Ingeniería sosial telah menjadi metode penipuan yang paling umum dan meluas saat ini. Serangan besar-baru ini terhadap pengguna GCash menunjukkan bahwa phishing merupakan vektor utama untuk mendapatkan akses dan merampas akun korban yang tidak curiga.
Inisiatif ini telah terjadi selama beberapa dekade namun hanya dalam skala yang lebih kecil. Baru-baru ini, kita menyaksikan insiden seperti ini terjadi dalam skala yang jauh lebih besar — mulai dari transaksi misterius BPI pada Juni 2017, BDO kembali pada Desember 2021, hingga penarikan tanpa izin BPI lainnya baru saja terjadi pada Januari 2023. Kemudian, insiden GCash minggu ini.
Ada satu hal yang sama — lembaga yang terlibat adalah pemain terbesar di industri ini dan memiliki jumlah pelanggan terbanyak di negara tersebut. GCash saja telah memiliki lebih dari 81 juta pengguna per Maret 2023.
Ini adalah tambang emas untuk peretasan online yang sempurna. Tidak perlu serumit atau sekompleks La Casas de Papel, tetapi bahkan jika hanya berhasil pada 0,001% dari basis pengguna total, itu masih berarti 81.000 pengguna GCash.
Bagi mereka yang tidak familiar dengan apa itu phishing:
Phishing adalah jenis serangan siber yang menggunakan email, panggilan telepon, atau pesan teks untuk menipu individu agar mengungkapkan informasi sensitif, seperti kata sandi, nomor kartu kredit, nomor jaminan sosial, atau data pribadi lainnya. Penyerang biasanya berpura-pura sebagai entitas tepercaya, seperti bank, situs web populer, atau bahkan teman atau rekan kerja, untuk mendapatkan kepercayaan korban.
Kata kuncinya di sini adalah trik atau penipuan -- membuat orang berpikir bahwa mereka berurusan dengan entitas biasa (situs web bank, email dari layanan pelanggan, dompet elektronik, penyedia layanan, atau bahkan teman) dan mendorong mereka untuk memberikan detail sensitif (seperti akun login, kata sandi, dan OTP).
Seseorang bisa saja sudah diperdaya secara phishing, mereka hanya belum menyadarinya.
Berikut adalah 5 cara utama penipu dapat mengakses akun Anda:
-
Media Sosial
Facebook mungkin merupakan tempat terbesar untuk "memancing" korban. Sayangnya, terkadang bahkan Facebook sendiri ditipu oleh para penipu ini dan tautan tersebut bahkan dipromosikan oleh Facebook melalui Iklan FB.
Bahkan nama/merek kami sendiri telah digunakan untuk menipu orang agar membeli gadget murah (di FB Marketplace, Carousel, dll). Kami mengucapkan terima kasih kepada banyak pembaca dan pengikut yang menghubungi kami mengenai halaman-halaman ini dan memverifikasi apakah itu memang sah.
Berikut adalah contoh lain dari upaya menggunakan bisnis sah seperti Starlink untuk menawarkan promo saat Anda menggunakan GCash. Ini akan menggunakan situs web palsu untuk meminta Anda memasukkan OTP dan MPIN guna mentransfer uang kepada para penipu.Hindari mengklik tautan yang tidak perlu yang menawarkan, undian atau hadiah, peluang investasi, dan sejenisnya.
-
Pesan Teks
Inilah yang disebut "smishing", singkatan dari phishing SMS, dan telah menjadi salah satu jalur terbesar untuk penipuan. Untuk suatu waktu, modusnya adalah mengirim pesan kepada siapa saja tentang mereka memenangkan lotere atau undian dari kantor-kantor sah (Jaringan TV, Kantor Pejabat Pemerintah, Program Outreach Pribadi, dll.).
Ketika MO tersebut menjadi basi, target baru saat ini adalah, sekali lagi, rekening bank dan dompet elektronik.
Dan, saya yakin Anda semua telah menerima SMS dari seseorang yang berpura-pura berasal dari Netflix dan menjanjikan Anda hadiah seperti kaos dan mug setelah Anda mengirimkan kembali nomor OTP kepada mereka.
-
Email
Percobaan paling umum di sini adalah menggunakan bank populer seperti BPI, BDO, Union Bank untuk mengirim peringatan tentang akun yang dikunci jika pelanggan tidak memperbaruinya. Tautan kemudian akan mengarah ke halaman yang benar-benar terlihat seperti situs web bank Anda tetapi pada URL yang berbeda.
Inilah salah satu contoh email dengan lampiran yang dikirimkan kepada saya beberapa minggu lalu atas nama entitas sah, Philippine Depository & Trust Corp. Saya memiliki beberapa asuransi dan investasi sehingga butuh waktu bagi saya untuk memahami ini.
Lampiran tersebut berformat PDF dan ketika Anda membuka file tersebut, dapat membawa skrip berbahaya atau eksploitasi (Trojan) yang dapat mengompromikan ponsel atau komputer Anda, tergantung pada perangkat mana yang Anda gunakan untuk membukanya.
-
Obrolan
Messenger, WhatsApp, Viber adalah di antara aplikasi yang paling banyak digunakan untuk menipu orang. Perhatikan panggilan internasional yang merajalela dari WhatsApp akhir-akhir ini? Atau ingat saat akun FB diretas untuk digunakan sebagai latar belakang cerita guna meminta uang dari teman dan kerabat?
Saya memiliki seorang paman yang merupakan dokter onkologi dan ahli bedah, akun Viber-nya diretas dan digunakan untuk meminta uang dari rekan rumah sakit dan pasien agar mengirim uang ke rekening GCash para penipu. Itu sepele seperti itu tetapi karena kita biasanya tidak memeriksa ulang, hal ini menjadi sangat umum.
-
Panggilan Suara
Para penipu telah menjadi lebih berani dan canggih sehingga mereka meningkatkan modus mereka dengan menelepon calon korban.
Mereka akan mengikuti "naskah" biasa yang digunakan oleh Agen Layanan Pelanggan seperti percakatan yang direkam dan juga mengingatkan Anda lagi tentang langkah-langkah keamanan seperti tidak memberikan login atau kata sandi Anda.
Inilah contoh klasik dari seorang teman lama yang dulu bekerja di media dan sekarang di industri telekomunikasi.
Oleh karena itu, jangan berasumsi bahwa Anda terlalu pintar atau berpendidikan untuk menjadi target para penipu. Selalu waspada dan kritis.
Ingatlah, tidak ada jumlah perangkat keras dan lapisan keamanan yang dapat melindungi Anda jika Anda menyerahkan akses akun Anda kepada penipu atau scammer yang tidak bermoral (secara tidak sengaja atau tanpa disadari).
Makin mudah akses kita terhadap instrumen keuangan melalui aplikasi perbankan dan dompet elektronik, makin menantang pula untuk mengamankannya. Ini selalu merupakan jalan dua arah — sebagai pengguna, kita perlu waspada dan lebih berhati-hati terutama karena uang hasil kerja keras kita hanya berjarak satu MPIN atau OTP.
PDTC is a legitimate entity. You will receive this if you have REIT investments.
Yes, I researched about it that’s why it took me some time to figure out. But then, I don’t have any REIT investments.