Hati-Hati! Penjahat Siber Bisa Curi Akun lewat Phising OTP
JAKARTA, investortrust.id - Pelaku kejahatan siber mengembangkan metode canggih yang menggabungkan phishing dengan bot kata sandi sementara, atau one-time passworrd (OTP) otomatis untuk melewati otentikasi dua faktor (two-factor authentication/2FA).
2FA adalah fitur keamanan yang mengharuskan pengguna untuk memverifikasi identitas mereka menggunakan bentuk otentikasi kedua, biasanya OTP yang dikirim melalui pesan teks, email, atau aplikasi otentikasi.
Bot OTP adalah alat yang digunakan oleh penipu untuk mencegat OTP melalui teknik rekayasa sosial. Penyerang biasanya berusaha mendapatkan kredensial login pengguna melalui phishing atau kebocoran data, kemudian login ke akun tersebut, sehingga memicu OTP untuk dikirimkan ke ponsel pengguna.
Setelah itu, bot OTP akan menelepon pengguna, berpura-pura menjadi perwakilan dari organisasi tepercaya, dan menggunakan dialog yang telah ditentukan sebelumnya untuk membujuk korban agar membagikan OTP tersebut. Terakhir, penyerang menerima OTP melalui bot dan menggunakannya untuk mendapatkan akses ke akun korban.
Baca Juga
Menurut Pakar Keamanan Siber Kaspersky Olga Svistunova, pelaku kejahatan siber biasanya lebih memilih panggilan telepon daripada pesan karena panggilan meningkatkan kemungkinan korban merespons dengan cepat. Bot dapat meniru nada dan urgensi panggilan yang sah, sehingga membuatnya lebih meyakinkan.
“Pelaku kejahatan siber mengelola bot OTP melalui panel online khusus atau platform pengiriman pesan seperti Telegram. Bot ini hadir dengan berbagai fitur dan paket berlangganan,” katanya melalui keterangan resmi Kaspersky, dikutip Senin (11/6/2024).
Mereka dapat disesuaikan untuk meniru organisasi yang berbeda, menggunakan berbagai bahasa, dan bahkan memilih antara suara laki-laki dan perempuan. Opsi lanjutan mencakup spoofing nomor telepon, yang membuat ID penelepon tampak seolah-olah berasal dari organisasi yang sah.
Sebelum menggunakan bot OTP, Olga menyebut penipu harus mencuri kredensial korban. Mereka sering menggunakan situs web phishing yang terlihat seperti halaman login resmi bank, layanan email, atau akun online lainnya. Saat korban memasukkan nama pengguna dan kata sandinya, penipu menangkap informasi ini secara real-time.
Penelitian Kaspersky menunjukkan dampak signifikan dari serangan bot phishing dan OTP ini. Dari tanggal 1 Maret hingga 31 Mei 2024, produk perusahaan mencegah 653.088 upaya mengunjungi situs yang dihasilkan oleh perangkat phishing yang menargetkan sektor perbankan, yang datanya sering digunakan dalam serangan dengan bot OTP.
Pada periode yang sama, teknologi Kaspersky mendeteksi 4.721 halaman phishing yang dihasilkan oleh kit yang bertujuan untuk melewati otentikasi dua faktor secara waktu nyata atau real-time.
Baca Juga
Waspada Kejahatan Siber, AdaKami Ingatkan Pentingnya Menjaga Data Pribadi
“Rekayasa sosial bisa menjadi sangat rumit, terutama dengan penggunaan bot OTP yang dapat meniru panggilan nyata dari representatif layanan atau organisasi yang sah. Penting untuk tetap waspada dan mengikuti praktik keamanan terbaik,” tutur Olga.
Olga menjelaskan sejumlah cara yang dapat dilakukan untuk menghindari pengambilalihan akun melalui phising dan bot OTP. Pertama adalah hindari membuka tautan dalam pesan surel (email) mencurigakan.
Kedua Pastikan alamat situs web benar dan tidak ada kesalahan ketik sebelum memasukkan kredensial di sana. Terakhir, jangan pernah mengucapkan atau memasukkan kode satu kali saat sedang menelepon, tidak peduli seberapa meyakinkannya suara penelepon.
“Bank sungguhan dan perusahaan lain tidak pernah menggunakan metode ini untuk memverifikasi identitas,” tegasnya.