Press "Enter" to skip to content
Social media di bawah bayang-bayang social engineering (Thomas Ulrich/Pixabay)

Penipu Online Kini Bersarang di Telegram, Jumlahnya Tambah Terus

Sebuah penelitian mendapati bahwa aplikasi pesan instan Telegram kini telah menjadi sarang serangan siber dalam volume yang patut diwaspadai. Penelitian menemukan jenis baru alat otomatisasi social engineering yang dapat mengekstrak One Time Password (OTP) dari pengguna.

Dilansir dari ESET Indonesia, cara lama di mana pelaku kejahatan akan menelpon korban dengan berpura-pura menjadi technical support untuk menipu calon korbannya mungkin mulai membosankan dan tidak lagi efektif dan efisien bagi scammer. Sekarang ini scammer benar-benar memanfaatkan hadirnya otomatisasi.

Contohnya mereka menggunakan bot-for-hire sebagai metode baru yang akan mengambil alih dunia social engineering. Dengan bot semacam ini, menelpon korban dalam jumlah ratusan makin mudah, alhasil tindakan scamming lebih sederhana dan menguntungkan.

Bot yang dimaksud adalah Bot OTP, jenis baru Telegram bot berbahaya yang dirancang untuk mengelabui korban yang tidak curiga dan menipu mereka agar memberikan One Time Password atau kata sandi satu kali mereka. OTP ini kemudian digunakan scammer untuk mengakses dan mengosongkan rekening bank korban.

Kabar buruk lainnya, basis pengguna bot model baru ini tengah berkembang dan tumbuh begitu cepat dengan jumlahnya mencapai ribuan dalam beberapa minggu terakhir.

Berikut adalah ciri-ciri Bot OTP:

  • Bot dapat mengekstrak kata sandi satu kali dari korban dalam hitungan menit.
  • Bot OTP dapat mencuri OTP untuk pertukaran kripto, bank, dan layanan online lainnya seperti Gmail, Coinbase, Bank of America, Alliant, Chase, dan banyak lagi.
  • Bot robocall merupakan salah satu teknik rekayasa sosial bot OTP.

Adapun cara kerja Bot OTP:

  • Bot OTP adalah contoh terbaru dari model Crimeware-as-a-Service yang berkembang di mana penjahat dunia maya menyewakan alat dan layanannya kepada siapa pun yang bersedia membayar.
  • Setelah dibeli, Bot OTP memungkinkan penggunanya untuk mengambil One Time Password (OTP) dari korban yang tidak curiga dengan memasukkan nomor telepon target, serta informasi tambahan apa pun yang mungkin diperoleh pelaku ancaman dari kebocoran data atau pasar gelap. Kemudian data ini dimanfaatkan tergantung pada layanan yang ingin dieksploitasi oleh pelaku ancaman.
  • Bot juga dijual di ruang obrolan Telegram yang saat ini memiliki lebih dari 6.000 anggota, menghasilkan keuntungan besar bagi penciptanya dari menjual langganan bulanan kepada para penjahat siber. Sementara itu, penggunanya secara terbuka memamerkan senjata terbaru mereka dengan menggeledah rekening bank target mereka di dalam ruang chat yang sama.

Sarang penipuan dan kejahatan

Sejak diluncurkan di Telegram pada bulan April, layanan ini tampaknya semakin populer, terutama dalam beberapa minggu terakhir. Saluran Telegram Bot OTP memiliki 6.098 anggota, peningkatan 20 persen hanya dalam tujuh hari.

Beberapa alasan di balik pertumbuhan yang cepat tampaknya adalah kemudahan penggunaan dan model bot-for-hire, yang memungkinkan scammer yang tidak berpengalaman atau bahkan baru pertama kali menjadi penipu dapat berhasil menipu korbannya dengan sedikit usaha dan tanpa interaksi sosial.

Berdasarkan keberhasilan Bot OTP, sangat jelas bahwa tool social engineering otomatis jenis baru ini hanya akan terus tumbuh dan populer. Hanya masalah waktu sebelum penipuan ini makin masif. Yang lebih mengkhawatirkan adalah bahwa pengetahuan ini ditawarkan untuk disewa dengan cara berbasis cloud (crimeware-as-a-service), memberikan titik masuk yang lebih mudah ke scammerscript-kiddie”.

Cara mengenali serangan social engineering:

  • Jangan menjawab panggilan dari nomor yang tidak dikenal. Jika Anda melakukannya dan seseorang yang tidak Dikenal mulai meminta informasi pribadi Anda, segera tutup telepon.
  • Jangan pernah memberikan data pribadi. Ini termasuk data seperti nama, nama pengguna, alamat email, kata sandi, PIN, atau informasi apa pun yang dapat digunakan untuk mengidentifikasi Anda.
  • Santai saja. Scammer sering mencoba untuk membuat rasa urgensi palsu untuk menekan Anda agar memberikan informasi Anda. Jika seseorang mencoba memaksa Anda untuk membuat keputusan,
  • Tutup telepon atau beri tahu mereka bahwa Anda akan menelepon kembali nanti. Kemudian hubungi nomor resmi perusahaan yang mereka wakili.
  • Jangan percaya ID penelepon. Scammer dapat muncul sebagai perusahaan atau seseorang dari daftar kontak Anda dengan memalsukan nama dan nomor telepon. Faktanya, penyedia layanan keuangan tidak pernah menelepon pelanggan mereka untuk mengonfirmasi informasi pribadi mereka. Jika ada aktivitas yang mencurigakan, mereka hanya akan memblokir akun Anda dan mengharapkan Anda untuk menghubungi perusahaan melalui saluran resmi untuk menyelesaikan masalah tersebut. Karena itu, selalu waspada, meskipun ID penelepon di layar ponsel Anda terlihat asli.

Be First to Comment

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

%d blogger menyukai ini: