Cyberthreat.id - Kasus pembobolan dompet digital (E-wallet) yang akan menjadi ancaman besar di masa depan membuat pengguna harus berhati-hati dan mendapatkan literasi memadai. Security Consultant, Rahmat Nurfauzi, mengatakan terdapat dua cara yang umumnya digunakan untuk membobol dompet digital yaitu Social Engineering dan Vulnerability.

"Iya, untuk saat ini teknik social engineering adalah yang paling banyak dipakai (penjahat siber) karena lebih mudah dan cepat untuk mendapatkan akses ke sebuah sistem atau informasi yang sensitif," kata Rahmat kepada Cyberthreat.id, Jumat (10 Januari 2020).

Social engineering, kata dia, adalah ancaman bersifat non-teknis yang memanfaatkan kelemahan manusia untuk mendapatkan informasi rahasia dan penting. Caranya, dengan menipu pemilik informasi tersebut.

Agar korban mempercayai penipu, pelaku kejahatan siber akan membangun sebuah hubungan/komunikasi dengan berbagai cara yang memanfaatkan psikologi korban untuk dieksploitasi.

"Eksploitasi melalui manipulasi psikologis dengan berbagai cara seperti lewat suara, membuat tulisan yang meyankinkan atau mengirimkan gambar yang tidak senonoh," ujarnya.

Contoh Kasus

Rahmat mencontohkan kasus fraud di aplikasi Gojek yang menimpa selebrita Maia Estianty beberapa waktu lalu. Dalam kasus tersebut, terjadi pengambilalihan melalui fitur operator call forwarding dengan cara menekan *21* (nomor ponsel tujuan yang akan dilakukan forward)#.

Melalui fitur tersebut, semua panggilan dan pesan akan dialihkan masuk ke nomor tujuan. Jika si pengguna tidak memiliki pengetahuan yang memadai tentang security, potensi menjadi korban amat besar.

"Sesuai dengan namanya call forwarding, memungkinkan panggilan yang masuk dialihkan ke nomor lain dan tanpa ada fitur untuk pengalihan pesan. Sementara untuk login ke aplikasi Gojek tidak ada fitur login melalui panggilan, hanya menggunakan kode OTP saja," ujarnya.

Kasus Maia, kata Rahmat, membuktikan terjadinya aktivasi sms forwarding dengan mudah sehingga sms OTP bisa diketahui oleh driver/pelaku yang menyebabkan pengambilalihan akun Gojek sehingga merambat ke akun Tokopedia milik korban.

"Ada berbagai macam cara yang digunakan oleh pelaku, seperti berpura-pura mengatakan pengguna menjadi pemenang undian lalu meminta verifikasi kode OTP atau mengaku-ngaku dari pegawai ojek online tersebut"

Isi Saldo Seperlunya

Selain Social Engineering, Rahmat menjelaskan cara kedua yaitu dengan melakukan eksplotasi pada aplikasi yang memiliki vulnerability yang cukup kritikal dan berpotensi untuk dijadikan fraud.

Dalam aplikasi e-wallet, biasanya fraud bisa dilakukan dengan berinteraksi melalui Application Programming Interface (API) yang mengizinkan dua aplikasi terhubung satu sama lain.

Kerentanan yang sering terjadi yaitu bug pada business logic, salah satunya melalui vulnerability insecure direct object reference (idor) dimana penyerang dapat melihat informasi pengguna lain tanpa perlu masuk ke akun pengguna tersebut.

Kemudian ada juga kasus bug untuk Bypass kode OTP dan beberapa bug lainnya seperti manipulasi transaksi sehingga transaksi menjadi gratis. Untuk mencegah hal-hal tersebut, beberapa pihak aplikasi sudah membuka bug bounty program oleh kedua platform ojek online tersebut.

"Semua e-wallet sama halnya berisiko untuk dijadikan target fraud, untuk mengurangi risiko tersebut jangan menyimpan saldo yang cukup banyak pada e-wallet. Isi saldo e-wallet seperlunya jika ingin dipakai dan yang paling penting jangan pernah membagikan kode OTP kepada siapapun."

Rahmat menekankan harus ada perlindungan dari kedua sisi. Yang pertama dari sisi human untuk mencegah social engineering melalui security awareness. Kedua, dari sisi teknologi aplikasi itu sendiri.

Salah satunya, kata dia, peraturan OJK yang meminta setiap penyedia jasa IT, dalam hal ini sektor keuangan, wajib dilakukan pengujian kemanan informasi atau penetration testing untuk memastikan bahwa sistem tersebut tidak memiliki celah yang dapat dieksploitasi mencegah fraud atau kebocoran data pribadi.

Redaktur: Arif Rahman