Persaingan dompet digital makin ketat dan banyak pemain besar yang bisnis intinya bukan di dompet digital mulai merambah dompet digital dan mengeluarkan produk dompet digitalnya sendiri.
Para pengguna aplikasi di iming-imingi dengan promo menarik, diskon bakar uang demi mendapatkan basis pengguna dompet digital baru.
Salah satu motivasi menguasai dompet digital ini adalah database pengguna dompet digital besar yang nantinya dijadikan sebagai dasar untuk monetisasi.
Apakah dijadikan sebagai target promosi, iklan berbayar atau seperti yang sudah menjadi ladang utama monetisasi uang digital saat ini: keuntungan besar dari pinjol alias pinjaman online.
Giliran konsumen yang meskipun terkesan dimanjakan karena banyaknya pilihan dompet digital tentu akan meningkatkan persaingan yang ujung-ujungnya menguntungkan konsumen.
Namun, banyaknya pilihan dompet digital ini justru menjadi masalah tersendiri karena harus mengelola beragam dompet digital dengan berbagai kerumitannya.
Dari menyimpan kredensial unik untuk setiap dompet digital, pengamanan tambahan seperti Two Factor Authentication, monitoring transaksi dan peringatan percobaan eksploitasi dompet digital yang dikirimkan setiap saat ke email, whatsapp atau SMS, sampai pengelolaan dana di setiap dompet digital.
Jika pengelola dompet digital tidak mengamankan alur dan sistem transaksinya dengan baik, kriminal yang sudah sangat berpengalaman melakukan hal ini akan dengan sangat cepat mendapatkan celah dan melakukan eksploitasi.
Hal ini terbukti dari maraknya eksploitasi dompet digital yang dilakukan dengan cukup cerdik memanfaatkan kelemahan sistem pengelola dompet digital dan keawaman pengguna dompet digital seperti yang menimpa salah satu pesohor beberapa hari yang lalu.
Dalam menjalankan aksinya ini, penipu yang memang terlihat sudah sangat berpengalaman dalam karena ia dapat masuk pada timing yang sangat tepat.
Di mana ia bisa tahu bahwa korbannya baru selesai melakukan transaksi belanja dan melakukan rekayasa sosial yang sangat cerdik dari situasi tersebut guna mendapatkan kredensial dompet digital korbannya.
Setelah berhasil mendapatkan kredensial korbannya, usaha mendapatkan keuntungan maksimal dilakukan dengan mengeksploitasi fitur hutang (pay later) dan pinjaman.
Memang menjadi pertanyaan besar yang harus dijawab, bagaimana penipu bisa mendapatkan informasi bahwa calon korbannya baru melakukan transaksi belanja.
Hal ini menjadi pekerjaan rumah pengelola layanan untuk menutupi celah keamanan dalam proses transaksi di platformnya.
Phishing Memalsukan Customer Service
Penipu memalsukan diri sebagai Customer Service dari platform e commerce dan menginformasikan kepada korban bahwa kurir pengiriman yang di pilih mengalami gangguan dan perlu mengganti kurir
Lalu situs phishing yang telah dipersiapkan sebelumnya diberikan kepada korban, dan karena menggunakan URL Shortener/pemendek URL dengan nama yang meyakinkan, maka terkesan situs yang diberikan adalah situs yang dapat dipercaya.
Padahal seperti kita ketahui, URL Shortener adalah pemendek situs yang sering sekali digunakan untuk menyamarkan alamat situs phishing.
Jika alamat situs tersebut di klik, maka ia akan mengarahkan ke situs lain yang telah dipersiapkan
Tentunya korban akan percaya karena memang langkah yang diikuti sesuai dengan komunikasi sebelumnya.
Jika korban melanjutkan dan memasukkan jasa pengiriman yang ingin diganti, maka ia akan diantarkan pada situs berikutnya yang merupakan tujuan utama dari phishing ini.
Jika korbannya mengaktifkan Web Threat Shield, maka ia akan mendapatkan peringatan bahwa situs yang ingin diaksesnya adalah situs phishing dan akses tersebut akan di blokir.
