Awas, Beredar Aplikasi Peretas Berkedok Undangan Pernikahan
Summary
TLDRThe script discusses a new digital banking scam involving fraudsters using fake wedding invitations sent via WhatsApp to trick victims into downloading malware that intercepts SMS OTPs, facilitating the transfer of mobile banking accounts to the fraudsters. It highlights the importance of public awareness against clicking suspicious links and installing apps from outside the Play Store. The conversation also touches on the need for banks to strengthen security measures, including the implementation of 'What you have' verification methods to prevent unauthorized account transfers.
Takeaways
- 📲 The script discusses a new mode of banking crime involving digital deception through WhatsApp invitations to weddings, aiming to compromise mobile banking security.
- 🔒 The criminals require an SMS OTP (One-Time Password) to transfer the victim's mobile banking account to their own account, highlighting the importance of OTP security.
- 🚫 It is advised not to click on suspicious links or install applications from outside the Play Store, as this could inadvertently grant SMS access to fraudsters.
- 🔄 The script mentions that the criminals have shifted their tactics from using courier packages to wedding invitations and then to BPJS (Indonesian Health Insurance) bills to trick victims into revealing their OTP.
- 🤖 The term 'sniffing' is clarified as stealing transactions that pass through communication channels like WhatsApp or the internet, which is different from the current method of SMS forwarding.
- 🛡️ The need for additional security measures beyond OTP is emphasized, suggesting the use of 'What you have' verification methods, such as requiring a physical item like an ATM card.
- 👥 The script points out that the data stolen in 2022 has likely spread among fraudsters, indicating that social engineering and profiling of potential victims are common tactics.
- 🔑 It is suggested that if one's data has been compromised, they should immediately change their mobile banking passwords and PINs to prevent unauthorized access.
- 🏦 The banking institutions are urged to improve their security systems and consider implementing 'What you have' verification for account transfers to prevent fraud.
- 📈 There is a call for the OJK (Indonesian Financial Services Authority) to standardize and enforce better security measures for mobile banking services.
- 🌐 The script highlights the low level of cybersecurity literacy among the general public in Indonesia and the need for better protection and awareness.
Q & A
What is the new method of banking crime discussed in the script?
-The new method of banking crime discussed involves scammers using digital invitations, such as for a wedding, sent via WhatsApp to hack into mobile banking accounts.
How do scammers obtain the SMS OTP needed for transferring mobile banking accounts?
-Scammers send files in Android package or APK format to trick victims into installing applications that forward SMS OTPs to the scammers' devices, allowing them to transfer the banking accounts.
What is the difference between the new scam method and traditional phishing attacks?
-The new scam method is an evolution of phishing where scammers no longer need to send packages or pretend to be couriers; they use digital invitations and other social engineering tactics to trick victims into providing their OTPs.
Is this new scam method considered 'sniffing' or 'RAT' (Remote Access Trojan)?
-No, this method is not considered sniffing or RAT. It is categorized as SMS forwarding, which is less sophisticated but still effective in stealing banking information.
What additional security measures are recommended for banks to prevent such scams?
-Banks are recommended to implement 'What you have' verification methods, such as requiring a physical visit to an ATM or bank with an ATM card or ID for any account number changes, to supplement the OTP security.
Why is the OTP via SMS considered the weakest form of OTP security?
-The OTP via SMS is considered the weakest because it involves a third party and can be intercepted by malicious applications designed to format or steal SMS messages.
What is the role of social engineering in this new scam method?
-Social engineering plays a significant role as scammers impersonate banks or other institutions to trick victims into filling out forms that collect their user IDs, passwords, and PINs.
How can the public protect themselves from falling victim to this scam?
-The public should be cautious about clicking on links or installing apps from outside the Play Store, and always verify requests for OTPs and app permissions before granting them.
What is the importance of 'What you have' verification in the context of mobile banking security?
-'What you have' verification, such as requiring a physical token or card, adds an extra layer of security by ensuring that the person attempting the transaction has a unique, non-transferable item in their possession.
What actions should individuals take if they suspect their banking information has been compromised?
-Individuals should immediately change their passwords and PINs for mobile banking and consider changing their mobile banking accounts if they are unsure of the security measures in place by their bank.
What is the role of the financial regulatory authority in addressing this new scam method?
-The financial regulatory authority, such as OJK in Indonesia, should standardize and enforce strict security measures, including 'What you have' verification, to ensure the safety of mobile banking transactions.
