Pada Kamis (6/10/2020) lalu sejumlah pesan masuk ke WhatsApp saya. Informasi serupa juga saya temukan dalam sejumlah postingan terbaru di sosial media.
Diawali ucapan selamat pagi, menyusul file gambar berisi surat pemberitahuan. Sekilas, surat itu terlihat resmi, lengkap dengan kepala surat, logo, hingga tanda tangan pejabat di atas meterai.
"Dengan adanya perubahan ini diberikan pilihan untuk nasabah, Â *abaikan jika setuju dengan tarif baru *atau balas ketik (2) jika tidak setuju dengan tarif yg baru."
Tidak sampai di situ. Muncul pesan baru tak berselang lama. "Silahkan konfirmasi dari formulir bri di bawah untuk proses ke tarif lama ya," berikut emoji tangan terkatup plus jari telunjuk mengarah ke bawah menunjuk pada link dimaksud.
Masih lekat dalam ingatan, sehari sebelumnya, di sebuah grup WhatsApp (WA) ramai dibahas tentang maraknya kejahatan pencurian data atau informasi pribadi dengan teknik pengelabuan yang keren disebut "phising."
Saya kemudian melakukan sejumlah telaah. Mulai dari nomor yang digunakan hingga formulasi pesan. Lalu mengkonfirmasinya ke bank bersangkutan melalui saluran sosial media yang tersedia.Â
Nomor itu tampak biasa, sama sekali tidak terlihat "cantik." Di bawah nomor itu ada sematan "CS BANK BRI" dengan tanda centang.
Sayangnya, tanda centang itu memang sengaja ditambahkan. Tidak tampak sebagai centang hijau sebagaimana terlihat pada akun-akun yang sudah tervalidasi.
Kebetulan di telepon genggam yang sama tersimpan nomor WA CS bank bersangkutan. Terlihat jelas perbedaan dan semakin nyata mana yang asli dan palsu.
Kita bisa saja terkecoh dengan file surat yang terlihat resmi. Namun, kita jangan sampai pendek akal untuk melihat baris-baris pesan berikutnya.
Bagi yang sudah sering mendapat pemberitahuan dan kiriman pesan dari bank atau institusi resmi, akan mudah membedakan redaksi pesan resmi (formal) dan sebaliknya.
Dalam kasus di atas, terlihat betapa tidak konsisten dan amburadulnya pesan itu. "Yang" disingkat "yg," penggunaan emoji seperti dalam percakapan informal, hingga mengirim teks yang sama untuk sesuatu yang sudah diterangkan dalam surat dan terkesan memaksa.
Saya kemudian menghubungi bank bersangkutan, mengirim tangkapan layar percakapan berikut surat tersebut baik melalui Twitter maupun Instagram. Tujuannya, biar ada bukti komunikasi yang kemudian saya capture sebagai bukti tambahan di tulisan ini.Â
Dua hal yang ingin saya konfirmasi. Kebenaran informasi dan nomor tersebut. Apakah benar ada perubahan skema tarif transfer? Apakah nomor di atas mewakili atau berasal dari pihak bank tersebut?
Tidak butuh waktu lama untuk mendapat jawaban yang jelas. "Hai Sobat BRI, kami informasikan untuk nomor tersebut bukan nomor atau akun milik Bank BRI ya," demikian balasan dari akun Twitter @kontakBRI.
Selain itu, kepada saya juga diperingkatkan agar mengamankan data pribadi.
"Sobat BRI, Just info akun resmi BRI terdapat centang biru (Verified) dan Channel Private BRI melalui WhatsApp hanya dengan nomor 08121214017 ya. Tks~Eva (3),"tutupnya.
Beragam modus
Di atas adalah salah satu contoh phising. Dari bahasa Inggris, "fishing" berarti memancing.
Aktivitas tersebut berusaha memancing orang untuk memberikan informasi pribadi tanpa disadari. Informasi-informasi penting itu seperti data pribadi, data akun (username dan password), hingga data keuangan (informasi kartu kredit, nomor rekening, kode OTP).
Untuk memancing orang agar tanpa sadar membagikan data-data rahasia biasanya menggunakan berbagai modus pengelabuan. Membuat target merasa seperti tidak sedang dikibul dan dengan sukarela terjerumus dalam skenario pelaku.
Saya tentu sudah lebih awas berbekal informasi yang didapat sebelum menjadi sasaran phising. Sayangnya, tidak semua orang berada dalam posisi sudah tercerahkan dan akal sehatnya bisa langsung bekerja seketika untuk mengendus aroma busuk.
