Awas, Beredar Aplikasi Peretas Berkedok Undangan Pernikahan
Summary
TLDRThe script discusses a new digital banking scam involving fraudsters using fake wedding invitations sent via WhatsApp to trick victims into downloading malware that intercepts SMS OTPs, facilitating the transfer of mobile banking accounts to the fraudsters. It highlights the importance of public awareness against clicking suspicious links and installing apps from outside the Play Store. The conversation also touches on the need for banks to strengthen security measures, including the implementation of 'What you have' verification methods to prevent unauthorized account transfers.
Takeaways
- 📲 The script discusses a new mode of banking crime involving digital deception through WhatsApp invitations to weddings, aiming to compromise mobile banking security.
- 🔒 The criminals require an SMS OTP (One-Time Password) to transfer the victim's mobile banking account to their own account, highlighting the importance of OTP security.
- 🚫 It is advised not to click on suspicious links or install applications from outside the Play Store, as this could inadvertently grant SMS access to fraudsters.
- 🔄 The script mentions that the criminals have shifted their tactics from using courier packages to wedding invitations and then to BPJS (Indonesian Health Insurance) bills to trick victims into revealing their OTP.
- 🤖 The term 'sniffing' is clarified as stealing transactions that pass through communication channels like WhatsApp or the internet, which is different from the current method of SMS forwarding.
- 🛡️ The need for additional security measures beyond OTP is emphasized, suggesting the use of 'What you have' verification methods, such as requiring a physical item like an ATM card.
- 👥 The script points out that the data stolen in 2022 has likely spread among fraudsters, indicating that social engineering and profiling of potential victims are common tactics.
- 🔑 It is suggested that if one's data has been compromised, they should immediately change their mobile banking passwords and PINs to prevent unauthorized access.
- 🏦 The banking institutions are urged to improve their security systems and consider implementing 'What you have' verification for account transfers to prevent fraud.
- 📈 There is a call for the OJK (Indonesian Financial Services Authority) to standardize and enforce better security measures for mobile banking services.
- 🌐 The script highlights the low level of cybersecurity literacy among the general public in Indonesia and the need for better protection and awareness.
Q & A
What is the new method of banking crime discussed in the script?
-The new method of banking crime discussed involves scammers using digital invitations, such as for a wedding, sent via WhatsApp to hack into mobile banking accounts.
How do scammers obtain the SMS OTP needed for transferring mobile banking accounts?
-Scammers send files in Android package or APK format to trick victims into installing applications that forward SMS OTPs to the scammers' devices, allowing them to transfer the banking accounts.
What is the difference between the new scam method and traditional phishing attacks?
-The new scam method is an evolution of phishing where scammers no longer need to send packages or pretend to be couriers; they use digital invitations and other social engineering tactics to trick victims into providing their OTPs.
Is this new scam method considered 'sniffing' or 'RAT' (Remote Access Trojan)?
-No, this method is not considered sniffing or RAT. It is categorized as SMS forwarding, which is less sophisticated but still effective in stealing banking information.
What additional security measures are recommended for banks to prevent such scams?
-Banks are recommended to implement 'What you have' verification methods, such as requiring a physical visit to an ATM or bank with an ATM card or ID for any account number changes, to supplement the OTP security.
Why is the OTP via SMS considered the weakest form of OTP security?
-The OTP via SMS is considered the weakest because it involves a third party and can be intercepted by malicious applications designed to format or steal SMS messages.
What is the role of social engineering in this new scam method?
-Social engineering plays a significant role as scammers impersonate banks or other institutions to trick victims into filling out forms that collect their user IDs, passwords, and PINs.
How can the public protect themselves from falling victim to this scam?
-The public should be cautious about clicking on links or installing apps from outside the Play Store, and always verify requests for OTPs and app permissions before granting them.
What is the importance of 'What you have' verification in the context of mobile banking security?
-'What you have' verification, such as requiring a physical token or card, adds an extra layer of security by ensuring that the person attempting the transaction has a unique, non-transferable item in their possession.
What actions should individuals take if they suspect their banking information has been compromised?
-Individuals should immediately change their passwords and PINs for mobile banking and consider changing their mobile banking accounts if they are unsure of the security measures in place by their bank.
What is the role of the financial regulatory authority in addressing this new scam method?
-The financial regulatory authority, such as OJK in Indonesia, should standardize and enforce strict security measures, including 'What you have' verification, to ensure the safety of mobile banking transactions.
