Tipu Daya Copet Dunia Maya

Kejahatan dunia maya kian berkembang. Lubang keamanan yang tersisa selalu diburu sekelompok orang untuk mengeruk keuntungan, tidak peduli itu merugikan orang lain.

Kali ini, kode sandi sekali pakai atau one-time password (OTP) yang menjadi incaran penipu. Kode ini diburu sebagai modal untuk mencuri akun aplikasi yang menyimpan data percakapan dan saldo dompet digital.

Sebenarnya, teknologi yang digunakan tidaklah tinggi. Justru lebih banyak unsur tipu dayanya. Selama Januari 2020, tim harian Kompas menemukan, kecurian banyak dialami pemilik akun ojek daring dan akun percakapan Whatsapp.

Korbannya berasal dari berbagai kalangan. Mulai dari sopir dan pelanggan ojek daring, karyawan perusahaan, hingga penyelenggara negara.

kompas/priyombodo
Pengemudi Gojek dan sopir ojek lainnya, seperti Grab, sering menjadi sasaran pencurian akun aplikasi. Saldo dompet digital mereka dikuras oleh pelaku dan akunnya disalahgunakan untuk menipu pelanggan.

Panik. Begitulah respons sejumlah korban setelah akun aplikasi ojek daring atau Whatsapp mereka tiba-tiba keluar (log out) tidak lama setelah mereka menyebutkan OTP kepada seseorang di seberang telepon. Baru beberapa saat kemudian, mereka sadar telah terkena tipu daya copet akun aplikasi.

Mereka tidak bisa segera merebut kembali akun itu. Yang bisa mereka lakukan hanyalah menghubungi pengelola aplikasi untuk membantu mengambil alih akun yang telah dibajak. Sayangnya, setelah berhasil mengambil alih, saldo dompet digital telah lenyap dikuras si copet akun aplikasi.

Ibarat kunci, OTP digunakan untuk mengakses dan mengaktifkan berbagai macam akun aplikasi di ponsel. Meskipun diyakini penerapan kode sandi ini aman, nyatanya kode ini dapat dicuri para penipu. Mereka menyusup masuk dengan memanfaatkan berbagai macam aplikasi setelah menunggangi akun aplikasi orang lain.

Sebelum bisa menguras saldo digital pengguna layanan ojek daring, terlebih dahulu penipu mencuri akun aplikasi sopir ojek daring sekaligus menguras saldonya. Selanjutnya, akun aplikasi pengguna ojek daring yang berhasil dibajak, dimanfaatkan untuk melancarkan kejahatan berikutnya, yakni mengincar akun aplikasi lain.

Aksi pencopetan akun aplikasi ini memang tak ubahnya pencopetan di pinggir jalan atau terminal. Layaknya copet, pelaku pencurian akun aplikasi akan memanfaatkan kelengahan atau ketidakwaspadaan korban sebelum melancarkan tipu dayanya. Target mereka adalah mengetahui OTP agar bisa membajak akun aplikasi korban.

Banyak orang mengira proses pencurian akun menggunakan teknik tingkat tinggi, seperti diterapkan peretas (hacker) untuk menembus dinding pertahanan situs daring. Padahal, sebaliknya, pencuri akun aplikasi ini sebenarnya lebih banyak memanfaatkan kelihaiannya dalam memanipulasi calon korban.

Berangkat dari pengakuan Hanny (39), tenaga pengembang produk asuransi di Jakarta, yang hampir menjadi korban pencurian akun Gojek, Kompas mendapati bahwa pencurian akun ini lebih pada mengandalkan tipu daya. Plus, pengetahuan mengaktifkan akun aplikasi.

kompas/satrio pangarso wisanggeni
Foto ilustrasi seorang penipu mencoba melakukan penipuan dengan modus manipulasi psikologi atau dikenal sebagai social engineering untuk mendapatkan kode sandi sekali pakai atau one-time password (OTP) sebuah aplikasi.

Kalangan pegiat siber biasa menyebut tipu daya ini sebagai rekayasa sosial (social engineering). Sementara ahli kriminologi menyebutnya sebagai manipulasi psikologi.

Bagaimana pembajakan akun ini terjadi?