Outlines
🔒 New Digital Banking Fraud Tactics
The paragraph discusses the emergence of a new method of digital banking fraud involving the use of wedding invitations sent via WhatsApp as a means to compromise mobile banking systems. The fraudsters aim to intercept SMS OTPs to transfer the victim's mobile banking account to their own account. The speaker, an expert in cybersecurity and digital forensics, warns the public not to easily click on suspicious links or install apps from outside the Play Store, as these actions could inadvertently grant the fraudsters access to their banking details. The paragraph also touches on the importance of not just relying on SMS OTP for security, but also using additional authentication methods such as user ID, password, and PIN for transferring accounts.
📲 Countermeasures Against Mobile Banking Fraud
This paragraph delves into the importance of improving the security measures of mobile banking systems. It highlights the need for banks to implement 'What you have' authentication methods, such as requiring the physical presence of an ATM card or personal identification documents when transferring mobile banking to a new device. The speaker suggests that this would prevent fraudsters from taking over accounts, even if they have the necessary credentials and SMS OTP. The paragraph also calls for the standardization of security measures by regulatory bodies and urges the public to be cautious about installing apps and granting SMS access to unknown applications.
🚨 Public Awareness and Long-term Protection Strategies
The final paragraph emphasizes the need for public awareness about the potential spread of personal data and banking information among fraudsters. It advises individuals to change their mobile banking passwords and PINs as a precautionary measure if they suspect their data may have been compromised. Additionally, it recommends considering changing the mobile banking provider to one that requires 'What you have' verification for phone number changes. The speaker also calls on banks and the government to implement robust security measures and urges the public to be vigilant about their digital security.
Mindmap
Keywords
💡Cybersecurity
💡Mobile Banking
💡Phishing
💡SMS OTP
💡APK
💡Social Engineering
💡Data Breach
💡Two-Factor Authentication (2FA)
💡Cyber Forensics
💡Remote Access Trojan (RAT)
💡What You Have (WYH)
Highlights
New modus operandi in banking crime involving digital deception through a wedding invitation via WhatsApp to hack mobile banking.
Cybersecurity and forensics expert discusses the increasing trend of online crimes, particularly in the banking sector, with reported cases reaching 45,000.
The evolution of phishing techniques now includes the use of Android package or APK files to steal SMS OTP for transferring mobile banking accounts.
Scammers are now using various social engineering tactics such as fake wedding invitations and BPJS bills to trick victims into providing SMS OTP.
The importance of public awareness against clicking and installing suspicious requests or APKs outside the Play Store.
The role of SMS forwarding in recent banking frauds, emphasizing that it's not sniffing or remote access Trojan attacks.
The necessity for additional security measures beyond SMS OTP, such as user ID, password, and transaction PIN, to secure mobile banking transfers.
Indication that the data breach from 2022 has led to the spread of sensitive banking information among fraudsters.
The use of social engineering by cybercriminals to analyze the behavior and habits of potential victims to craft targeted attacks.
The recommendation for banks to implement stronger security protocols, including 'What you have' verification methods like requiring a visit to an ATM or bank branch for account changes.
The call for standardization by regulatory bodies like OJK to enforce better security measures for mobile banking.
The suggestion for users to change their mobile banking passwords and PINs if they suspect their data may have been compromised.
The potential long-term protection measures for users, including changing mobile banking accounts and ensuring banks have robust verification processes in place.
The discussion on the limitations of SMS-based OTP as the weakest form of OTP due to potential interception by third parties.
The comparison of different OTP methods, highlighting the security levels of token-based, authenticator app-based, and SMS-based OTPs.
The emphasis on the importance of 'What you have' verification, such as possession of an ATM card or ID, as a crucial security measure.
The expert's advice for banks and the government to improve security measures and the literacy of cyber activities among the public.
