Visits: 153
Penipuan dengan cara yang sederhana secara teknologi, tidak canggih-canggih amat, namun bisa manjur dan berhasil jika yang ditipu tidak begitu memahaminya. Dalam seminggu terakhir ini, ada dua buah email, yang satu dari seseorang yang mengatas namakan dari BII, dan satu lagi dari seseorang yang mengatas namakan tim Pemeliharaan Bank Mandiri dengan isi email di bawah ini, yang bagi pembaca awam bisa ditangkap sebagai suatu pesan yang penting dan valid dan perlu action segera.
Perhatikan email dibawah ini yang tampak meyakinkan:
- Alamat pengirim: security@bankmandiri.co.id dan email satunya dari mail@bii.co.id . Alamat email yang kelihatannya sangat meyakinkan berasal dari institusi resmi, dari bank kita. Secara teknis menamakan alamat pengirim seakan-akan sebagai orang lain, sebagai suatu institusi resmi seperti itu dengan sangat mudah dilakukan oleh siapa saja, mengatas namakan siapapun
- Isi pengumuman menyampaikan bahwa ini adalah pemeliharaan keamanan system untuk menjamin keamanan kita. Kesan kita bisa: “ Terima kasih ..anda sudah membantu mengamankan tabungan saya”….Eh, benerkah? Enggak banget …
- Anda diminta mengclick di Verifikasi Akun saya, dan jika anda lebih jeli, akan melihat, ketika anda menempatkan kursor di atas hyperlink tersebut anda akan membaca suatu alamat yang sungguh asing: http://www.minig.net/wp-contnt/plugins/wptouh/mandiri-logi.html . (Alamatnya sengaja saya salahkan sedikit dari alamat aslinya, agar anda yang tidak sengaja mengclick, akan mendapatkan alamat yang salah dan tidak terkena resiko apapun)
- Melihat alamat yang jauh dari benar, bukan alamat bank kita, seharusnya anda sudah curiga, namun bagi yang tidak curiga, akan click juga …Ini yang dikehendaki oleh pengirim email.
- Dan apa akibatnya jika penerima email meyakini bahwa iniformasi ini benar, dan dianggap sebagai suatu permintaan resmi untuk menyelamatkan accountnya, dan mengikuti arahan yang diberikan oleh email ini?
Penerima email akan mengclik VERIFIKASI AKUN SAYA, dan akan masuk ke suatu alamat website yang dikehendaki oleh si pengirim email (yang pasti bukan websitenya Bank yang bersangkutan), dan akan diminta memasukan user id, password dan data-data lain. Informasi yang anda masukkan, data valid anda, akan disimpan oleh sistem di website yang baru anda masukin tersebut, yang akan menjadi informasi yang sangat berharga bagi si pengirim email, yang akan disimpan dan bisa digunakan untuk maksud-maksud yang tidak anda kehendaki. Atau dengan kata lain, anda memberikan semua informasi rahasia yang diperlukan untuk bisa membuka rekening anda ke sang penipu.
Mari kita bayangkan padanan kejadian email di atas dengan kejadian di dunia nyata. Bayangkan anda bertemu dengan seseorang di jalan, yang memakai topeng wajah seorang yang sangat anda kenal, dan anda tidak menyadari bahwa orang tersebut adalah orang asing yang sedang memakai topeng, dan anda mengira orang tersebut adalah teman akrab anda. Dan lebih parahnya, ketika orang tersebut meminta data-data pribadi, dengan sendang hati anda memberikan kepada orang bertopeng tersebut, misalnya anda memberikan alamat rumah anda, kemudian kunci rumah anda, kunci kamar anda, memberi tahukan juga dimana anda menyimpan barang barang berharga. Sangat mudah khan, bagi orang tersebut untuk bisa datang ke rumah anda, masuk rumah memakai kunci yang memang anda berikan kepadanya, dan mengambil barang berharga anda. Aneh dan lucu khan, kalau sampai menjadi korban penipuan seperti ini…. Ya, memang sangat sederhana. Maka keterlaluan kalau sampai ada yang tertipu dengan modus ini, dan sayangnya, ada juga yang tertipu….
Model ini adalah modus operandi penipuan menggunakan teknik serangan “phising” salah satu cabang dari “social engineering”, dengan menggunakan email, yang seolah-olah berasal dari pihak yang berwenang, yang menempatkan diri pembaca pada kondisi kritikal untuk segera melakukan tindakan, dan akan digiring ke penyerahan informasi pribadi yang penting ke penipu.
