Pakar Bongkar Identitas Penipu Modus Kurir Kirim Foto: Orang IT

Identitas penipu dengan modus kurir mengirim foto paket via WhatsApp terbongkar lewat penelusuran jejak digital. Tekniknya tak jauh dari aplikasi ilegal yang bisa mengakses SMS untuk mendapatkan one time password (OTP) korban.

Sebelumnya, viral penipuan dengan modus kurir menanyakan soal pengiriman sambil memberikan foto yang diklaim paket padahal aplikasi (apk) yang bisa membobol rekening korban.

"Soal modus penipuan seperti ini, ketika korban lengah dan menginstall aplikasi tersebut, maka pelaku akan memiliki akses untuk membaca dan juga mengirimkan SMS. Dari sana bisa melebar kemana-mana," kicau pakar keamanan siber sekaligus pendiri Ethical Hacker Indonesia, Teguh Aprianto, via akun Twitter @secgron, Senin (5/12).

[Gambas:Twitter]

Lewat blog-nya, pegiat keamanan jaringan (network security) Nikko Enggaliano Pratama mengungkap siapa penipu ini. Yakni, seseorang bernama Rand* Raml* dengan akun Instagram @rndyinher* dan akun Telegram @RndyTechOfficia*.

Kok bisa sampai sejauh itu?

Nikko menelusurinya berdasarkan aplikasi yang diduga sejenis dengan yang digunakan penipu dalam kasus yang viral itu, yakni aplikasi "LIHAT Foto Paket" berukuran 5,5 Megabit.

"Inti dari bentuk kejahatan digital ini adalah, korbannya di'hipnotis' dengan bentuk manipulasi psikologi 'Apa benar ada sebuah paket?' maka si korban akan merasa 'ah tidak' lalu korban akan terhipnotis sekali lagi untuk membuka sebuah file 'LIHAT Foto Paket' tersebut," ujarnya.

Jika korban mengklik dan menyetujui semua permission apk tersebut, semua 'data' SMS akan tercuri. Menurutnya, inilah awal kejahatan berikutnya.

Nikko kemudian melakukan decompile aplikasi ini untuk mencari kode sumber (source code). Aplikasi ini kemudian diketahui meminta izin (permission) untuk menerima SMS, akses internet, mengirim SMS.

"Tidak peduli aplikasi ini otentik dengan yang beredar atau tidak tapi aplikasi ini juga melakukan pencurian data SMS para pengguna yang menginstall ini," jelasnya.

"Aplikasi ini dapat menjadi titik awal pencurian data sampai pencurian saldo pada aplikasi M-Banking," lanjut dia.

Aplikasi dengan nama dasar com.rndytech.smstest ini melakukan loading terhadap situs J&T (https://jet.co.id/track). Sisanya, melakukan pengecekan permission untuk membacan SMS.

"Jika memang ini aplikasi hanya untuk pengecekan JET RESI, kenapa butuh permission SMS?" cetusnya.

Usai membongkar permission check, Nikko menemukan potongan kode yang mengarahkan ke desain perangkat lunak yang bisa membuat lebih dari dua aplikasi terhubung atau REST API (https://randiramli.com) dengan isi detail dari Hp yang dipakai korban.

"Jahat ya. Untuk apa kebutuhan developer aplikasi mengetahui detail device kita?" ucapnya.

Dengan menggunakan Virtual Machine (VM), Nikko membuka paksa (force open) aplikasi yang terinstall itu meski tak terdapat di tampilan ponsel. Hasilnya, terlihat nama packagen com.rndytech.smstest.

Untuk masuk lebih jauh ke REST API dengan domain yang mengekor pada website jet.co.id, Nikko mulanya tak mendapat permission. Ia pun menghilangkan keharusan itu pada kodenya.

"Dan benar saja, aplikasi akan mulai melakukan hit ke rest api dengan endpoint," lanjutnya.

Ia pun mengirimkan pesan "Halo Penipu, aplikasimu sudah tercrack" ke nomor 123. Benar saja, pesan itu masuk ke REST API.

"Aplikasi ini terbukti melakukan pencurian data terlepas dari otentik atau tidak dengan aplikasi yang beredar, MENURUT PENULIS aplikasi ini sudah melanggar kaidah-kaidah privasi antara pengembang dan pengguna aplikasi," paparnya.

Lantaran sudah bisa masuk hingga ke intinya, Nikko mendapatkan sejumlah keterangan. Bahwa, IP Adress pembuat aplikasi ini adalah randiram**.com [172.67.177.9*] serta menggunakan server Cloudflare.

Menelusuri lebih jauh, Nikko membuka situs tersebut dan tercantum tulisan "asu yang buka". Ia juga mendapatkan detil pemetaan alur domain dan subdomainnya. Salah satu yang menarik adalah tampilan dari subdomain kumpulanscript.randiram**.com.

Domain ini dibeli melalui provider DomainNesia. Dicek menggunakan [who.is](https://who.is), domain ini dibeli 30 Desember 2021, "dekat-dekat dengan tahun baru dan habis pada tahun ini di bulan ini juga."

Lebih jauh, pembeli dan pemilik domainnya diketahui bernama Rand* Raml* dengan nomor telepon dan email yang mirip dengan namanya. Nikko pun mengecek nomor tersebut hingga menampilkan sejumlah nama.

Di antaranya, Rndytech, Kapten, Randy, Rendy, Rndy Teck Teck Coy, Rndy, Randi Reg Sulsel, Rendy Coding, Rndytech Hosting

"Nama-nama dari nomor tersebut sangat otentik dan identik dengan hal-hal yang berbau dengan teknologi dan coding," ungkap dia.

Ia juga mendapatkan informasi Instagram dari pemilik web/domain, yakni rndyinher*. Saat CNNIndonesia.com membuka akun tersebut, tampilannya hanya berisi tulisan "Something went wrong".

Namun, berdasarkan tangkapan layar yang diunggah Nikko, pemilik akun memiliki profil "Fullstack Web Developer | Mobile Developer" dengan 9 post, 9.562 followers, dan 16 following.

Ada juga deret unggahan IG yang membentuk tulisan 30 Januari 2004. "Asumsi penulis, pemilik web/domain bernama Rand* Raml* memiliki tanggal lahir 30 Januari 2004 (18 tahun)," imbuhnya.

Nikko juga melakukan pencarian dengan menemukan domain yang mirip, yaitu https://www.randiram**.my.id/. Yang muncul kemudian adalah akun telegram dengan nama @RndyTechOfficia*.

Menurut pantauan, akun tersebut terakhir kali aktif kemarin.