Beberapa jenis penipuan online memanfaatkan trik social engineering via aplikasi pesan singkat WhatsApp (WA) dan atau pun aplikasi lain masih menghantui. Jika tidak waspada, hal ini bisa membuat rekening korban terkuras habis.

Kasus-kasus seperti ini antara lain penipuan sedot rekening dengan memanfaatkan file apk dengan berbagai modus, misalnya paket, undangan nikah, surat tilang elektronik, tagihan internet, lowongan pekerjaan, hingga operator seluler, serta penipuan like dan subscribe/follow.

Modus-modus tersebut biasanya menyebarkan pesan yang berisikan file dengan format .apk (Application Package File/APK). Ini adalah format berkas yang digunakan untuk mendistribusikan dan memasang software dan middleware ke ponsel dengan sistem operasi Android.

File dengan format apk biasanya tidak ada di toko aplikasi resmi seperti Google Playstore. File jenis ini kerap dimanfaatkan untuk mengunggah malware atau program jahat yang dapat membuat pelaku mengakses SMS di Hp korban hingga bisa menguras rekening.

Berikut daftar modus yang perlu Anda waspadai jika tidak ingin rekening terkuras habis:

Modus kurir
Modus penipuan kurir sempat viral di media sosial akhir tahun lalu. Pelaku berpura-pura menjadi kurir dan mengirimkan lampiran file dengan nama ‘LIHAT Foto Paket' kepada korban, tapi dalam bentuk apk.

Korban yang tidak jeli mengklik file tersebut dan mengunduhnya, sehingga berujung saldo mobile banking ludes. Aplikasi yang dikirimkan penipu ini kemungkinan berjalan di latar belakang dan mengambil data korban, sehingga membuat penipu dapat mengakses akun perbankan korban.

Modus undangan nikah
Setelah modus kurir, penipuan jenis apk berubah wajah menjadi modus penipuan berupa undangan nikah di . Modus ini seringkali menghantui pengguna yang tidak mengerti atau masih awam soal modus-modus penipuan penjahat siber.

Modusnya mirip-mirip dengan penipuan kurir. Pelaku akan mengirimkan file apk atau aplikasi berjudul ‘Surat Undangan Pernikahan Digital' dengan ukuran 6,6 MB, disusul dengan pesan yang isinya “Kami harap kehadirannya,”.

Penipu juga mengajak calon korbannya untuk membua file apk yang dikirimkan, dengan dalih agar korban mengecek apakah isi file tersebut benar ditujukan kepada korban.

Modus surat tilang
Penipuan online modus kiriman file apk kembali berganti rupa lewat pengiriman surat tilang di WhatsApp pada Maret 2023.

Beberapa warganet mengunggah chat dari kontak yang mengaku sebagai kepolisian dan menyebut penerima pesan sudah melanggar aturan lalu lintas. Penipu juga meminta membuka data berjudul ‘Surat Tilang-1.0.apk' yang turut diunggah dalam pesan WhatsApp.

Mencatut MyTelkomsel
Pelaku penipuan online kemudian beralih modus dengan mengatasnamakan MyTelkomsel, aplikasi milik operator seluler Telkomsel, untuk membuat pelanggan mengklik file apk.

Modusnya calon korban diminta mengakses dan kemudian mengunduh file apk yang dikirimkan via pesan singkat.

Setelah proses instalasi rampung, calon korban akan diminta memberikan izin akses ke beberapa aplikasi termasuk foto, video, SMS, dan akses akun layanan perbankan digital atau fintech.

Jika akses diberikan, maka sangat mungkin bagi pelaku kejahatan mengontrol gawai korban serta mengetahui seluruh informasi rahasia seperti PIN, password, dan kode OTP.

Merespons hal ini, Telkomsel memastikan pihaknya tidak pernah meminta kode verifikasi dalam bentuk apa pun, termasuk mengirimkan permintaan kepada pelanggan untuk mengunduh file apk.

Para penjahat siber kembali mengubah modusnya. Kali ini modus penipuan apk berganti muka jadi file via pembelian barang di online shop.

Caranya sederhana, menulis ulang format .apk menjadi .Pdf. Tujuannya demi menutupi ke-apk-an file tersebut.

Lewat WhatsApp, penipu memberikan file yang diklaim daftar orderan demi memancing penjual membukanya. Formatnya datanya adalah .Pdf. Sementara, file dalam bentuk pdf yang biasanya disebar di kolom chat perpesanan berwarna merah dan tidak diawali dengan huruf kapital (.pdf).

Sedangkan, file yang disebar kepada para korban terlihat seakan diubah nama file ‘List order.Pdf' dan tidak berwarna merah.

Modus like dan subscribe
Di luar modus apk, penipuan online terkini muncul lewat tawaran kerja daring dengan tugas memberi like dan subscribe atau follow akun tertentu.

Modusnya, pelaku mengaku dari sebuah perusahaan dan menawarkan korban bisa mendapat uang dengan melakukan tugas seperti like dan subscribe channel YouTube mitra dari perusahaan itu.

Setiap selesai tugas denga target tertentu, peserta ditawarkan dengan tugas baru dengan imbalan lebih tinggi. Pada titik tertentu, peserta bisa mendapat imbalan lebih namun dengan menyetor uang deposit.

Tugas like dan subscribe terbaru kembali diterima dengan imbalan lebih besar dan deposit lebih tinggi dalam tiga tahap, yakni Rp3,7 juta dan Rp14,7 juta, dan Rp30 juta.

Modus pop-up M-Banking BCA
Terkini, viral dugaan modus penipuan terbaru di aplikasi BCA Mobile berupa notifikasi pop-up yang disebut dapat menguras isi rekening.

Kabar penipuan itu tersebar di media sosial baik WhatsApp maupun Twitter, dengan tampilan seolah meminta pengguna untuk menghapus virus di saat hendak membuka BCA Mobile.

“1 virus ditemukan, harap segera hapus,” demikian bunyi keterangan pop-up saat membuka BCA mobile seraya menampilkan pilihan hapus atau keluar dari tampilan aplikasi, seperti yang diunggah sejumlah akun Twitter.

Dalam keterangan pop-up itu dijelaskan bahwa virus yang masuk ke smartphone pengguna adalah Trojan lewat aplikasi Picsart. Virus ini dapat menyebabkan perangkat diakses oleh aplikasi jarak jauh tanpa autorisasi.

Akun resmi BCA pun meresponsnya dan mengimbau untuk tidak melakukan klik apapun saat pesan seperti itu muncul.

Pakar keamanan siber dari AwanPintar.id Yudhi Kukuh mengungkapkan modus penipuan di aplikasi BCA Mobile itu menyerupai modus apk yang pernah heboh berupa undangan nikah hingga kurir.

Yudhi menjelaskan peretas menargetkan kredensial (username dan password) data keuangan dengan misi menguasai akun perbankan target.

Jika pop-up itu muncul dan diklik, ia menyebut apk secara otomatis akan terinstal dan ponsel pengguna disusupi malware. Akhirnya, data-data pengguna bisa dimiliki oleh para peretas.

Agar tidak menjadi korban sasaran malware jenis ini, Yudhi menyarankan pengguna tidak mengklik apapun pesan yang muncul secara tiba-tiba di ponsel. ***