Reporter: Ferrika Sari | Editor: Herlina Kartika Dewi
Pengamat Keamanan Siber dari Vaksin.com Alfons Tanujaya menyebutkan, secara teori sistem keamanan GoPay dan penyedia layanan sejenis yang lain tidak lemah. Mereka telah menerapkan autentikasi dua faktor, yaitu Two Factor Authentication (TFA) dan OTP. Ini merupakan lapisan keamanan yang dirancang untuk memastikan akses ke pemilik akun.
“Jika ingin mengandalkan transaksi tidak hanya mengandalkan username dan password saja tetapi juga TFA atau OTP yang dikirimkan ke nomor akun telepon seluler yang bersangkutan,” ungkap Alfons.
Baca Juga: Gojek akan lakukan dua hal ini untuk antisipasi penipuan
Menurutnya, sistem pengamanan mengandalkan SMS ini memang lebih praktis karena penetrasi perangkat dan sistem ini menjangkau lebih banyak pengguna. Tidak abis akal, penipu melakukan rekayasa sosial untuk mengelabui korban, seperti meminta pemberian kode OTP, mengubungi call center Gojek serta menginformasikan pergantian sopir.
Pelaku sengaja membidik aplikasi Gopay karena penggunanya banyak di Indonesia. Ia memperkirakan para pelaku adalah mantan sopir ojek online yang sengaja bekerja di sana untuk mengetahui kelemahan sistem setelah itu lalu menjalankan aksinya. Mereka cenderung berkelompok atau terorganisir yang mengkhusukan diri pada penipuan berbasis online.
Alfons memperkirakan berbagai aksi penipunan selama ini disebabkan dua hal. Pertama, sebanyak 20% dari sistem keamanan GoPay yang masih harus belajar dan menyesuaikan agar tidak mudah dieksploitasi. Sementara 80% karena rekayasa sosial yang canggih dari para peretas didukung oleh kelengahan korban.
Ambil contoh saja, kasus pelanggan GoPay, Agnes kehilangan Rp 9 juta dari rekeningnya pada awal tahun. Awalnya ia memesan minuman melalui GoFood di sebuah gerai. Tanpa rasa curiga, supir ojek online bilang sistem penjualan minuman rusak dan dia tidak membawa uang tunai. Tak lama Agnes ditelepon pemilik gerai untuk mentransfer ke akun virtual toko melalui kode pembayara Gopay.
Nyatanya ia ditipu dan akunnya diretas. Petugas kios menelepon kembali bahwa uangnya tidak sampai dan menyuruh transfer kembali hingga uangnya terkuras sampai Rp 9 juta. Sialnya lagi, ia memberikan kode OTP ke akun virtual yang berbeda tanpa mengecek jumlah uang di rekening.
“Ini kelihatan korban yang ditipu melakukan transfer ke rekening bank dan sistem Gopay hanya dimanfaatkan untuk menjaring korban. Korban juga kurang percaya dan kurang teliti dalam melakukan transaksi,” ungkap Alfons.
Ini bukan modus baru dan sering terjadi, korban digiring untuk mentransfer uang dengan angka yang sudah diminta penipu. Biasanya, angka tersebut tidak pahami para korban sehingga potensi pembobolan uang semakin besar.
Meski demikian, masalah kejahatan di dunia maya bukan hanya milik GoPay. Dua tahun lalu, akun pengguna Doku diretas melalui modus pengambilalihan akun atau account take over sehingga pelaku memperoleh akses lebih banyak ke data serta uang mereka. Awalnya akun email diretas, dan berlanjut ke Facebook, rekening Gopay dan bank karena menggunakan email yang sama.
“Sebabnya, banyak orang menggunakan gmail dan password yang sama untuk berbagai akun. Jadi yang dibobol satu tempat, tapi dikombinasikan untuk membobol tempat lain dan hacker mencoba semuanya,” kata SVP Strategic Partnerships Doku Alison Jap.