Membongkar Modus Bobol Gopay yang Timpa Maia Estianty

CNN Indonesia | Senin, 30/12/2019 15:43 WIB
Membongkar Modus Bobol Gopay yang Timpa Maia Estianty Maia Estianty (Detikcom/Veynindia Esaloni/DetikHOT)
Jakarta, CNN Indonesia -- Saldo Gopay selebriti Maia Estianty baru-baru ini terkuras oleh peretas saat menggunakan aplikasi Gofood. Saldo Gopay Maia Estianty diprediksi terkuras akibat modus menggunakan kode USSD.

Maia dikelabui pengemudi Gojek yang menyebut motornya mogok dan memintanya mengganti pengemudi dengan mengetikkan kode USSD. Kode USSD yang diminta adalah *21* yang diikuti dengan nomor ponsel asing (*21*082178912261).

Berdasarkan keterangan Telkomsel, kode OTP ini digunakan untuk meneruskan SMS dan panggilan telepon ke nomor yang diinginkan. Dengan demikian, pengguna nomor tersebut akan menerima panggilan telepon dan SMS yang diterima nomor telepon pengirim kode USSD.
Membongkar Modus Bobol Gopay yang Timpa Maia EstiantyFoto: Screenshot via instagram (@maiaestiantyreal)

"Ternyata itu kode kita sedang forward data telepon kita ke dia [...] Gw udah call ke Telkomsel buat minta kode menonaktifkan forwarding (pemindahan) data. Alhamdulillah bisa," tulis Maia saat itu lewat akun Instagramnya. Namun kini tulisan tersebut telah dihapus oleh Maia.


Pengamat Keamanan Siber dari Vaksin.com, Alfons Tanujaya menduga dalam baris kode USSD tersebut, pelaku juga menyertakan kode untuk mengakifkan SMS forward (layanan penerusan SMS).

"Menurut pengakuan dia dikelabui untuk mengaktifkan call forward. Tapi secara teknis untuk mencuri OTP membutuhkan SMS. Sehingga patut diduga (kode) call forward tersebut ikut mengaktifkan SMS forward," ujar Alfons saat dihubungi CNNIndonesia.com, Senin (30/12).

Ketika isi SMS diteruskan ke pelaku, maka pelaku bisa mudah mendapatkan kode OTP yang masuk ke inbox Maia. Ketika hal ini terjadi, seluruh akun media sosial, dompet digital, media sosial, email hingga ecommerce yang tersambung ke nomor ponsel itu terancam serangan peretas.

[Gambas:Video CNN]


Selain itu, pakar keamanan siber dari CISSReC Pratama Prasadha membeberkan modus lain. Menurutnya, Dalam kasus Maia, pelaku memanfaatkan kode call forwarding *21* dari Telkomsel untuk mendapatkan kode OTP Maia lewat panggilan telepon. .


Menurut Pratama, pelaku mengintal aplikasi Gojek lalu masuk dengan nomor Maia. Untuk masuk ke akun Gojek, pengguna hanya butuh kode OTP.

Namun aplikasi Gojek menurutnya bisa dikecoh. Sebab setelah dua kali permintaan OTP SMS, Gojek memberikan opsi untuk memberikan kode OTP lewat telepon. Saat itulah, pelaku mendapat kode OTP ini.

"Sehingga sepanjang Maia belum membatalkan pengalihan panggilan (call forwarding) dengan (kode) ##002#, pelaku bisa bebas masuk ke akun-akun marketplace, socmed, Whatsapp dan aplikasi lainnya milik Maia,?" tuturnya saat dihubungi lewat pesan teks, Senin (30/12).

Lebih lanjut, Alfons mengimbau agar pengguna selalu berhati-hati karena peretas saat ini memiliki berbagai variasi serangan siber. Ia mengatakan pengguna harus berhati-hati saat diminta untuk memasukkan kode USSD oleh orang asing.

"Kalau selama ini kan harus hati-hati jangan memberikan kode yang diterima dari pesan singkat. Sekarang bertambah lagi dengan tidak mengikuti permintaan memasukkan kode atau angka dan mengirimkannya," katanya.

Alfons mengatakan selain rekayasa teknik, pelaku juga menggunakan rekayasa sosial untuk mendukung modusnya. Rekayasa sosial tersebut akan mendorong korban untuk melakukan hal-hal yang diminta oleh pelaku.

"Misalnya driver atau penipu berpura-pura dalam posisi kesusahan dan minta tolong jadi orang susah dan korban akan dibuat kasihan sehingga mau membantu," ujar Alfons.

Alfons kemudian menyarankan agar tidak menyimpan kartu kredit di dalam e-commerce. Sebab, sekali akun diretas, maka penipu bisa menggunakan kartu kredit tersebut.

"Sekali akun kebobolan maka penipu akan bisa melakukan transaksi mengakses dan menggunakan nomor kartu kredit yang disimpan tersebut karena persetujuan transaksinya umumnya juga dilakukan via SMS yang telah dikuasai oleh penipu," kata Alfons.

Kasus ini terungkap setelah Maia bercerita lewat akun media sosial Instagram. Menurut penuturannya saat itu ia hendak memesan layanan pesan makanan yang dimiliki perusahaan GoJek itu, Kamis (26/12) kemarin. Namun si driver mengklaim kendaraannya mogok dan mengusulkan untuk mengganti pengemudi. (jnp/eks)