Transcripts
00:00ya modus baru dalam kejahatan perbankan
00:02digital kembali ditemukan kali ini
00:04penipu menggunakan undangan pernikahan
00:05digital melalui WhatsApp untuk membobol
00:08mobile banking sudah bersama saya
00:10melalui sambungan virtual alfontanu Jaya
00:12pakar keamanan cyber dan forensik
00:15digital Selamat pagi Mas telepon
00:18Semoga sehat selalu ya baik Salam sehat
00:22juga Mas Mas ini kita selalu melihat
00:23bahwasanya kejahatan di online selalu
00:26meningkat ya Bahkan Laporan sudah
00:28mencapai 45.000 untuk sektor perbankan
00:31ataupun kejahatan transaksi melalui
00:32online Yang dilaporkan oleh kominfo
00:35Apakah modus penipuan online dengan
00:37mengirimkan file dengan format Android
00:39package atau APK ini merupakan modus
00:42living Mas
00:44ya ini merupakan perkembangan dari
00:47fishing sebenarnya mereka hanya
00:49membutuhkan SMS OTP ini untuk
00:53memindahkan account mobile banking dari
00:57rekening pemilik ke rekening pembajak
00:59Jadi sebelumnya kan dulu pakai paket
01:03kurir Nah sekarang jadi undangan TK lalu
01:06kemarin kita baru dapat lagi ada sebagai
01:09tagihan BPJS tujuannya sebenarnya ingin
01:11mendapatkan SMS OTP jadi secara otomatis
01:15SMS OTP yang masuk untuk persetujuan
01:17perpindahan rekening ini akan
01:19diformatkan ke perangkat dari penipunya
01:22biasanya ke telegram jadi hal itu yang
01:24perlu menjadi perhatian masyarakat
01:26jangan terlalu mudah mengklik lalu
01:29menginstal sebenarnya itu ada ada
01:32permintaan persetujuan apakah anda yakin
01:35ingin menginstal dari luar Play Store
01:36nah jika itu diklik pun nanti anda
01:39persetujuan lagi apakah anda yakin ingin
01:41memberikan akses SMS kepada aplikasi ini
01:44Kalau di klik Ya udah semua SMS yang
01:46masuk akan otomatis diteruskan ke
01:49penipunya dan itu akan digunakan untuk
01:52mengambil alih account mobile banking
01:54dan mengurus dananya Bung Yudi Mas
01:58tadi ya dengan memberikan tautan
02:00kemudian kita mendownload tapi di satu
02:03sisi Apakah ini termasuk dalam modus
02:04living Karena kalau saya baca Driving
02:07ini sangat menggunakan eh mobile banking
02:09yang berbasis pada wi-fi ataupun
02:11internet publik Apakah ini kurang lebih
02:14sama cara kerja ya Mas
02:16kalau dari sisi definisi mungkin ini
02:19tidak bisa dimasukkan ke snipping karena
02:22sniffing itu dia
02:24mencuri transaksi yang lewat
02:27transaksi yang lewat itu baik WhatsApp
02:30maupun dari internet sekarang deskripsi
02:33dengan baik jadi yang terjadi adalah SMS
02:36forwarding Jadi ini bukan sniping dan
02:38juga bukan Rat Jadi bukan remote access
02:42Trojan saat ini di Indonesia Kami lihat
02:44belum sampai ke revolusi itu kalau sudah
02:46masuk ke level rate remote akses turun
02:49hujan itu sangat mengkhawatirkan karena
02:50sangat berbahaya bisa melakukan remote
02:53pada perangkat kita tapi yang terjadi
02:54sekarang
02:56semata-mata hanya SMS forwarding jadi
02:59SMS sudah telegram dan ini yang satu
03:02catatan penting yang perlu kita
03:03perhatikan adalah untuk mengakses dan
03:06memindahkan mobile banking ke telepon
03:09lain tidak hanya butuh SMS OTP kita
03:12butuh yang lain namanya
03:14user ID password dan PIN transaksi nah
03:17kami sinyalir bahwa data Ini sebenarnya
03:21sudah menyebar di kalangan penipu itu
03:23apakah mereka dapatkan waktu fishing
03:26yang Tahun 2022 yang waktu itu kenaikan
03:29biaya admin dimana banyak menjadi
03:31korbannya mereka tidak mau kena biaya
03:33admin lalu diarahkan ke situs finishing
03:35lalu memasukkan data user ID password
03:38dan pin di sana dari situ dilakukan
03:40profiling lalu ditarget korbannya jadi
03:43eee untuk mendapatkan OTP Nah jadi kalau
03:47dia bisa dapatkan otp-nya dan dia punya
