Sah! – Beredar kembali kejahatan siber berupa penipuan dengan modul sniffing menggunakan perangkat malware dalam bentuk Android Package Kit (APK) dengan berkedok Panitia Pemungutan Suara Pemilihan Umum 2024 (PPS Pemilu 2024).
Kejahatan siber ini bukanlah hal baru, tetapi sudah lama pelaku kejahatan menggunakan modus seperti ini. Yang sebelumnya berkedok undangan pernikahan, kurir ekspedisi, blanko tilang, dan lainnya yang memanfaat situasi dan kondisi yang sedang berlangsung.
Peredaran penipuan berkedok pesan file APK PPS Pemilu 2024 telah tersebar melalui platform Whatsapp dan Short Message Service (SMS).
APK merupakan format file yang digunakan untuk mengumpulkan dan menyimpan beragam jenis elemen untuk memasang atau menginstal aplikasi pada Android.
Aplikasi APK tergolong menjadi kategori bahaya karena dapat meminta akses untuk melakukan aktivitas, seperti membaca dan menerima SMS.
Maka dari itu, penipu yang menggunakan modus seperti ini dapat mengakses kode pin ATM bank, meminta SMS token secara ilegal, mengakses kode OTP, hingga dapat melakukan transfer dari rekening korban ke pelaku kejahatan.
Pelaku menggunakan aplikasi APK dengan modus kejahatan siber berupa sniffing, yaitu tindakan kejahatan menggunakan perangkat lunak (software) dan perangkat keras (hardware) yang dikenal dengan ‘sniffer’.
Sniffer inilah yang memungkinkan penggunanya untuk meretas lalu lintas internet dan menjangkau serta menangkap seluruh data yang mengalir ke dari dari perangkat pelaku.
Kepala Departemen Perlindungan Konsumen OJK, Rudy Agus P. Raharjo, mengatakan bahwa modus berupa sniffing berhubungan dengan tindakan peretasan oleh hacker yang dilaksanakan dengan jaringan internet.
Setelah menangkap data tersebut, sniffer ini akan menganalisis untuk mencari data dan informasi yang diinginkan.
Data yang ditangkap dan dianalisis adalah paket data yang melalui sebuah jaringan, kandungan dari paket data tersebut adalah berupa informasi penting, seperti kata sandi (pasword), konfigurasi router, lalu lintas website, kode OTP, pin ATM, serta data pribadi lainnya.
Sniffing hanya bisa diimplementasikan ketika jaringan tersebut tidak terenkripsi sehingga data yang dikirimkan dapat dibaca.
Pada kasus ini, pelaku kejahatan menciptakan tampilan aplikasi tersebut dengan bentuk file yang telah dimanipulasi dengan memberikan nama “foto” atau “undangan” untuk dibuka oleh calon korban.
Apabila mengunduh file APK yang dikirimkan oleh pelaku, pelaku akan melakukan sniffing atau mengambil data pribadi yang berasal dari telepon seluler korban dengan cara ilegal untuk mengambil alih dan menghabiskan rekening korban.
Jenis-jenis sniffing ada dua, yaitu active dan passive sniffing. Active sniffing adalah peretasan jaringan berbasis switch. Switch atau network switch adalah perangkat keras pada jaringan komputer sebagai penghubung dan pengarah lalu lintas data ke perangkat jaringan lain.
Apabila ada tambahan perangkat yang dihubungkan pada switch, akan dikirimkan data untuk mengatur lalu lintas jaringan ke perangkat tersebut. Pelaku akan mengawasi dan mengubah lalu lintas yang terdapat pada jaringan.
Sementara itu, untuk passive sniffing adalah peretasan pada lalu lintas tanpa bisa melakukan perubahan, pelaku dapat terhubung pada jaringan untuk melihat lalu lintas data sehingga pelaku dapat dengan mudah untuk memahami setiap lalu lintas yang terlalui.
Passive sniffing akan sangat sulit untuk terdeteksi karena tidak adanya perubahan apapun dalam lalu lintas data.
Kejahatan model seperti ini akan sangat merugikan korban karena dapat mencuri data pribadi korban, baik data spesifik dan umum. Data spesifik berupa data keuangan pribadi, seperti password m-banking, informasi keuangan pribadi, PIN ATM sehingga menguras saldo bank.
Sementara itu, data umum dapat berupa nama lengkap, NIK, dan data umum lainnya yang dapat merugikan korban untuk disalahgunakan data pribadinya tersebut.
Terlebih lagi, kejahatan siber model seperti ini dapat melakukan penyerangan terhadap keamanan jaringan korban.
Pelaku kejahatan siber berupa sniffing dapat dikenakan ketentuan pidana pada Pasal 65 ayat (1) juncto Pasal 67 ayat (1) Undang-Undang Pelindungan Data Pribadi (“UU PDP”).
