Pakar Jelaskan Raibnya Rp9 Juta Milik Konsumen Bukalapak
CNN Indonesia
Kamis, 10 Jan 2019 19:08 WIB
Jakarta, CNN Indonesia -- Dua pengguna Bukalapak baru-baru ini melaporkan kehilangan uang hingga Rp9 juta di fitur BukaDompet lantaran adanya tautan yang dikirimkan ke kotak pesan korban. Tautan dikirim usai pengguna merampungkan transaksi di Bukalapak, kemudian uang hilang tak berbekas.
Berdasarkan serangan yang diterima, pakar keamanan siber dari dari Communication and Information System Security Research Centre (CissRec) Pratama Persadha mengatakan jenis serangan ini diakibatkan tautan phising.
Pratama menjelaskan ketika korban mengklik tautan dan mengisi data diri di tautan tersebut, maka akun milik korban bisa diambil alih oleh korban.
"Link (tautan) yang dikirimkan jelas merupakan aksi phising (penipuan). Link tersebut mengarahkan korban untuk mengisi username (nama pengguna) dan password (kata kunci) akun Bukalapak. Karena pengguna masukan data-data privacy, akunnya di takeover (diambil) dan dipakai untuk mencuri uangnya," kata Pratama kepada CNNIndonesia.com, Rabu (9/1).
Ia mengatakan praktik pengiriman tautan phishing ini sudah banyak dilakukan, bahkan tidak hanya terjadi di perusahaan e-Commerce saja. Cara mengirimkan tautan phishing ke kotak pesan sudah sering dilakukan.
Pratama mengatakan pelaku memantau aktivitas belanja korban dengan memerhatikan komentar dan tanya jawab di kolom diskusi. Kemudian setelah korban melakukan transaksi, biasanya korban akan menanyakan proses pesanan ke penjual melalui kolom komentar.
"Korban yang terlihat akan maupun sudah bertransaksi akan dikirim pesan oleh akun yang menyerupai admin Bukalapak maupun merchant barang yang dibeli," jelasnya.
Pratama mengatakan pelaku yang mengirimkan tautan phising sudah mengetahui persis tahu aktivitas korban di platform. Begitu pelaku mendapatkan username dan kata sandi, tindakan berikutnya yakni menyedot saldo atau uang milik korban.
Ia berharap pihak e-Commerce khususnya Bukalapak bisa memberikan edukasi agar modus serupa tidak terjadi lagi. Hal ini dilakukan semata-mata untuk melindungi konsumen dan mengurangi korban.
"Mereka akan menyedot saldo di akun dengan lebih dulu melakukan blok akses dari user sebenarnya," ucapnya.
Penggunaan OTP dan TFA
Di sisi lain, pakar keamanan dari Vaksin.com Alfons Tanujaya mengatakan sebaiknya jangan menggunakan dompet digital yang terkoneksi dengan e-Commerce tertentu. Alfons menyarankan dompet digital harus terlebih dahulu memiliki sistem keamanan two factor authentication (TFA) dan one time password (OTP).
"Tanpa TFA & OTP kredensial sangat mudah tercuri hanya dengan memancing korban mengklik tautan phishing atau menanamkan keylogger ke perangkat korban," ucapnya kepada CNNIndonesia.com.
Alfons menjelaskan dengan menggunakan TFA dan OTP, keamanan kredensial lebih terjamin. Meskipun peretas bisa masuk ke akun korban, ia tidak akan bisa melakukan transaksi.
"Jika ada TFA & OTP setiap kali transaksi, sekalipun kredensial berhasil dicuri kriminal tidak akan bisa melakukan transaksi karena harus memasukkan OTP One setiap kali transaksi," ujarnya.
Oleh karena itu ia menyarankan otomasi otorisasi pembayaran harus menjadi perhatian e-Commerce di Indonesia. Ia mengingatkan agar otomasi dalam proses otorisasi tidak kebablasan dan menghilangkan proses OTP.
"Tanpa OTP untuk setiap transaksi, dengan hanya berbekal kredensial hasil phishing, peretas akan mampu melakukan transaksi atas akun yang berhasil di retasnya," ujar Alfons. (jnp/evn)
Berdasarkan serangan yang diterima, pakar keamanan siber dari dari Communication and Information System Security Research Centre (CissRec) Pratama Persadha mengatakan jenis serangan ini diakibatkan tautan phising.
Pratama menjelaskan ketika korban mengklik tautan dan mengisi data diri di tautan tersebut, maka akun milik korban bisa diambil alih oleh korban.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
"Korban yang terlihat akan maupun sudah bertransaksi akan dikirim pesan oleh akun yang menyerupai admin Bukalapak maupun merchant barang yang dibeli," jelasnya.
Pratama mengatakan pelaku yang mengirimkan tautan phising sudah mengetahui persis tahu aktivitas korban di platform. Begitu pelaku mendapatkan username dan kata sandi, tindakan berikutnya yakni menyedot saldo atau uang milik korban.
Ia berharap pihak e-Commerce khususnya Bukalapak bisa memberikan edukasi agar modus serupa tidak terjadi lagi. Hal ini dilakukan semata-mata untuk melindungi konsumen dan mengurangi korban.
"Mereka akan menyedot saldo di akun dengan lebih dulu melakukan blok akses dari user sebenarnya," ucapnya.
Di sisi lain, pakar keamanan dari Vaksin.com Alfons Tanujaya mengatakan sebaiknya jangan menggunakan dompet digital yang terkoneksi dengan e-Commerce tertentu. Alfons menyarankan dompet digital harus terlebih dahulu memiliki sistem keamanan two factor authentication (TFA) dan one time password (OTP).
"Tanpa TFA & OTP kredensial sangat mudah tercuri hanya dengan memancing korban mengklik tautan phishing atau menanamkan keylogger ke perangkat korban," ucapnya kepada CNNIndonesia.com.
Alfons menjelaskan dengan menggunakan TFA dan OTP, keamanan kredensial lebih terjamin. Meskipun peretas bisa masuk ke akun korban, ia tidak akan bisa melakukan transaksi.
"Jika ada TFA & OTP setiap kali transaksi, sekalipun kredensial berhasil dicuri kriminal tidak akan bisa melakukan transaksi karena harus memasukkan OTP One setiap kali transaksi," ujarnya.
Oleh karena itu ia menyarankan otomasi otorisasi pembayaran harus menjadi perhatian e-Commerce di Indonesia. Ia mengingatkan agar otomasi dalam proses otorisasi tidak kebablasan dan menghilangkan proses OTP.
"Tanpa OTP untuk setiap transaksi, dengan hanya berbekal kredensial hasil phishing, peretas akan mampu melakukan transaksi atas akun yang berhasil di retasnya," ujar Alfons. (jnp/evn)
TOPIK TERKAIT
ARTIKEL
TERKAIT
TERKAIT
LAINNYA DI DETIKNETWORK