Add on Web Threat Shield pada peramban akan melindungi dari akses situs phishing dan memblokir situs tersebut ketika diakses
Tidak cukup mencuri kredensial nomor handphone dan PIN akun, penipu juga berusaha untuk mencuri One Time Password dengan menampilkan layar seperti pada gambar 7 di bawah ini.
Antisipasi
Jika dilihat bahwa penipu bisa mengetahui dengan cepat bahwa korbannya baru selesai melakukan belanja, maka hal ini perlu menjadi perhatian serius dari penyedia layanan.
Apakah kebocoran ini bisa terjadi karena kelemahan sistem yang sifatnya internal atau eksternal ?
Lalu antisipasi apa yang bisa dilakukan untuk mencegah hal yang sama terjadi di kemudian hari.
Secara teknis, harusnya jika penyedia layanan e commerce juga berperan sebagai penyedia dompet digital, maka standar pengamanannya harus mengadopsi kebutuhan pengamanan tertinggi karena dompet digital berhubungan langsung dengan transaksi finansial.
Hal ini harus dilakukan karena jika terjadi kebocoran pada database e commerce akan langsung berdampak ke dompet digital karena akun e commerce dan dompet digital menggunakan kredensial yang sama.
Melihat kasus yang terjadi di atas, maka ada beberapa celah kebocoran yang menyebabkan hal ini dan membutuhkan penyidikan mendalam dan antisipasi supaya tidak terjadi dikemudian hari dan pihak penyedia layanan e commerce dan dompet digital ini memegang peranan kunci.
Karena memiliki informasi detail dimana letak kebocoran dan apa antisipasi yang harus dilakukan supaya hal yang sama tidak terjadi lagi.
Dalam hal ini transparansi informasi perlu dilakukan sebagai bentuk tanggung jawab kepada masyarakat atas kejadian ini.
Secara obyektif, memang korban penipuan tanpa disadari memungkinkan hal ini dengan memasukkan informasi kredensialnya karena mengira ia dihubungi oleh customer service dari penyedia layanan e commerce tersebut.
Namun ada baiknya juga jika penyedia layanan belajar dari kasus ini dan mengevaluasi prosedur yang ada sehingga hal yang sama dikemudian hari tidak terjadi atau setidaknya lebih sulit terjadi lagi.
Beberapa kemungkinan kebocoran ini adalah :
1. Informasi transaksi bocor dari penyedia layanan dan disalahgunakan oleh penipu. Salah satunya adalah algoritma yang digunakan dimana setiap kali belanja, maka database transaksi langsung di olah dan digunakan untuk kepentingan pihak ketiga seperti iklan atau untuk meningkatkan interaksi dengan pelanggan.
Jika informasi ini jatuh ke tangan penipu, maka timing yang tepat tersebut akan sangat mendukung aksi penipuan seperti yang terjadi di atas.
2. Penjual yang nakal. Jika penjual memang nakal dan bekerjasama dengan penipu, maka dengan mudah setiap kali menerima transaksi, ia menggunakan database transaksi untuk menjalankan aksi penipuan.
3. Pihak kurir yang nakal. Informasi transaksi dan nomor telepon pelanggan juga diteruskan langsung ke kurir sehingga jika informasi ini disalahgunakan, maka timing ini akan sangat memudahkan aksi eksploitasi korban.
4. Ada malware di perangkat korban dan memungkinkan penipu mengetahui semua aktivitas korbannya.
Kita sebagai konsumen juga harus sadar bahwa Kredensial adalah harta kita yang paling berharga dan TIDAK BOLEH diberikan kepada siapapun dengan alasan apapun.
Ekstra hati-hati jika ada pihak manapun yang mengaku dari call center atau customer service dan memberikan tautan atau meminta kode yang dikirimkan melalui SMS karena itu adalah kode rahasia yang tidak boleh dibagikan dan akan berakibat pengambilalihan akun.
Pengamat Keamanan Siber, Alfons Tanujaya