Tidak sedikit yang gampang terjerumus dalam permainan seperti di atas. Entah karena belum teredukasi atau juga tidak dalam disposisi batin yang kuat.
Biasanya, orang cepat tergiur ketika muncul notifikasi berisi hadiah jutaan rupiah, diiming-iming hadiah menggiurkan, dan sebagainya. Belum lagi, bila ada kiriman pesan, entah teks atau suara, bertubi-tubi disertai bujuk rayu atau bahkan ancaman.
Orang yang tidak siap dan kuat bisa cepat tergoda, terobsesi, hingga terhipnotis untuk menjalankan instruksi hingga masuk dalam jebakan maut.
Yang terjadi pada saya adalah satu dari berbagai modus phising. Melansir www.djkn.kemenkeu.go.id (25/3/2022) ada beragam trik yang digunakan pelaku.
Email phising yakni menggunakan email dengan sasaran secara masif dan spear phising (via email dengan calon korban tertentu, biasanya dilakukan setelah informasi dasar seperti nama dan alamat sudah didapat).
Baik email phising maupun spear phising dikategorikan sebagai deceptive phising. Pelaku mengatasnamakan lembaga tertentu untuk meminta data diri korban. Cara lainnya adalah berpura-pura memberikan situs berbahaya untuk diakses korban.
Selain itu,whaling atau whale phising. Ibarat ikan paus atau whale mereka yang disasar adalah tokoh publik, entah para petinggi suatu organisasi atau perusahaan, pemilik bisnis, dan pihak-pihak dengan jabatan tinggi, dikenal banyak orang, dan populer
Untuk menjaring "paus-paus" itu biasanya dilakukan secara terorganisir dan melibatkan banyak orang.
Selain itu, yang cukup marak adalah web phising, melalui website palsu yang terlihat mirip dengan website resmi. Menggunakan domain yang mirip (domain spoofing) sehingga calon korban merasa seolah-olah itu berasal dari pihak yang bisa dipercaya.
Untuk sampai ke sana, pelaku mengirim email yang mengaku dari pihak terpercaya. Sayangnya, informasi yang dikirim itu ternyata perangkap.
Mengarahkan calon korban ke situs web abal-abal (phising site) yang sarat malware (perangkat lunak yang sengaja dirancang untuk menyebabkan kerusakan atau virus pada jaringan komputer, dan perangkat lainnya).
Modus lain yang juga marak adalah smishing. Pelaku menggunakan pesan singkat (SMS) atau panggilan telepon untuk menjalankan aksinya. Cara ini terkadang cukup ampuh untuk meyakinkan para korban.
Masih ingat fenomena "Mama Minta Pulsa"? Itu adalah bagian dari smishing phising yang sudah menelan banyak korban.
Tidak hanya pulsa, pada jenis ini juga bertujuan mendapatkan informasi pribadi seperti nomor rekening, hingga ajakan untuk mengklik tautan tertentu.
Dari link palsu itu, calon korban bisa diarahkan untuk mengisi informasi tertentu. Lebih canggih lagi, tampilan setelah diklik hampir menyerupai aplikasi mobile tertentu. Bila tidak awas, calon korban bisa mudah terjerumus untuk mengisi data-data pribadi yang kemudian digunakan para pelaku untuk merauh keuntungan.
Selain melalui pesan tertulis, juga terkadang diawali panggilan telepon. Pelaku menyebut diri sebagai perwakilan dari bank tertentu. Pura-pura menyebut ada transaksi mencurigakan di rekening si calon korban.
Kemudian, ia menawarkan bantuan pembatalan transaksi. Syaratnya, mengikuti prosedur melalui link palsu yang dikirim melalui SMS.
Seperti disinggung di atas, link palsu itu dikreasi seperti situs atau aplikasi resmi. Bila calon korban tidak siap secara mental dan akal sehatnya sudah ditaklukkan oleh manipulasi psikologis yang dilakukan dengan memantik rasa cemas, iba, rasa bersalah, dan sebagainya, maka ia bisa saja terhanyut dalam permainan jahat pelaku.
Sejumlah tips
Kemajuan teknologi dan internet seperti pedang bermata dua. Di satu sisi, ia menghadirkan kita beragam kemudahan. Di sisi berbeda, menjadi ladang bertumbuhnya aneka kejahatan siber dengan phising salah satunya.
Penting untuk menyelaraskan diri dengan derap perubahan, menimba manfaat sebesar-besarnya dan semakin arif menghindarkan diri dari berbagai tipu muslihat.
