KOMPAS.com - Pengamat keamanan siber Alfons Tanujaya meminta masyarakat agar tidak sembarangan membuka atau mengeklik tautan maupun dokumen yang dikirimkan melalui aplikasi pesan instan (WhatsApp).
Pasalnya, pesan berisi tautan atau dokumen yang dikirimkan oleh nomor tidak dikenal dengan dalih apa pun dapat mencuri data rekening, termasuk membobol m-banking di ponsel, apabila asal diklik.
Imbauan tersebut diberikan Alfons seiring beredarnya pengungkapan penipuan melalui WhatsApp (WA) dengan modus mengirimkan undangan pernikahan, seperti disebutkan oleh akun Twitter @txtxfrombrand.
Baca juga: Belajar dari Kasus Pasutri Bobol M-Banking, Segera Lapor Bank Jika Ponsel Hilang
Dalam aksinya, pelaku mengirimkan pesan berupa APK atau Android Package Kit yang diberi nama Surat Undangan Pernikahan Digital, melalui WA.
Pelaku mengarahkan korbannya untuk membuka pesan tersebut dengan alasan meminta kesediaan korban untuk hadir dalam acara pernikahan.
"Kali ini dengan mengirimkan surat undangan pernikahan yang sebenarnya mengandung APK dari luar Play Store yang jika di-instal akan mencuri kredensial OTP dari perangkat korbannya," kata Alfons ketika dihubungi Kompas.com, Sabtu (28/1/2023).
Baca juga: Waspada Phising, Modus Cara Melihat Siapa Saja yang Intip Profil Facebook
Baca juga: Awas, Penipuan Berkedok Pesan Barang via WA, Bisa Bajak Akun Media Sosial
Alfons membeberkan, ketika APK dijalankan, akan muncul beberapa peringatan, seperti menginstal aplikasi dari luar Play Store yang sangat berbahaya dan tidak disarankan.
Bila peringatan tersebut diabaikan, masih muncul peringatan lain ketika memberikan akses SMS kepada aplikasi yang ingin diunduh.
"Termasuk daya dokumen dan foto perangkat kepada aplikasi berbahaya yang di-instal tersebut," jelas Alfons.
Baca juga: Waspadai, Modus Pencurian Data dengan File APK Undangan Pernikahan
Kendati modus ini berbahaya bagi keamanan ponsel, sebagian orang yang tidak terbiasa akan memperhatikan peringatan ketika aplikasi diunduh.
Ada kemungkinan mereka juga memberikan persetujuan atau allow tanpa membaca dengan teliti dan mengerti akibat dari persetujuan yang diberikan.
"Maka aplikasi 'jahat' pencuri data ini akan tetap terinstal dan menjalankan aksinya," jelas Alfons.
Baca juga: Hacker asal Sleman Raup Rp 31,5 Miliar dengan Meretas Perusahaan di AS
Alfons menambahkan, APK yang sudah terunduh sebenarnya tidak cukup untuk mengakses akun m-banking pada ponsel.
Pasalnya, akses menuju m-banking masih membutuhkan user ID, password, PIN persetujuan transaksi, dan one time password (OTP) yang didapatkan melalui APK tersebut.