03:49databasenya yaitu jadi sempurna dia bisa
03:51mengambil alih ekornya dan mengurus
03:53dananya kalau tadi Mas over mengatakan
03:56eee profiling dari calon ataupun target
04:00daripada korban sendiri ya kita bisa
04:02melihat ini merupakan salah satu
04:03indikasi dari social engineering ya Mas
04:05gimana para pelaku kegiatan cyber itu
04:07juga melihat perilaku dan kecenderungan
04:10serta Bagaimana habit dari para calon
04:12korbannya dan yang menarik Apakah memang
04:14data-data yang dicuri tadi itu tadi Mas
04:17mengacu pada peristiwa pencurian data di
04:192022 Apakah ini juga merupakan salah
04:22satu hal yang perlu diwaspadai mengingat
04:24data kita sudah tidak lagi bersifat
04:26rahasia terutama terkait dengan
04:28data-data mungkin alamat kemudian juga
04:30data pribadi yang boleh jadi semua sudah
04:33tersebar Mas
04:36ya Jadi sebenarnya data ini sangat
04:39rahasia dan mereka dapatkan dengan
04:43kecerdikannya melakukan rekayasa sosial
04:46jadi mereka melakukan rekayasa sosial
04:49memalsukan sebagai pengumuman bank kalau
04:52anda tidak ingin dikenakan biaya fix
04:55transfer 150.000 per bulan maka anda
05:00harus Isi form ini padahal itu
05:02memalsukan dari bank bank tidak
05:04melakukan hal itu
05:06nasabah mana ada yang mau dikenakan
05:09150.000 flat selama sebulan walaupun
05:11transfernya unlimited lalu mereka akan
05:14mengisi datanya Nah di situ dipancing
05:16untuk mengisi data user ID password dan
05:19PIN nah dari situ dikumpulkan datanya
05:21dan kami sinyalir waktu itu korbannya
05:25sangat banyak dari beberapa
05:28bank pengelola mobile banking lalu data
05:31itu kemungkinan besar sudah beredar di
05:34kalangan penipu ini jadi Jadi sekarang
05:36mereka sudah punya nomor telepon sudah
05:38punya user ID password dan PIN lalu
05:40mereka tinggal mendapatkan OTP ini nah
05:43dapatkan OTP ini ya mereka kirim APK nah
05:46apk-nya mereka pinter sekali kemarin
05:48jadi sebagai kurir paket lalu
05:50selanjutnya sekarang jadi undangan nikah
05:52besok dia jadi BPJS jadi Hal ini yang
05:55yang perlu diperhatikan oleh masyarakat
05:58dan bank penyelenggara mobile banking
06:01juga Arab juga Tolong diperbaiki sistem
06:03keamanannya Jadi jika terjadi
06:05perpindahan nomor account mobile banking
06:09harap anda gunakan otentikasi What you
06:12have Jadi bukan what you know what you
06:15have itu seperti
06:16korbannya pemilik rekening harus ke ATM
06:20untuk karena dia butuh kartu ATM dan
06:23penipu tidak punya dia perusahaan untuk
06:25mengganti user ID dari mobile bankingnya
06:27atau dia harus ke CS memperlihatkan
06:30ktp-nya KTP seperti ini yang kecil perlu
06:35diperhatikan juga oleh penyelenggaraan
06:37mobile banking jadi masyarakat memang
06:39pada umumnya kan awam gitu Kalau orang
06:41yang tidak mengerti melakukan klik lalu
06:44setuju semua Nah kalau misalnya
06:46melakukan verifikasi What you have
06:48finish Setiap perpindahan account maka
06:49walaupun penipu memiliki kredensial dan
06:52memiliki SMS OTP dia tidak akan bisa
06:54mengambil alih dananya Kenapa karena
06:57sudah dilindungi dengan baik oleh bank
06:59nah hal itu yang kami sarankan untuk
07:01diperhatikan oleh bank penyedia juga
07:02dari OJK juga kami benar-benar berharap
07:05bahwa OJK sebagai Wasis sebagai pengawas
07:07untuk melakukan standarisasi yang baik
07:10gitu loh pokoknya kalau mau pindah nomor
07:13handphone harus ada verifikasi What you
07:16have ke banknya atau ktm-nya jadi itu
07:19yang kami sarankan dan masyarakat juga
07:21harus berhati-hati jangan sembarangan
07:24kalau terima APK langsung di install
07:26atau disetujui Kalau anda tadi
07:28mengatakan bahwasanya upgrade daripada
07:30pelaku kegiatan cyber juga harusnya
07:33diimbangi dengan proteksi yang baik dari
07:35para pengguna jasa maupun pihak penyedia