Pertama, bila kita pengguna atau nasabah bank tertentu, baiklah untuk mengingat setiap kontak resmi. Nomor telpon resmi, misalnya HALO BCA dengan tanpa alawan 021 atau +62.Â
Tip untuk nomor seperti ini, sebaiknya tidak disimpan di kontak atau buku telpon, agar nomor bisa terlihat jelas saat ada panggilan masuk.
Begitu juga nomor WA resmi. Pastikan ada centang hijau di samping nomor atau nama kontak, bukan di dalam foto profil atau deskripsi kontak. Selain dari itu, bisa dipastikan nomor tersebut palsu.
Kedua, penting kiranya mengendalikan diri ketika ada informasi dan panggilan yang bisa memantik kecemasan atau kebahagiaan. Pelaku biasanya memainkan perasaan tersebut untuk melancarkan aksinya.
Sinterklas hanya ada dalam dongeng. Kondisi dunia yang semakin sulit seperti saat ini mustahil memunculkan dewa penolong dan Dewi Fortuna yang menawarkan Anda jutaan rupiah secara cuma-cuma.
Begitu juga, setiap kali ada telepon atau pesan yang mencurigakan jangan cepat bertindak dan terpancing untuk mengklik link apapun yang dikirim. Â Baiklah untuk meminta pendapat dan berkonsultasi dengan orang terdekat yang bisa diandalkan terlebih dahulu.
Ketiga, bagi yang memiliki aplikasi atau versi mobile, pastikan setiap transaksi hanya diakses melalui aplikasi tersebut bukan melalui link apapun.
Melansir Kompas.com (19/2/2022), ciri phising yang bisa cepat dikenal antara lain tautan yang terlalu singkat dan asing; alamat email tidak dikenal dan menggunakan domain yang tidak umum (contoh: @xxx.cg); ejaan dan tata bahasa buruk; template website mirip situs resmi namun informasi di dalamnya mencurigakan; dan saat diklik segera muncul peringatan keamanan dari browser yang sudah diproteksi dari phising dan malware.
Keempat, penting menjaga kerahasiaan data atau informasi pribadi. Nomor kartu kredit, PIN, CVV/CVC, OTP (One Time Password), kata sandi, dan data-data keuangan dan pribadi lainnya hanya perlu diketahui Anda sendiri atau orang terdekat yang bisa dipercaya.
Simpan data-data itu baik-bak. Bila khawatir bakal kesulitan mengingat dan ingin agar lebih mudah mengaksesnya saat diperlukan, bisa menyimpannya dalam catatan pribadi yang bisa disimpan di telepon genggam dan dikunci.
Alamat email, nomor KTP, dan nomor telepon sebaiknya tidak untuk diekspos dan dibagikan secara serampangan. Bisa jadi dari sana pintu phising dimulai.
Tambahan lagi, kode OTP digunakan untuk bertransaksi online atau mengakses data tertentu. Itu bukan kode promo, pembebasan iuran tahunan, pembatalan transaksi, blokir kartu kredit, kenaikan limit, dan alasan lainnya.
Kode OTP bersifat sensitif dan rahasia. Pastikan untuk tidak menuruti, bila Anda tidak sedang melakukan transaksi pembelian, proses autentikasi transaksi bank pada mobile banking atau data log in akun aplikasi dompet digital misalnya, namun mendapat kiriman atau instruksi untuk membagikan OTP ke pihak lain.
Kelima, sekali lagi, penting untuk mencocokan dan mencocokan kembali tentang benar tidaknya suatu informasi. Setiap pesan yang masuk dan setiap panggilan yang datang sebaiknya tidak cepat ditelan.
Sekiranya perlu untuk dicaritahu kebenarannya sebelum bertindak lebih jauh. Bila ada pesan mencurigakan terkait transaksi keuangan, baiklah untuk memastikannya terlebih dahulu ke pihak terkait.
Saat ini kita bisa dengan mudah melakukan konfirmasi sekaligus membuat laporan agar bisa ditindaklanjuti pihak bank. Melalui berbagai saluran resmi yang bisa dijangkau dengan mudah dan cepat, baik melalui nomor telepon resmi, WA resmi, maupun sosial media resmi seperti Twitter, Instagram, dan Facebook.
Demi keamanan dan kenyamanan, saya kira kita tidak perlu merasa lelah untuk melakukan check and recheck.
Termasuk, selalu mengingatkan orang-orang terdekat terutama kalangan rentan yang belum melek teknologi dan aktif membagikan informasi-informasi penting seperti ini kepada semakin banyak orang.
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H
