Apakah Indonesia menjadi Surganya Penipu Online?
Kejadian akun WhatsApp teretas, kemudian meminta uang kepada teman-teman dekat mungkin sudah kerap terjadi. Hal ini juga salah satunya disebabkan oleh sistem autentikasi WhatsApp yang secara default mengandalkan nomor HP dan kode OTP saja (tanpa username dan password). Ditambah lagi sistem login di WhatsApp versi browser yang hanya dengan scan QR code.
Namun apakah teman-teman pernah membayangkan, sistem keamanan selevel Instagram juga dapat dijebol oleh peretas? Dan apakah yang harus dilakukan apabila sampai hal ini terjadi?
Kejadian yang saya dan teman saya alami ini mungkin dapat menjadi refleksi bagi kita semua.
Sabtu, jam 5 pagi terdapat notifikasi melalui SMS pada nomor teman saya, sebut saja Allisa, yang mana memberitahukan ada percobaan login di akun Instagram-nya dengan kode OTP. Karena masih pagi, dan kebanyakan orang tidak bangun pada jam tersebut, notifikasi tersebut belum terbaca sampai sekitar jam 6 pagi, dan pada saat itulah teman saya yang lain mendapatkan direct message (DM) dari akun Instagram Allisa yang meminta uang dan dikirimkan ke akun OVO dengan nomor HP tidak dikenal, namun dengan nama profil Allisa.
Atas kejadian tersebut Allisa ditelpon, dan ditanyakan atas kebenaran hal tersebut. Dan ternyata akun Instagram Allisa sudah diretas!
Setelah kejadian tersebut, Allisa mencoba login ke Instagram, namun sudah tidak bisa lagi, karena email dan nomor HP pada akun Instagram Allisa sudah diganti ke email dan nomor HP yang didaftarkan peretas!
Allisa dan temannya segera mengingatkan ke teman-teman yang lain dengan DM (dengan keterbatasan maksimal 20 DM perhari perakun!) dan Instagram story, supaya tidak ada orang lain yang terjebak dengan permintaan kirim uang ke akun OVO tersebut. Namun apa daya, beberapa followersnya sudah terlanjur mengirimkan sejumlah uang yang jumlahnya tidak sedikit. Bahkan ada yang meminta balik uang yang sudah terlanjur dikirimkan, bukan kepada peretas, melainkan kepada Allisa.
Efek dari kejadian ini bisa sangat besar, melihat total followers Instagram Allisa yang mencapai ribuan.
Hal yang tidak lazim baru akan dimulai sejak ini.
Masih di hari yang sama, jam 6 sore, saya dikabari bahwa akun Instagram Allisa diretas. Singkat cerita, saya memutuskan untuk membantu Allisa sekaligus ingin melihat bagaimana prosedur pelaporan apabila ada tindak kejahatan siber. Saat itu, kami juga merasa semakin cepat hal ini dimitigasi, akan semakin baik.
Karena pemulihan akun Instagram tidak dapat dilakukan, maka hal yang pertama kami kejar adalah menelfon pihak OVO untuk mencari tahu prosedur membekukan akun impersonasi tersebut. Kami melakukan penelusuran bahwa nomor yang dipakai sudah berulang kali digunakan untuk penipuan dengan modus yang sama. Hasilnya, kita diminta supaya membuat surat laporan kepolisian dan melaporkan nomor pelaporan ke pihak OVO.
Saat itu juga, kami datang ke Polsek untuk proses pembuatan laporan. Namun setelah pembicaraan cukup panjang, kami mendapati bahwa Polsek yang didatangi tidak bisa menangani kejahatan siber, hanya kejahatan yang konvensional. Kami pun diarahkan ke Polda yang katanya memiliki peralatan untuk melakukan penelusuran.
Sudah 4 jam berlalu sejak pertama kami menelfon call center OVO dan kami baru saja tiba di Polda. Di Polda, kami ditanyai dengan pertanyaan yang sama dengan yang ditanyakan di Polsek. Kemudian kami diarahkan ke Reskrim dan di meja depan kami juga ditanyai dengan pertanyaan yang sama.
Dari total kira-kira sepuluh lebih pertanyaan sama yang ditanyakan di Polsek dan Polda, kami selalu ditanyai bahwa apakah kami mengalami kerugian material? Dan kami selalu meyakinkan ke polisi, bahwa niat kami adalah menghilangkan momentum peretas untuk melakukan impersonasi dan menipu teman-teman dekat korban. Caranya adalah dengan menerbitkan nomor pelaporan, itu saja. Namun, mereka masih tidak yakin apakah penerbitan nomor pelaporan bisa dilakukan, mengingat kami tidak mengalami kerugian material.
Kami benar-benar baru bisa masuk Reskrim satu jam kemudian, dan ternyata pada hari itu Reskrim sudah mendapatkan rata-rata 5 laporan perhari untuk kasus UU ITE (baik kejadian peretasan pada mobile banking, WhatsApp, dll) dan kira-kira hanya 2 laporan yang benar-benar dapat dilanjutkan.