Pelajaran yang penting perlu anda perhatikan:
- Simpan data-data pribadi anda dengan baik, dan batasi pemberian informasi pribadi ke pihak lain dan batasi berbagi yang tidak perlu di ruang-ruang publik, seperti mencantumkan tanggal lahir di facebook dan lain-lain.
- Verifikasi apapun dari pihak manapun untuk meminta data pribadi anda, data id , password, nama ibu, tanggal lahir dan lain-lain hanya bisa anda berikan kalau anda 100% yakin bahwa memang peminta informasi tersebut orang yang valid (misalnya dengan langsung datang ke bank yang bersangkutan). Jangan pernah memberikan informasi pribadi melalui email atau telpon ke pihak lain yang anda tidak tahu pasti siapa dia
- Sesaat sebelum mengclick suatu hyperlink, tempatkan terlebih dahulu kursor anda di atas hyperlink tesebut dan baca alamat link yang akan anda masuki ketika anda nanti mengclick hyperlink tersebut. Jika alamatnya aneh, bukan alamat bank yang anda kehendaki, batalkan saja proses selanjutnya.
- Juga jika anda sudah terlanjur masuk ke suatu link, sebelum melakukan aksi apapun, terutama aksi-aksi untuk memasukkan data-data sensistif, anda perlu meyakinkan terlebih dahulu ke validan alamat website tersebut dengan melihat alamat site di bagian atas dari browser anda.
Selamat menjaga diri anda dengan baik, di dunia nyata maupun dunia maya. Sama dengan di dunia nyata ada orang baik, dan ada orang jahat, demikian juga di dunia maya….Belajarlah dan waspadalah..
Contoh pertama : Email yang saya terima, yang seolah-olah berasal dari Bank Mandiri:
From: Bank Mandiri [mailto:security@bankmandiri.co.id]
Sent: Tuesday, March 13, 2012 4:40 AM
Subject: VERIFIKASI AKUN SAYA
Salam Pelanggan,
Hal ini untuk mengumumkan kepada Anda bahwa Account Mandiri akan berakhir karena pemeliharaan keamanan sistem kami untuk keamanan yang lebih baik dan kinerja.
Anda diminta untuk memperbarui dan memverifikasi account Anda untuk mencegah dari yang ditutup oleh sistem keamanan. Klik pada link yang VERIFIKASI AKUN SAYA bawah ini untuk melanjutkan.
Catatan – Sebuah email akan dikirimkan kepada Anda selama ini verifikasi akun berisi Kode Challenge, menggunakannya sebagai kami akan menginstruksikan Anda.
VERIFIKASI AKUN SAYA
Kegagalan untuk melakukan hal ini akan mengakibatkan account Anda ditutup.
Salam
pemeliharaan Departemen
Bank Mandiri
Contoh kedua: email yang saya terima seakan-akan berasal dari Bank BII:
From: BII [mailto:mail@bii.co.id]
Sent: Friday, March 09, 2012 8:52 AM
Subject: AMAN REKENING SAYA
Perhatian BII Pelanggan,
Ini adalah untuk memberitahukan Anda bahwa account Anda akan diblokir setelah 24 jam karena otentikasi buruk dan hal ini untuk mencegah account Anda dari pencurian online karena sistem keamanan baru kami belum aktif pada account Anda.
Di lain untuk mencegah account Anda dari diblokir dan server keamanan harus diaktifkan pada account Anda, klik pada link account saya di bawah ini aman dan memberikan kami informasi yang diminta.
AMAN REKENING SAYA.
Salam
rekening Departemen
BII
Om, apa yang ngebedain antara email yang dikirim asli memang dr Bank Mandiri ato yang palsunya? Saya pernah dpt email juga, tp bukan untuk verivikasi tapi untuk konfirmasi pengiriman rekening koran yang melalui emai.
Sepengetahuan saya, sulit untuk membedakan email asli dari bank ybs atau palsu hanya dari alamat email pengirimnya. Jadi perlu juga dilihat keseluruhan isi dan informasi yang diberikan, bahkan perlu konfirmasi kalau kita ingin menggunakan informasi yang diberikan.
Yang penting, jangan sampai kita dirugikan karena informasi yang belum tentu benar. Dan jangan pernah memberikan data pribadi lewat email untuk perbankan. Lebih baik langsung datang ke bank secara fisik. Untuk di transaksi di Internet cukup menggunakan fasilitas standard yang diberikan bank, dan terus diingat alamat website bank ybs yang tepat.
Saya rasa hal diatas gak terlalu berbahaya banget bagi Nasabah, soalnya walaupun User Id dan Password dikuasai oleh cracker bukan berarti saldo kita akan dikuras karena adanya Penggunaan Key/Token…
Tul Nggak?????