Kompas menemukan Hanny di Facebook. Di akunnya, ia membagikan pengalamannya yang nyaris menjadi korban pencurian akun Gojek.

Ditemui di kawasan Kuningan, Jakarta Selatan, akhir Januari lalu, Hanny mengungkapkan kisahnya. Pada 17 Januari 2020 pukul 23.00, ia memesan ojek motor menggunakan aplikasi Gojek dengan rute Blok M-Depok. Tarif Rp 63.00 ia bayar dengan dompet digital Gopay miliknya.

kompas/riza fathoni
Sejumlah penumpang KRL yang akan melanjutkan perjalanan dengan ojek daring menunggu kedatangan ojek mereka sembari berteduh di depan Stasiun Manggarai, Jakarta Selatan.

Pesanan itu direspons sopir Gojek atas nama AA Wahyu Supriadin. Belakangan, terungkap bahwa akun Wahyu telah dibajak 3 jam sebelum pelaku merespons akun Gojek Hanny. Wahyu sendiri berlokasi di Bandung, Jawa Barat.

Di tengah-tengah pesanan, pelaku kemudian menelpon Hanny dengan nomor ponsel berbeda, yakni 081373061858 dan mulai melancarkan tipu dayanya. Ia mengaku kesulitan menemukan posisi Hanny di peta aplikasi.

Pelaku kemudian meminta Hanny menyebutkan kode yang terkirim via SMS ke ponsel Hanny. Ia beralasan, kode itu dibutuhkan untuk memverifikasi posisi Hanny agar muncul di peta aplikasi Gojek.

Sebagai tenaga pengembang produk asuransi, Hanny paham bahwa kode yang diminta pelaku adalah OTP untuk memverifikasi dan mengaktifkan akun Gojek miliknya.

Isi SMS memuat kode aktivasi beserta nama pengirimnya, Gojek, disertai pesan agar kode OTP tidak diberikan kepada siapa pun. Hanny menolak permintaan tersebut, lalu membatalkan pesanan ojeknya. Pelaku pun gagal menguasai akun Gojek milik Hanny.

Saat itu, Hanny dan juga Kompas masih meyakini bahwa pelaku adalah AA Wahyu Supriadin, nama akun sopir Gojek yang mengambil pesanan Hanny. Tidak terlintas sedikit pun, ternyata ada penipu yang menunggangi akun sopir Gojek Wahyu untuk melancarkan kejahatannya.

Dialami banyak sopir

Kecurigaan baru muncul setelah Kompas menemui sejumlah sopir mitra aplikasi ojek daring. Mereka mengaku sudah sering menjadi target pencurian akun aplikasi.

Ada yang masuk ke dalam jebakan pelaku hingga mengalami kerugian ratusan ribu bahkan jutaan rupiah. Namun, ada pula yang dapat menangkalnya.

Yuyu (66), sopir mitra Gojek, mengatakan, selama 2019, sudah dua kali akun aplikasi Gojek miliknya dicuri penipu. Modusnya, pelaku memesan layanan Gofood yang diterima Yuyu. Pesanan kemudian dibatalkan di tengah-tengah proses.

Modus serupa dialami sopir ojek mitra Grab, Fadli (38). Akun Grab miliknya dicuri pada 2018 dan saldonya sebesar Rp 480.000 lenyap. Menurut dia, pelaku menggunakan modus memesan makanan, tetapi pesanan itu kemudian secara tiba-tiba dibatalkan. Proses selanjutnya persis seperti yang dialami Yuyu.

Saat ini, Fadli tidak terlampau khawatir lagi karena Grab telah menerapkan verifikasi wajah. Hal serupa diterapkan pada akun pelanggan.

”Adanya verifikasi wajah ini menyulitkan usaha pembajakan akun. Apalagi saat verifikasi, kita harus menganggukkan kepala,” katanya.

bareskrim polri
Direktorat Tindak Pidana Siber, Bareskrim Polri, membagikan peringatan agar masyarakat tak membagikan kode sandi sekali pakai atau one-time password (OTP) kepada siapa pun untuk melindungi akun aplikasinya dari pencurian. Peringatan ini dibagikan di akun Instagram Direktorat Tindak Pidana Siber, @ccicpolri.