Laporan kami hampir ditolak, kalau kami tidak meyakinkan berulang kali bahwa tujuan kami hanya ingin mendapatkan nomor pelaporan.
Di Polda, kami mendapati bahwa peralatan dan tenaga siber yang dimiliki kepolisian sangat amat terbatas, sehingga banyak peretas yang berhasil kabur setelah mendapat keuntungan secara ilegal.
Apakah teman-teman tahu? Provider dapat melacak lokasi teman-teman dengan melihat koneksi HP dengan BTS-nya (ini sangat akurat). Selain itu, alamat IP bisa menjadi sebuah bukti lokasi (walau kadang tidak akurat). Dan masih ingatkah saat teman-teman membeli SIM, teman-teman harus mendaftarkan nomor KTP dan nomor KK? Yang terlihat di sini adalah kerjasama antara beberapa pihak yang dapat mencegah dan membuktikan adanya kasus penipuan di Indonesia sangat kurang.
Kami baru mengantongi nomor pelaporan jam 12 malam, dan mendapati call center OVO buka pada jam 6 pagi hingga 10 malam. Memang terdapat dinding pembatas lain, namun kami berharap tidak ada followers Allisa yang tertipu lagi sampai dengan jam 6 pagi esok hari.
Minggu jam 6 pagi, kami melaporkan hal itu ke OVO melalui email, namun dengan bukti pelaporan yang ada, ternyata pihak OVO tidak mau menutup akun palsu tersebut!
Dan si peretas masih beraksi dengan akun Instagram Allisa dan akun palsu OVO yang diatas namakan Allisa. Usaha kami untuk membendung penipuan ini menjadi gagal total karena masalah prosedural yang tidak jelas!
Dari kejadian ini, kami mendapatkan pelajaran keras bahwa dengan segala keterbatasan yang dimiliki, di Indonesia, modus penipuan-penipuan sepele (yang sebenarnya dapat terdeteksi dan terbendung), terlalu mudah untuk dilakukan.
Dari sisi negara, kepolisian, dan pemilik jasa seharusnya ada undang-undang dan prosedur yang jelas untuk saling bekerja sama dalam memberantas penipuan secara online. Beberapa platform digital di luar sudah banyak yang memberikan jasa keterbukaan data kepada penegak hukum supaya platform digitalnya tidak digunakan untuk kejahatan. Sebagai pemilik wewenang, seharusnya jasa ini dapat digunakan secara maksimal.
Law enforcement request WhatsApp: https://www.whatsapp.com/records/login , Instagram: https://www.facebook.com/help/instagram/494561080557017 , Google/Android: https://support.google.com/transparencyreport/answer/9713961?hl=en , Apple: https://www.apple.com/privacy/government-information-requests/)
Untuk pemilik akun, teman-teman harus sadar akan sulitnya memproses hukum tindak penipuan online di Indonesia. Pengamanan akun pribadi jadi solusi utama!
- Selalu update sistem operasi dan aplikasi pada perangkat. Ini bukan sesuatu yang remeh, update itu bukan selalu fitur, namun menutup celah keamanan yang ada. Contoh adalah bug pada Instagram versi sebelum Februari 2020, yang memungkinkan akun pengguna Instagram terambil alih hanya dengan melihat gambar milik peretas! https://thehackernews.com/2020/09/instagram-android-hack.html . Sebuah bug yang sepele apabila teman-teman melakukan update secara rutin.
- Selalu ingat alamat email dan nomor HP yang didaftarkan ke Instagram supaya pemulihan akun dapat dilakukan https://help.instagram.com/149494825257596
- Aktifkan mfa (multi-factor authentication) dengan menggunakan salah satu aplikasi seperti Google Authenticator, Microsoft Authenticator, VIP Access, Authy, dan sebagainya. Mfa yang paling tidak aman adalah kode OTP yang dikirimkan melalui SMS!
- Gunakan password yang kuat, tidak mudah tertebak. Lebih baik lagi menggunakan password manager yang memiliki fitur enkripsi (password manager yang saya maksud bukan password manager pada browser).
- Hati-hati dalam bersosial media, apabila ada teman yang meminta uang. Verifikasi ke akun lain, cobalah untuk menelpon atau bertemu langsung.
Teman-teman tahu tidak betapa mudahnya mengganti nama akun pada digital payment seperti OVO, Go-Pay, Dana, dll. Jika dibandingkan dengan akun bank yang sangat restriktif, digital payment tersebut sangat mudah digunakan untuk serangan yang melibatkan impersonasi. Undang-undang akan sangat krusial di sini.
Sebagai teman dekat korban atau keluarga korban yang mengalami kerugian material akibat mengirim uang kepada peretas juga seharusnya bersikap supportif. Bukannya meminta balik uang kepada pemilik akun aslinya, karena hal ini sangat tidak relevan dan hanya memperkeruh keadaan yang ada.
Semoga tulisan ini dapat membantu teman-teman.
Terimakasih atas waktunya. 🍕