Pasal tersebut menjelaskan bahwa apabila terdapat orang dengan melawan hukum mendapatkan ataupun menghimpun data pribadi yang bukan miliknya bertujuan untuk memperkaya diri sendiri atau pihak lain sehingga merugikan korban.
Akan dipidana penjara maksimal 5 tahun dan/atau pidana denda maksimal 5 miliar rupiah. Tindak kejahatan siber berupa sniffing tersebut harus memenuhi unsur tindak pidana yang dimaksud pada Pasal 67 ayat (1) UU PDP.
Pertama, unsur setiap orang, yaitu dapat berupa perorangan ataupun korporasi. Kedua, unsur dengan sengaja dan melawan hukum, yaitu tindak kejahatan berupa sniffing dalam meretas ponsel korban dilakukan dengan sengaja dan dipersiapkan menggunakan teknologi tertentu.
Ketiga, unsur memperoleh dan menghimpun data pribadi yang bukan miliknya, yaitu peretasan oleh pelaku untuk memperoleh dan meretas data pribadi orang lain.
Keempat, unsur untuk menguntungkan diri sendiri, yaitu pelaku kejahatan melakukan penghimpunan dan perolehan data pribadi spesifik dan umum milik korban untuk memperoleh keuntungan dari pihak korban.
Kelima, unsur mengakibatkan kerugian, yaitu korban dapat terkuras saldo rekeningnya hingga penyalahgunaan data pribadi lainnya, seperti menggunakan data pribadinya untuk didaftarkan ke pinjaman online.
Apabila telah terlanjur mengklik APK dengan modus sniffing, upaya yang dapat dilakukan adalah dengan segera menghubungi call center bank untuk memblokir rekening disertai dengan mengganti PIN ATM dan password m-banking.
Selanjutnya, dapat mematikan mobile data dan Wi-Fi pada perangkat, menghapus dan memblokir m-banking, serta mengembalikan format telepon seluler ke setelan pabrik atau hard reset.
Selain itu, dapat mengaktifkan notifikasi dari transaksi rekening bank dan memeriksa mutasi rekening secara berkala. Untuk itu, perlu untuk mengganti password secara berkala dan tidak memakai Wi-Fi publik untuk melakukan transaksi keuangan.
Sebagai upaya preventif, pemerintah menyarankan kepada masyarakat untuk menginstal aplikasi hanya dari toko aplikasi resmi, seperti Google Play Store dan App Store.
Pakar keamanan siber, Bruce Hanadi, mengungkapkan bahwa tingkat keamanan digital masyarakat di Indonesia masih tergolong rendah karena masyarakat masih malas untuk mengganti password secara berkala dan bahkan memakai satu password untuk semua.
Pemerintah mengimbau kepada masyarakat untuk berhati-hati dan tidak asal mengklik atau membuka aplikasi APK yang dikirimkan melalui Whatsapp ataupun SMS.
OJK juga menyarankan bahwa terdapat tiga cara untuk mengamankan data perbankan masyarakat dari penipuan, yaitu:
- Tidak asal mengklik suatu tautan atau file dari orang yang tidak dikenal;
- Tidak langsung menginstal file yang dikirimkan; dan
- Tidak memberikan izin akses untuk aplikasi/aplikasi APK yang tidak dikenal.
Selain itu, salah satu upaya preventif juga adalah dengan memeriksa keaslian nomor telepon/SMS/Whatsapp dengan menghubungi call center resmi perusahaan.
Untuk pemahaman tambahan, dapat menghindari kejahatan siber berupa sniffing dengan cara berikut:
- Menghindari penggunaan Wi-Fi publik atau yang terdapat di tempat umum, terlebih lagi yang tidak diproteksi menggunakan password;
- Melakukan enkripsi data memakai VPN, bertujuan untuk memproteksi pada proses pertukaran data;
- Menghindari dalam mengunjungi website yang diawali dengan ‘HTTP’, artinya situs tersebut tidak ada enkripsi data dalam proses pertukaran data;
- Tidak memakai aplikasi pesan yang tidak terenkripsi, dapat menggunakan aplikasi dengan model end-to-end encryption, seperti Telegram, Whatsapp, LINE, dan lainnya; dan
- Menginstal software antivirus pada perangkat.
Sah! Menyediakan layanan berupa jasa legalitas usaha sehingga tidak perlu khawatir dalam menjalankan usahanya termasuk mendirikan usaha berbasis siber.
Untuk yang hendak mendirikan suatu usaha dapat berkonsultasi dengan menghubungi WA 085173007406 atau mengunjungi laman sah.co.id.
Source:
https://www.rri.co.id/daerah/511923/waspada-penipuan-bermodus-malware-apk-pps-pemilu-2024
https://www.antaranews.com/berita/3856911/waspada-penipuan-file-apk-terkait-pemilu-2024
https://rechtsidee.umsida.ac.id/index.php/rechtsidee/article/view/985/823?download=pdf
https://widehostmedia.com/sniffing-cara-kerja-dan-tips-untuk-menghindarinya/