Memancing pelaku

Kasus pencurian akun ojek daring mencuat setelah artis Maia Estianty membagikan pengalamannya di media sosial pada Desember 2019.

Untuk membuktikan modus yang dilakukan pencuri akun aplikasi, Kompas  mencoba menghubungi penipu yang berusaha mengambil alih akun Gojek milik Hanny di nomor 081373061858, nomor yang pernah dipakai pelaku untuk menghubungi Hanny.

Kompas sebelumnya membuat akun Gojek dengan nomor ponsel yang kemudian digunakan untuk menelepon pelaku. Kompas berpura-pura menggunakan layanan Gosend atau kirim barang berupa ponsel yang ordernya diambil oleh sopir atas nama AA Wahyu Supriadin. Perbincangan Kompas dengan pelaku terekam dalam video berikut:

Pelaku pada awalnya mengaku dengan jujur tidak merasa mengambil order tersebut. Namun, ia kemudian melihat kesempatan untuk membajak akun.

Sambil terus mengajak Kompas bercakap-cakap, diam-diam ia memasukkan nomor ponsel yang dipakai Kompas untuk membuka akun Gojek. Akses akun Gojek bisa dilakukan dengan memasukkan nomor ponsel atau alamat surat elektronik (e-mail).

Tidak lama, masuk SMS berisi kode OTP ke ponsel Kompas karena pelaku berusaha masuk ke akun Gojek Kompas. Sistem Gojek secara otomatis akan mengirimkan kode OTP ke nomor ponsel yang didaftarkan di akun tersebut.

Pelaku kemudian meminta Kompas menyebutkan kode OTP yang diterima, dengan alasan untuk membantu mengecek keberadaan barang yang dikirimkan. Upayanya gagal karena Kompas tidak memberikan OTP yang diminta, setelah sebelumnya sempat marah-marah berusaha menekan Kompas.

kompas/satrio pangarso wisanggeni
Foto ilustrasi seorang penipu mencoba melakukan upaya pencurian sebuah akun aplikasi dan menguras saldo dompet digital di dalamnya.

Mencari Wahyu

Untuk membuktikan asumsi bahwa pelaku sebenarnya bukanlah AA Wahyu Supriadin, Kompas kemudian menelusuri keberadaan Wahyu. Mulanya di mesin pencari Google. Nama Wahyu ditemukan dalam daftar kelulusan siswa sebuah sekolah menengah di Garut, Jawa Barat.

Dari hasil penelusuran ke kampung halamannya di Garut, akhirnya Kompas berhasil mengantongi alamat Wahyu di Bandung. Saat mendatangi Wahyu di Bandung dan bercakap dengannya, terdengar suara Wahyu yang cukup lembut dengan logat Sunda yang kental. Sebaliknya, suara pelaku yang menggunakan akun Gojek milik Wahyu terdengar lebih tegas dan tidak terdengar jejak logat Sunda sama sekali.

Wahyu mengungkapkan, akun Gojek-nya dicuri penipu pada 17 Januari 2020, pukul 19.30 atau sekitar tiga jam sebelum Hanny memesan ojek. Wahyu sempat menghubungi CS Gojek dan akunnya berhasil dipulihkan. ”Setelah akun pulih, saya bisa masuk tetapi akunnya sudah tidak bisa berfungsi lagi. Tidak ada pesanan yang masuk,” ucapnya.

Akun Wahyu dibajak pelaku dengan modus yang hampir sama dialami sopir ojek daring lainnya. Uang hasil mengojek sebesar Rp 50.000 yang tersimpan di aplikasi turut dirampas pelaku dengan cara dibelikan pulsa.

Diduga akibat kejadian ini, Gojek melakukan pemutusan mitra dengan Wahyu pada 31 Januari lalu. Kabar pemutusan ini dikirim lewat surat elektronik.

”Padahal, saya sudah minta agar akun saya diblok supaya tidak ada orang yang menyalahgunakan,” ujar Wahyu.

Modus beragam

Selain melancarkan tipu daya, ada juga pencuri akun aplikasi yang memanfaatkan fasilitas pengalihan panggilan untuk mengalihkan semua panggilan di ponsel korbannya.

