Jakarta, Cyberthreat.id - Badan Perlindungan Konsumen Nasional (BPKN) mencatat lonjakan pengaduan dalam transaksi e-commerce pada semester pertama 2020. Sebagian besar terkait phishing dan password sekali pakai (OTP).

“Faktanya, di tahun 2020 ini pengaduan sektor e-commerce menjadi nomor tiga setelah perumahan dan jasa keuangan,” kata Komisioner BPKN, Frida Adiati dalam Focus Group Discussion (FGD) Sektor e-Commerce yang diadakan BPKN pada Rabu, (10 Juni 2020).

Wabah pandemi Covid-19 diyakini mengubah pola konsumsi masyarakat yang berdampak pada meningkatnya transaksi belanja online hingga 30 persen dibanding sebelumnya. Penggunaan aplikasi belanja online juga naik hingga 300 persen.

Dari statistik yang ditampilkan, di tahun 2018 total pengaduan terkait e-commerce yang diterima BPKN hanya 5 kasus, 2019 ada 18 pengaduan. Sedangkan pada 2020, hingga bulan Mei saja melonjak menjadi 70 kasus.

“Hal ini membuktikan bahwa minat konsumen untuk berbelanja  secara online (e-commerce) semakin meningkat. Tetapi di sisi lain, pengaduannya juga jadi banyak karena sekitar 12 persen pengaduan terkait e-commerce hingga bulan Mei ini," ujar Frida.

Frida mengatakan dari 70 pengaduan terkait e-commerce yang masuk ke BPKN itu didominasi kasus phishing dan password sekali pakai atau OTP.

“Ini sekitar 30 persen dari keseluruhan kasus,” tambahnya.

Dalam hal phising, BPKN menjelaskan, biasanya dilakukan setelah konsumen membayar kepada seller (penjual), kemudian seller mengirimkan tautan dengan iming-iming untuk memproses pesanan dan memasukkan email dan password.

Untuk itu, BPKN meminta setiap platform e-commerce agar dapat melakukan upaya dan tindakan untuk mencegah seller jahat sejak tahap pendaftaran  (dengan melakukan filterisasi dan membuat standardisasi untuk menjadi seller).

Direktur Pengawasan Barang Beredar dan Jasa Kementerian Perdagangan (Kemendag), Ojak Simon Manurung, yang juga ikut serta dalam FGD itu mengatakan bahwa e-commerce sebagai Penyelenggara Perdagangan melalui Sistem Elektronik (PPMSE) harus mengedukasi konsumen terkait upaya phising.

“Terkait phising yang kemungkinan besar dilakukan oleh penjual atau seller maka perlu dilakukan review secara berkala guna memastikan tindakan phising dimaksud dapat diminimalisir. PPMSE harus menjamin dan memastikan konsumen teredukasi bahwa transaksi di luar PPMSE adalah berbahaya,” papar Ojak.

Upaya Phising dalam e-Commerce
Konsultan Keamanan Independen, Teguh Aprianto,  mengatakan bahwa phising itu termasuk proses perampasan akun secara paksa atau account hijacking.  Proses perampasan akun dengan metode phising ini menurut Teguh caranya tidak terlalu sulit, bahkan sampai saat ini masih sering dilakukan.

"Phising ini menjebak korban menggunakan halaman login palsu yang dibuat seakan-akan mirip dengan halaman login aslinya. Itu biasanya untuk mencuri informasi akun, informasi kartu kredit dan lain sebagainya," kata dia.

Selain itu, kata Teguh, penipuan dengan modus rekayasa sosial (social engineering) juga sering terjadi di e-commerce. Ia mencontohkan, ketika pembeli membeli suatu barang di salah satu marketplace biasanya lewat chat, setelah itu baru pihak penipu yang menyamar sebagai penjual  mengarahkan user dengan dalih untuk melakukan verifikasi, padahal itu tidak diperlukan.

 "Nantinya mengirimkan sebuah link.  Ini masuknya social engineering juga, nanti baru diarahkan ke halaman phising yang dibuat oleh pelaku tersebut." ungkap Teguh.

Teguh yang juga pendiri dan kontributor di Ethical Hacker Indonesia menambahkan, ada empat proses perampasan akun dengan metode phising yaitu interaksi, sending, get the data, dan takeover.

Pertama, pelaku setidaknya membutuhkan interaksi dengan calon korban, entah dengan tatap muka atau tidak. Setelah interaksi terjadi, baru dilanjutkan dengan  mengirimkan sebuah link yang ketika diklik user diarahkan untuk memasukkan data.

"Setelah user memasukkan data, biasanya data itu email, password. Kalau tujuannya untuk mencuri kartu kredit akan diminta juga ketika mengunjungi website tersebut untuk mengisi form kartu kredit dan biasanya alamat," papar Teguh.

Setelah pengguna atau user memasukkan data, kata Teguh, pelaku akan mendapatkan data (get the data) yang dimasukkan user tadi, entah data itu dikirimkan server pelaku ataupun e-mail milik pelaku. Barulah sampai pada proses keempat yaitu take over.

"Keempat itu baru take over, take over ini tujuannya apabila si pelaku memang menginginkan untuk menguasai akun korban, tapi kalau dia tidak berniat melakukan itu kemungkinan lainnya hanya mencuri informasi milik korban," ujarnya.

Untuk itu, Teguh menyarankan tiga hal yang harus diperhatikan untuk masyarakat.

Pertama, email yang digunakan untuk mendaftar akun (sosial media, market place ataupun e-commerce) adalah email yang aktif dan bisa diakses begitu juga dengan nomor handphone.

Kedua, gunakan 2 Factor Authentication, bisa leewat SMS ataupun menggunakan autentikator app lainnya.

Ketiga, hindari menyimpan password dalam bentuk plain text, yang menurut dia masih banyak orang yang melakukannya seperti menyimpan di notes di HP atau notepad di komputer ataupun di dokumen dan tempat lainnya.

Untuk itu, jika punya banyak password dan susah untuk mengingatnya, Teguh menyarankan menggunakan password manager yaitu 1Password atau Dashlene. []

Editor: Yuswardi A. Suud