa dicuri oleh link undangan nikah penipuan di WhatsApp untuk menguras rekening bank pengguna. Untuk lebih lengkapnya, berikut adalah penjelasan mengenai kode OTP.

Apa itu kode OTP yang bisa dicuri link undangan penipuan nikah di WhatsApp?

Seperti namanya, One Time Password code atau kode OTP adalah sistem pengamanan akun yang bersifat sekali pakai (dalam waktu terbatas) pada platform digital. Kode OTP berbeda dengan password biasa yang digunakan untuk mengautentikasi akun.

Beda dengan password akun, kode OTP berganti secara otomatis setiap sesi login akun. Kode OTP umumnya terdiri dari empat hingga enam digit angka atau huruf. Kode tersebut berfungsi untuk mengautentikasi akun setelah memasukkan password saat login.

Kode OTP bisa dibilang berperan sebagai pengaman tambahan di samping password biasa. Empat hingga enam digit angka atau huruf yang membentuk kode OTP bukanlah dibuat secara mandiri oleh pengguna, melainkan diberikan sistem platform digital secara otomatis.

Kode OTP secara otomatis bakal dibuat oleh sistem dari platform digital. Saat hendak login, kode OTP bakal dikirim ke nomor telepon via SMS atau alamat e-mail yang digunakan pengguna untuk membuat akun.

Dikutip dari Techtarget, kode itu harus dimasukkan dalam batas waktu tertentu, biasanya 30 detik atau 60 detik. Jika lewat dari itu, kode OTP tak akan bisa digunakan dan pengguna perlu meminta lagi untuk dikirim yang baru.

Selain mengautentikasi akun, kode OTP juga biasa dimanfaatkan untuk mengamankan transaksi pada platform digital. Misal, supaya bisa transfer dana dari platform digital, pengguna perlu memasukkan pula kode OTP selain PIN.

Seperti yang dijelaskan di atas, kode OTP untuk mengautentikasi transaksi itu juga akan dikirim platform digital via SMS ke nomor telepon akun terkait. Bila kode OTP tersebut dikirim melalui SMS, lalu bagaimana itu bisa dicuri?

Dalam modus penipuan undangan nikah di WhatsApp, kode OTP dari akun bank bisa diperoleh pencuri ketika pengguna melakukan pemasangan atau instal aplikasi APK yang terdapat dalam link.

Mekanisme pencurian isi rekening via link undangan nikah penipuan di WhatsApp

Alfons Tanujaya, seorang pengamat keamanan siber dari Vaksin.com mengatakan ketika aplikasi APK dari link undangan nikah palsu diinstal, sistem ponsel bakal mengonfirmasi apakah pengguna yakin akan menginstal aplikasi itu.

Sebab, aplikasi APK tersebut merupakan aplikasi dari luar toko aplikasi resmi Play Store yang tidak disarankan untuk diinstal karena berpotensi membahayakan pengguna.

Kemudian, ketika menginstal, terdapat pula peringatan bahwa aplikasi meminta akses ke berbagai data dan layanan seperti SMS. Bila peringatan ini diabaikan dan pengguna tetap menginstal maka aplikasi APK itu bisa mengakses ke layanan SMS di ponsel.

Alhasil, kode OTP atas akun tertentu yang dikirim pihak bank via SMS bisa dibaca oleh aplikasi APK dari link undangan nikah penipuan. Kode OTP yang diperoleh pencuri ini akhirnya melengkapi beberapa data lain untuk bisa menguras rekening korban.

Supaya bisa mencuri isi rekening korban, pelaku membutuhkan beberapa data seperti nama pengguna, password platform digital dalam hal ini adalah mobile banking, PIN persetujuan transaksi hingga kode OTP.

Lain halnya dengan kode OTP, menurut Alfons, data akun bank pengguna tidak diperoleh oleh pencuri melalui aplikasi APK. Penipuan online dengan modus undangan digital kemungkinan masih berkaitan dengan kasus phising pada pertengahan tahun 2022.

Saat itu, marak penipuan tentang kenaikan biaya transfer bank hingga Rp 150.000. Mereka yang tidak setuju dengan kenaikan tersebut diminta untuk mengisi formulir. Data dari formulir inilah yang dimanfaatkan oleh pelaku dalam kasus penipuan baru-baru ini.

Dengan kata lain, data-data kredensial akun bank dari sejumlah nasabah sudah bocor lebih dulu ke tangan penipu.

"Pada aksi phishing sebelumnya pada pertengahan tahun 2022, banyak korban pengguna m-banking yang tertipu dan memberikan kredensial m-banking kepada penipu karena diancam akan dikenai biaya transfer bulanan Rp. 150.000," kata Alfons kepada KompasTekno, Sabtu (28/1/2023).

Lebih lanjut, Alfons mengatakan kemungkinan yang kedua sumber data akun bank nasabah juga bisa diperoleh penipu dari adanya kebocoran sistem penyelenggara m-banking.

"Kemungkinan kedua, pengelolaan dan pengamanan data kredensial dari penyelenggara m-banking kurang baik, sehingga kredensialnya bisa bocor dan jatuh ke tangan penipu," ujar Alfons.

Kemungkinan lainnya adalah para penipu saling berbagi data kredensial akun bank yang sudah didapat sebelumnya. Dari sejumlah data itu dan digabung dengan kode OTP yang dicuri via aplikasi APK, pelaku bisa dapat akses ke akun bank serta menguras isinya.

Mengingat adanya kasus formulir phising pada pertengahan 2022, data kredensial akun bank milik pengguna yang telah mengisinya bisa diasumsikan telah bocor. Sebab itu, Alfons memberikan beberapa saran pada pengguna yang merasa telah mengisi formulir tersebut.

Alfons menyarankan masyarakat agar segera mengganti password dan PIN persetujuan transaksi m-banking. Pengguna juga bisa mengganti akun atau memilih penyedia m-banking yang berbeda agar lebih yakin data aman dari phising sebelumnya.