Hal inilah yang dialami artis Maia Estianty. Lewat akun media sosialnya, Maia menceritakan bahwa akunnya dibajak setelah ia menuruti arahan pelaku untuk memutar kode *21*no telepon pelaku#.

Kode ini tak lain untuk mengaktifkan pengalihan panggilan. Dengan pengalihan panggilan, semua panggilan yang masuk ke nomor ponsel korban akan langsung dialihkan ke nomor ponsel pelaku, termasuk kode OTP yang diminta dengan menggunakan panggilan telepon.

Ahli forensik digital Pusat Laboratorium Forensik Polri, Komisaris Besar Muhammad Nuh Al-Azhar, mengatakan, bocornya OTP bukan hanya karena pelaku yang berhasil memperdaya korban, melainkan juga karena faktor korban yang umumnya kurang peduli dalam menjaga keamanan ponsel dan akun aplikasi di ponselnya.

”Ada istilah the weakest point ada di titik end user (konsumen akhir) karena end user tidak cukup paham tentang cyber crime dan modus-modus operandinya,” katanya.

Menurut kriminolog Universitas Indonesia, Adrianus Meliala, kejahatan ini tumbuh subur akibat kurangnya regulasi soal perlindungan terhadap pengguna aplikasi, selain adanya kelemahan di sisi manusia. Undang-Undang Informasi dan Transaksi Elektronik sejauh ini masih belum memadai untuk menjerat kejahatan di ruang digital.

Pencurian akun aplikasi dapat dikategorikan sebagai pencurian data pribadi mengingat akun memuat nomor ponsel, alamat email, dan data pemiliknya. Sayangnya, hingga kini, pasal terkait pencurian data pribadi yang terdapat dalam Rancangan Undang-Undang Perlindungan Data Pribadi masih dalam pembahasan DPR.

Ketua Pengurus Harian Yayasan Lembaga Konsumen Indonesia Tulus Abadi menyampaikan, sejauh ini, perlindungan terhadap pengguna aplikasi baru dilakukan oleh pengelola aplikasi. Sayangnya, perlindungan itu belum dijalankan secara komprehensif.

Sebagai contoh, Gojek kini menerapkan penyamaran nomor ponsel pengguna aplikasi ojek daring itu. Dengan begitu, sopir tidak bisa mengetahui nomor ponsel pelanggan. ”Masalahnya, ketika ada barang pelanggan tertinggal, sopir tidak bisa segera mengembalikannya,” katanya.

Oleh karena itu, menurut Tulus, perlindungan terhadap pengguna aplikasi perlu dilembagakan menjadi mandatori. ”Saya kira, ini perlu dilembagakan oleh pemerintah, Kementerian Kominfo, Self of conduct (perlindungan langsung dari pengelola aplikasi) menjadi mandatori. Harus ada perbaikan sistem juga di sana,” tuturnya.

Hal yang paling penting, lanjutnya, adalah perlunya peningkatan literasi digital masyarakat. Pencurian akun aplikasi dengan modus pelaku meminta kode OTP bisa terjadi karena pengguna aplikasi terjerat tipu daya pelaku.

”Sebagus apa pun sistemnya, kalau (penggunanya) masih bisa di-akalin, masih ada titik lemahnya. Antisipasi harus holistik, salah satunya dengan literasi digital,” ujar Tulus.

START: PAYWALL
END: PAYWALL

Kerabat Kerja

Penulis: SPW/MTK/MDN/DVD/BKY | Fotografer: Priyombodo, Riza Fathoni, Satrio Pangarso Wisanggeni | Infografik: Andri Reno Susetyo, Novan Nugrahadi | Ilustrator: Supriyanto | Videografer: Rian Septiandi, Alberdi Ditto | Video editor : Yogi Yuka, Albertus Prahasta | Pengolah foto: Toto Sihono | Penyelaras bahasa: Priskilia Bintang Sitompul | Produser: Sri Rejeki | Desainer & Pengembang: Ria Chandra, Rino Dwi Cahyo, Frans Yakobus Suryapradipta, Yosef Yudha Wijaya, Deny Ramanda

Suka dengan tulisan yang Anda baca?

Nikmati tulisan lainnya dalam rubrik Tutur Visual di bawah ini.