07:39perbankan sendiri ya Mas tetapi yang
07:41menarik tadi anda katakan terkait dengan
07:42bagaimana aplikasi tersebut juga harus
07:45diimbangi dengan verifikasi seperti obat
07:47you have lalu mengapa hal tersebut tidak
07:49terlalu jamak dilakukan di Indonesia
07:51ataupun memang ini karena literasi dalam
07:54kegiatan cyber di Indonesia masih rendah
07:56Mas
08:00kelihatannya mungkin
08:02penyelenggara mobile banking ini
08:05beranggapan bahwa pengamanan OTP ini
08:08sudah cukup untuk mengamankan karena OTP
08:12ini secara secara teori kan saat ini
08:14secara de facto merupakan pengamanan
08:16terbaik tetapi yang mereka lupakan
08:19adalah pengamanan OTP ini
08:22memiliki banyak tingkat keamanan jadi
08:26OTP ini ada 3 secara umum satu OTP token
08:29token itu yang paling aman karena tidak
08:31tidak ada perantara pihak ketiga lalu
08:34kedua OTP autentiater seperti Google
08:36authenticator Microsoft atau
08:39masih aman tetapi relatif Kenapa karena
08:43ada daya handphone lalu OTP ketiga
08:45dengan menggunakan SMS sebenarnya secara
08:48teknis OTP dengan SMS itu adalah OTP
08:51yang paling lemah dari semua OTP yang
08:53saya Sebutkan Tadi kenapa karena satu
08:55ini melibatkan pihak ketiga jadi di
08:57tengah jalan pihak ketiga itu jika bocor
08:59itu bisa diambil OTP ini ya yang kedua
09:01yang seperti hal ini kalau perangkatnya
09:03eee disusupi oleh aplikasi untuk
09:07mem-format SMS atau pencuri SMS dan
09:10korbannya tidak sadar menjalankannya
09:12maka OTP itu bisa dicuri nah tadinya OTP
09:15yang menjadi eee What you happy itu
09:18sebagai perangkat itu ketika sudah
09:21dikeluarkan angkanya lalu berhasil
09:23disadap itu jadi what you know what you
09:26know Itu kan bisa disebarkan
09:28username
09:30itu bisa dibagikan tetapi What you have
09:33itu nggak bisa dibagikan
09:35jadi itu seperti kartu ATM seperti KTP
09:39atau wajah kita jadi kita mesti ke bank
09:42kalau misalnya mau ganti nomor handphone
09:43atau apa Nah itu yang yang perlu
09:46diperhatikan oleh penyelenggara mobile
09:48banking
09:51terkait dengan tips sendiri selain tadi
09:53ada mengatakan bahwasanya buat you have
09:55itu merupakan salah satu hal yang
09:57krusial untuk melakukan verifikasi
09:59ketika ada pergantian nomor telepon
10:01ataupun ketika ada penggunaan telepon
10:04ataupun data berbasis telepon yang tidak
10:08sesuai dengan peruntukannya Ada hal lain
10:10nggak Mas yang harus kira-kira kita
10:13perkirakan bisa menjadi salah satu
10:15protection di awal buat para pengguna
10:18jasa perbankan mobile ataupun para
10:20pengguna telepon mas
10:24kalau melihat bahwa data ini sudah
10:26menyebar bahwa kemungkinan jika kita
10:30merasa bahwa dulu kita pernah dikirimi
10:32data ini lalu mungkin data kita sudah
10:34menyebak jadi ada ada satu saran
10:38dan satu saran longtem saya adalah
10:41segera ganti password dan pin dari
10:44mobile banking anda itu supaya kalau
10:46misalnya datanya sudah menyebar udah
10:48diganti pelaku penipuannya nggak bisa
10:51melakukan login itu yang pertama yang
10:53kedua jika sudah melakukan hal itu kalau
10:56bisa sih ganti account mobile bankingnya
10:58dan Kalau anda kurang yakin banknya
11:01mengamankan dengan What you have kalau
11:03misalnya ganti nomor saya sarankan udah
11:05ganti aja penyelenggara mobile
11:07bankingnya dengan yang kalau misalnya
11:09terjadi pergantian nomor dia perlu
11:11verifikasi ke bank atau ke atm-nya
11:14daripada dana anda yang jadi taruhannya
11:17gitu loh Itu Saran saya sih Selain itu
11:20untuk bank dan pemerintah saya harapkan
11:24cobalah terapkan pengamanan yang baik
11:26yang seperti kami sarankan tadi
11:32Terima kasih untuk perbincangan ya Mas
11:34Selamat pagi
Voir Plus de Vidéos Connexes
5.0 / 5 (0 votes)
