PT Pos Indonesia | Foto: Antara
PT Pos Indonesia | Foto: Antara
Cyberthreat.id – Beredar penipuan online dengan modus serangan SMS masking yang mengatasnamakan PT Pos Indonesia.
Pesan pendek (SMS) yang menginformasikan bahwa korban mendapatkan iPhone 13 dikirimkan ke sejumlah pengguna seluler di Indonesia.
SMS masking adalah layanan pengiriman SMS ke banyak nomor dengan identitas pengirim yang muncul di layar penerima disesuaikan dengan nama orang atau instansi.
Alvin O Gustav, salah satu penerima SMS tersebut, mengunggah tangkapan layar SMS berhadiah tersebut di akun Facebook-nya, Minggu (13 Maret 2022).
Pesan tersebut berisi sebagai berikut:
“Sahabat Pos, Kami informasikan bahwa Anda menerima kiriman no xxx (disensor Alvin, red) harap melakukan pelunasan biaya pajak dan lainnya. Klik https://va.posindonesia.co.id/?c= xxxx (disensor).”
“Selamat Alvin Gustav anda telah Memenangkan iPhone 13 Pro Max (256GB) Sierra Blue dari Pos Indonesia segera ambil hadiahmu di: s.id/ xxx (disensor)”.
Ketika membacanya, Alvin mengaku sudah curiga bahwa pesan itu dikirim dengan SMS masking. Namun, yang membuat dirinya heran ialah data pribadi yang dicantumkan dalam tautan tersebut.
“Cuman setelah klik tautan yang dikasih, muncul data pribadi saya dan benar semua,” tulisnya.
Ia pun melampirkan tangkapan layar halaman yang menampilkan hadiah iPhone dan alamat lengkap dirinya.
“No HP saya dan alamat benar semua. Untung saya curiga di payment QR karena saya biasa bayar bea enggak pernah pakai ini,” tulisnya.
Dalam pesan tersebut, pengirim menyematkan sebuah tautan yang mengarahkan pengguna ke situsweb posgiroindonesia.com. Sebetulnya, domain tersebut bukanlah alamat situsweb PT Pos Indonesia (www.posindonesia.co.id).
Jika mengklik tautan yang dikirimkan tanpa ID acak khusus, artinya langsung https://posgiroindonesia.com/, akan diarahkan ke situsweb resmi Pos Indonesia.
Sementara, jika mengklik tautan yang diberikan oleh penipu, penerima akan masuk di halaman web informasi berhadiah. Disebutkan di halaman itu, nama penerima beserta nomor telepon dan alamat rumah.
Alvin kepada Cyberthreat.id, Selasa (15 Maret 2022) mengatakan, untuk mendapatkan “hadiah” tersebut, dirinya diminta untuk melunasi uang sebesar Rp243.990 melalui pembayaran kode QR.
Saat dirinya memindai kode QR tersebut denga platform pembayaran DANA, muncul sebuah permintaan pembayaran QRIS melalui sebuah gerai dengan nama “MRS”.
Namun, ia masih penasaran. Ia pun memindai kode QR tersebut dengan platform pembayaran LinkAja dan muncullah keterangan jika penyedia gerai itu berasal dari Bank Nobu.
Alvin meyakini bahwa ada pihak tertentu yang telah membocorka data pribadinya sehingga dimanfaatkan untuk penipuan seperti ini.
Gambar 1 pemindaian kode QR melalui dompet pembayaran digital DANA. Gambar 2 adalah kode QR yang ditawarkan oleh penipu. Gambar 3 adalah pemindaian kode QR menggunakan dompet digital LinkAja. | Foto: Alvin.
Jawaban PT POS Indonesia
PT Pos Indonesia menanggapi tentang beredarnya SMS berhadiah yang mengatasnamakan perusahaa telah beredar di media sosial.
Melalui akun Twitter-nya (@PosIndonesia), PT Pos Indonesia memastikan, perusahaan sama sekali tidak mengadakan undian berhadiah. Masyarakat dan pengguna layanan Pos Indonesia diminta berhati-hati terhadap berbagai informasi hoaks yang mengatasnamakan Pos Indonesia.
“Sahabat, telah beredar pesan singkat mengatasnamakan Posgiro tentang tentang pembagian hadiah berupa Handphone, hati hati ya sahabat,” ujar PT Pos Indonesia.
Namun, PT Pos Indonesia tak menjelaskan detail terkait data pribadi penerima. Karena sebagian warganet di Twitter, termasuk Alvin mencurigai ada kebocoran data pelanggan Pos Indonesia.
Peneliti keamanan siber, Teguh Aprianto, di akun Twitter-nya (@secgron) mengatakan, penipuan yang mengatasnamakan Pos Indonesia tersebut termasuk kategori serangan phishing.
Pengguna dikelabui dengan teknik SMS masking yang dikirimkan oleh penipu. Data pribadi yang cocok dengan penerima, kata dia, kemungkinan besar karena penipu telah memanfaatkan kebocoran data.
Oleh karenanya, ia menyarankan agar PT Pos Indonesia segera memeriksa lebih lanjut apakah ada pencurian data atau kebocoran data pribadi pelanggannya.[]
Redaktur: Andi Nugroho
Share:
