Teperdaya Akibat Kurang Waspada
Para pembajak akun aplikasi transportasi daring terus berupaya memperdaya pengguna maupun supir ojol untuk mendapatkan kode sandi sekali pakai (OTP). Ketenangan pelaku dalam meyakinkan korban kerap membuat korban tertipu
Rasa geram tak bisa ditutupi Feli Sumayku (30) saat ia kembali menuturkan pengalaman akun Gojek miliknya dicuri penipu. Tak hanya kesal karena harus pasrah pesanan minumannya tak pernah tiba, tetapi peristiwa itu juga membuat saldo Gopay Rp 450.000 miliknya pun dikuras habis pelaku.
“Dengan sangat amat tenang dia (pelaku) ngasih tahu dan minta kodenya (kode sandi sekali pakai atau one time password) agar pesanan saya bisa diambil. Lalu saya tanya apa ini metode baru dari Gojek? Iya ini metode baru dan kami memerlukan kode itu,” tutur penyiar radio Hard Rock FM ini, pada Senin (20/1/2020), menirukan ucapan pelaku yang mengambil alih akun Gojek miliknya.
Pada November 2019, akun Gojek Feli diambilalih oleh pelaku yang menggunakan salah satu akun sopir Gojek. Pengalaman tidak mengenakan ini pun telah ia bagikan di akun Instagram miliknya pada 19 November 2019. Hingga 10 Februari 2020, unggahan dalam format video itu telah menarik 165.000 penonton dan 242 komentar dari pengikut akunnya. Komentar itu ada yang berisi pengalaman serupa maupun yang belajar dari pengalaman Feli.
Akun Gojek miliknya dibajak setelah Feli mengikuti permintaan pelaku, menyebutkan kode sandi sekali pakai atau one time password (OTP) akun Gojek yang masuk ke SMS di nomor ponselnya. Kode itu adalah sandi yang dikirimkan oleh sistem Gojek setiap kali nomor ponsel didaftarkan di aplikasi Gojek.
Saat itu, Feli yang sedang rehat sesaat di sela-sela siaran radio memesan minuman melalui fitur Gofood di aplikasi Gojek. Ada lebih dari 2 minuman yang dipesan karena beberapa temannya satu studio juga ikut menitip pada Feli.
Sialnya pesanan itu jatuh ke akun Gojek pelaku. Sekitar 20 menit Feli menunggu sejak pesanannya di aplikasi ditanggapi oleh pelaku. Feli pun memaklumi itu karena tempat memesan minuman itu ia ketahui cukup ramai pembeli di siang hari, sehingga ia pun sabar menunggu.
“Oke, nunggu sekitar 20 menit, setelah itu ditelpon sama driver (sopir Gojek). Sebelumnya dia bilang, ditunggu ya. Setelah itu dia bilang, mbak kita mau minta kode verifikasi untuk kroscek antara tenant (toko) sama kita (sebagai) driver. Jadi kami bisa ambil orderan mbak dibayarkan juga, dan bisa melakukan transaksi,” tutur Feli menirukan permitaan pelaku.
Baca juga : OTP yang Makin Populer
Saat menerima telpon itu, Feli yang tengah berada di luar ruangan siaran berusaha mencerna permintaan pelaku karena baru kali ini ia dimintai kode verifikasi oleh sopir ojek daring. “Sopirnya ngomong kayak begitu kan aku mikir, kok tumben nggak biasanya minta kode. Ini kan nggak pernah. Ini maksdunya apa?,” tuturnya.
Namun waktu yang tersedia bagi Feli untuk mencerna dan mempertimbangkan konsekuensi yang terjadi jika permintaan pelaku ia penuhi, itu sangat singkat. Sebab, pelaku terus mendesak dan meyakinkan Feli bahwa kode itu dibutuhkan untuk menyelesaikan transaksi. Salah satu alasan pelaku, menurut Feli, kode itu dibutuhkan untuk kroscek supaya pesanan minumannya bisa diambil. “Pokoknya dia ngomong ngulang begitu,” ucapnya.
Karena khawatir akan menjadi target penipuan, Feli kemudian meminta pelaku yang saat itu ia yakini adalah sopir Gojek untuk memberikan ponselnya ke kasir toko penjual minuman yang dipesan. Namun rupanya, kasir itu pun sama-sama penipu.
“Lalu dia (pelaku) operlah (ponsel) ke yang katanya kasir. Lalu dia jawab, dengan sangat amat tenang, bahwa kode itu dibutuhkan agar orderan bisa diambil. Kalau nggak, ya nggak bisa diambil,” jelasnya.
Sekali lagi Feli mengajukan pertanyaan apakah permintaan kode itu merupakan metode baru Gojek untuk memesan makanan atau minuman. Pelaku pun kembali meyakinkan Feli bahwa permintaan kode itu memang metode baru.
Baca juga : Operator Telekomunikasi Diimbau Jaga Data Pelanggan
Seraya menuntun, pelaku kemudian menyampaikan kepada Feli bahwa kode itu baru saja masuk ke kotak SMS di ponsel Feli. Padahal, kode yang masuk itu merupakan kode OTP yang dikirimkan oleh sistem Gojek karena diduga pelaku tengah mendaftarkan nomor ponsel akun Gojek Feli ke aplikasi Gojek yang baru.
“Coba mbak lihat, nih kodenya nih masuk HP mbak,” ucap Feli menirukan pelaku.
Cara bicara pelaku yang tenang, diakui Feli, membuat keraguannya pun runtuh. Selain itu, lanjutnya, kondisi lelah dan haus juga membuatnya tak sabar segera memperoleh minuman yang dipesannya. “Nggak konsen banget. Jadi akhirnya aku kasih tuh (kode OTP). Pertama sudah sempat kasih (kode OTP), lalu mungkin dia (pelaku) salah nomor, lalu dia minta lagi, dan masuk lagi kode OTP itu,” jelasnya.
Menurut Feli, ketika pelaku sudah tak lagi meminta kode OTP, aplikasi Gojek miliknya kembali melakukan pencarian sopir. Feli pun berusaha mempertanyakan perubahan aktivitas pada aplikasinya kepada pelaku yang masih terhubung lewat telepon. Namun pelaku kembali menenangkan Feli bahwa itu normal dengan alasan kemungkinan aplikasinya sedang error atau alami gangguan.
“Lalu aku ngomong, jangan-jangan gue ketipu nih. Lalu saya tanya, coba mas emang orderan saya apa. Oke sebentar ya mbak saya cek dulu. Lho katanya mas kasirnya, masak nggak tahu orderan saya apa, mas bohong ya? Habis itu langsung telponnya dimatiin, terus akun Gojek aku sudah nggak bisa diakses, langsung log out sendiri,” tutur Feli menirukan percakapannya dengan pelaku hingga akhirnya akun Gojek miliknya dikuasai pelaku.
Hingga kini Feli masih kesal dengan kejadian itu. Baginya, saldo Gopay Rp 450.000 miliknya yang dicuri pelaku tetap bernilai karena masih dapat digunakan untuk ongkos menuju tempatnya bekerja maupun untuk membeli makan siang. “Uang Rp 450.000 itu lumayan gila,” ucapnya.
Cara bicara pelaku yang tenang, diakui Feli, membuat keraguannya pun runtuh
Kehilangan penghasilan
Rasa kesal juga diungkapkan Yuyu (66), sopir mitra Gojek. Selama 2019, sudah dua kali akun Gojek miliknya dibajak penipu. Lebih dari Rp 400.000 hasil kerjanya menarik ojek yang tersimpan di akun Gojek miliknya, dikuras penipu.
“Saya kesal nggak bisa narik (ojek). Uang hilang. Jadi tidak ada penghasilan. Bolak-balik kantor (Gojek) untuk balikin (memulihkan) akun yang dibajak,” tuturnya.
Baca juga : Rentan Ditipu, Kesadaran Keamanan Digital Masyarakat Indonesia Masih Rendah
Yuyu mengungkapkan, dua kali pembajakan yang dia alami, didahului dengan pemesanan makanan oleh pelanggan atau pengguna aplikasi Gojek yang diduga pelaku. Di tengah perjalanan, pemesanan makanan itu dibatalkan. Tak lama kemudian, ia dihubungi pelaku yang mengaku sebagai customer service (CS) PT Gojek, dan memberitahukannya bahwa ia baru saja memperoleh order fiktif. Untuk memulihkan akunnya dari order fiktik, Yuyu diminta menyebutkan kode OTP yang masuk ke ponselnya.
“Orang yang mengaku CS PT Gojek itu kemudian meminta data saya, nama, nomor telepon, KTP. Buru-buru saya kasih nomor KTP, termasuk kode OTP. Lima menit kemudian, HP ditutup, saya enggak bisa masuk akun (Gojek),” tuturnya.
Butuh tiga hari bagi Yuyu untuk memulihkan akun Gojek miliknya sehingga bisa kembali menarik ojek. Selama itu ia tidak memperoleh penghasilan.
Pengalaman akunnya dibajak untuk kedua kali, juga tidak jauh berbeda. Yuyu mengaku tidak tahu apa sebabnya ia masih saja terjebak penipu sehingga akun Gojek miliknya kembali dibajak. “Saya nggak tahu. Pokoknya saya kesal banget, uang hilang, nggak ada penghasilan,” tuturnya.
Diputus mitra
AA Wahyu Supriadin, sejak 2017 telah menjadi sopir mitra Gojek di wilayah Bandung, Jawa Barat. Hingga pada 31 Januari kemarin, ia diputus mitra oleh PT Gojek. Ia menduga pemutusan mitra itu tak lepas dari peristiwa akun Gojek miliknya yang dicuri oleh penipu pada 17 Januari lalu. Pencurian itu terjadi setelah Wahyu menyebutkan kode OTP yang masuk ke ponselnya lewat SMS, kepada pelaku.
Wahyu dapat ditemukan Kompas berkat pengungkapan Hanny, pengguna Gojek yang alami upaya pembajakan oleh pelaku yang menggunakan akun sopir Gojek atas nama AA Wahyu Supriadin. Upaya pembajakan akun Gojek Hanny terjadi saat Hanny memesan Goride atau ojek motor di kawasan Blok M, Jakarta, pada 17 Januari, pukul 23.00, sekitar 3 jam setelah akun Gojek Wahyu dibajak.
Sejak dibajak, Wahyu tidak bisa lagi menarik ojek. Penghasilannya sebagai mitra Gojek memang tidak besar, sekitar Rp 30.000 sampai Rp 50.000 per hari. Karena memang aktivitas menarik ojek terbatas ia lakoni pada malam hari, usai bekerja sebagai tenaga administrasi gudang di Bandung Barat.
Meskipun kecil, penghasilan dari menarik ojek itu sangat ia andalkan untuk memenuhi kebutuhan makannya sehari-hari. Sebab gajinya sebagai tenaga administrasi gudang masih minim, sekitar Rp 1,5 juta per bulan.
“Sejak akun saya dibajak, saya hanya bisa mengutang di warung makan karena gaji saya tidak cukup. Kalau dulu, saya selalu bayar setiap kali makan di warung karena ada penghasilan tambahan dari Gojek (sebagai mitra Gojek),” tuturnya.
Padahal setelah akunnya dibajak, Wahyu telah berupaya mengirim surat elektronik ke PT Gojek. Meminta akunnya dibekukan sementara agar tidak disalahgunakan. Namun, tangan pelaku jauh lebih cepat memanfaatkan akun Wahyu untuk menipu pengguna Gojek, salah satunya menyasar Hanny yang saat itu tengah memesan ojek di kawasan Blok M, Jakarta.
Upaya pembajakan itu pun dilaporkan Hanny ke pihak Gojek dengan melampirkan foto akun Gojek Wahyu, termasuk nomor telepon yang digunakan pelaku untuk menghubunginya yakni 081373061858. Diakui Hanny, ia tak menuruti perintah pelaku memberikan OTP sehingga akun Gojek miliknya tetap selamat. Namun kasus itu tetap ia laporkan ke pihak Gojek karena ulah pelaku dapat membahayakan pihak lain.
Gojek tak tinggal diam. "Bagi kami, keamanan dan keselamatan bagi konsumen dan mitra adalah prioritas utama," ujar Kevin Aluwi, co-Chief Executive Officer Gojek, Jumat lalu.
Inisiatif terbaru Gojek pun fokus pada tiga pilar yakni edukasi, teknologi, dan proteksi. "Edukasi agar pelanggan dan mitra mendapat manfaat paling optimal dari teknologi digital dan tidak dirugikan," ujar Kevin. Edukasi penting sehingga masyarakat lebih dapat mengenali bila terjadi rekayasa sosial.
Psikolog Ratih Ibrahim mengungkapkan, untuk melakukan kejahatan yang sempurna maka pelaku akan mempelajari kondisi psikologi targetnya maupun psikologi kasusnya. Semua potensi respons dipelajari oleh pelaku.
Ratih yang pernah terlibat sebagai saksi ahli pembunuhan Wayan Mirna Salihin yang tewas diracun dengan kopi bersianida oleh Jessica Kumala Wongso, ini mengungkapkan, pelaku kejahatan pun akan akan terus mengembangkan modus kejahatannya dan mempelajari perilaku korban.
Pelaku bisa saja membuat korbannya merasa kepepet sehingga tak memiliki pilihan dan menyerahkan OTP kepada pelaku. Namun pelaku juga dapat bertutur kata lembut sehingga dapat meyakinkan korban untuk mempercayai dirinya, sehingga korban bersedia menyebutkan OTP yang diterima.
“Pelaku itu bisa berhasil karena convincing, mampu meyakinkan korban. Cara menangkis tipuan seperti ini, yah kita harus waspada. Hanya memang waspada terus-menerus pun akan melelahkan,” terang Ratih.
Diakui Feli, sebagai korban pencurian akun Gojek, ia memang kurang waspada. Namun menurutnya, tetap perlu ada cara agar ia sebagai konsumen tetap dilindungi, dan terhindar dari pencurian akun aplikasi.
Pelaku bisa saja membuat korbannya merasa kepepet sehingga tak memiliki pilihan dan menyerahkan OTP kepada pelaku
Apalagi, lanjut Feli, setelah mengunggah ke media sosial terkait pengalaman akun Gojek miliknya dicuri penipu, ternyata ada beberapa temannya yang memiliki pengalaman serupa. Lewat unggahannya, menurut Feli, ada pula teman-temannya yang baru mengetahui ada penipu yang mengincar akun aplikasi.
“Ternyata kasus-kasus begini (pencurian akun aplikasi) sudah banyak yang beredar, tetapi sebanyak itu juga yang belum tahu,” tutur Feli dengan nada ironi.
Fitur Pengamanan
Secara terpisah pihak Gojek dan Whatsapp menyampaikan, sebagai pengelola aplikasi mereka telah berupaya meningkatkan kualitas keamanan aplikasi dengan berbagai fitur yang mampu menjaga keamanan pengguna.
Senior Manager Corporate Affair Gojek, Teuku Pravinanda menyampaikan, kode OTP yang dikirim ke pengguna aplikasi Gojek hanya berlaku 30 detik dan disertai dengan peringatan agar kode itu tidak dibagikan kepada siapa pun. Diterapkan pula PIN untuk transaksi Gopay. Gojek juga memberikan peringatan tambahan jika ada aktivitas mencurigakan, yang diberikan di dalam kolom percakapan aplikasi,
"Gojek juga telah menerapkan fitur penyamaran nomor telepon secara bertahap untuk menjaga kerahasiaan data berupa nomor telepon," jelasnya.
Lebih lanjut disampaikan Teuku, jika pelaku beraksi menggunakan akun mitra Gojek yang diperoleh dengan cara tipu daya maka Gojek akan menonaktifkan akun mitra tersebut. Selain itu, Gojek siap membantu korban, menyediakan bukti-bukti guna proses pelaporan ke kepolisian.
Terkait pengamanan akun, Direktur Komunikasi WhatsApp Asia Pasific, Sravanthi Dev menyampaikan, bahwa Whatsapp telah memberikan pengamanan lapis ke dua agar akun WA tak mudah diretas pihak lain. “Whatsapp telah menyediakan fitur verifikasi dua langkah. Dengan fitur ini pengguna dapat memasang 6 angka sandi atau PIN pada akun WA miliknya. Fitur ini dapat melindungi akun WA dari peretasan oleh pihak lain,” jelasnya.(DVD/BKY)