Outlines
🔒 New Digital Banking Fraud Tactics
The paragraph discusses the emergence of a new method of digital banking fraud involving the use of wedding invitations sent via WhatsApp as a means to compromise mobile banking systems. The fraudsters aim to intercept SMS OTPs to transfer the victim's mobile banking account to their own account. The speaker, an expert in cybersecurity and digital forensics, warns the public not to easily click on suspicious links or install apps from outside the Play Store, as these actions could inadvertently grant the fraudsters access to their banking details. The paragraph also touches on the importance of not just relying on SMS OTP for security, but also using additional authentication methods such as user ID, password, and PIN for transferring accounts.
📲 Countermeasures Against Mobile Banking Fraud
This paragraph delves into the importance of improving the security measures of mobile banking systems. It highlights the need for banks to implement 'What you have' authentication methods, such as requiring the physical presence of an ATM card or personal identification documents when transferring mobile banking to a new device. The speaker suggests that this would prevent fraudsters from taking over accounts, even if they have the necessary credentials and SMS OTP. The paragraph also calls for the standardization of security measures by regulatory bodies and urges the public to be cautious about installing apps and granting SMS access to unknown applications.
🚨 Public Awareness and Long-term Protection Strategies
The final paragraph emphasizes the need for public awareness about the potential spread of personal data and banking information among fraudsters. It advises individuals to change their mobile banking passwords and PINs as a precautionary measure if they suspect their data may have been compromised. Additionally, it recommends considering changing the mobile banking provider to one that requires 'What you have' verification for phone number changes. The speaker also calls on banks and the government to implement robust security measures and urges the public to be vigilant about their digital security.
Mindmap
Keywords
💡Cybersecurity
💡Mobile Banking
💡Phishing
💡SMS OTP
💡APK
💡Social Engineering
💡Data Breach
💡Two-Factor Authentication (2FA)
💡Cyber Forensics
💡Remote Access Trojan (RAT)
💡What You Have (WYH)
Highlights
New modus operandi in banking crime involving digital deception through a wedding invitation via WhatsApp to hack mobile banking.
Cybersecurity and forensics expert discusses the increasing trend of online crimes, particularly in the banking sector, with reported cases reaching 45,000.
The evolution of phishing techniques now includes the use of Android package or APK files to steal SMS OTP for transferring mobile banking accounts.
Scammers are now using various social engineering tactics such as fake wedding invitations and BPJS bills to trick victims into providing SMS OTP.
The importance of public awareness against clicking and installing suspicious requests or APKs outside the Play Store.
The role of SMS forwarding in recent banking frauds, emphasizing that it's not sniffing or remote access Trojan attacks.
The necessity for additional security measures beyond SMS OTP, such as user ID, password, and transaction PIN, to secure mobile banking transfers.
Indication that the data breach from 2022 has led to the spread of sensitive banking information among fraudsters.
The use of social engineering by cybercriminals to analyze the behavior and habits of potential victims to craft targeted attacks.
The recommendation for banks to implement stronger security protocols, including 'What you have' verification methods like requiring a visit to an ATM or bank branch for account changes.
The call for standardization by regulatory bodies like OJK to enforce better security measures for mobile banking.
The suggestion for users to change their mobile banking passwords and PINs if they suspect their data may have been compromised.
The potential long-term protection measures for users, including changing mobile banking accounts and ensuring banks have robust verification processes in place.
The discussion on the limitations of SMS-based OTP as the weakest form of OTP due to potential interception by third parties.
The comparison of different OTP methods, highlighting the security levels of token-based, authenticator app-based, and SMS-based OTPs.
The emphasis on the importance of 'What you have' verification, such as possession of an ATM card or ID, as a crucial security measure.
The expert's advice for banks and the government to improve security measures and the literacy of cyber activities among the public.
Transcripts
ya modus baru dalam kejahatan perbankan
digital kembali ditemukan kali ini
penipu menggunakan undangan pernikahan
digital melalui WhatsApp untuk membobol
mobile banking sudah bersama saya
melalui sambungan virtual alfontanu Jaya
pakar keamanan cyber dan forensik
digital Selamat pagi Mas telepon
Semoga sehat selalu ya baik Salam sehat
juga Mas Mas ini kita selalu melihat
bahwasanya kejahatan di online selalu
meningkat ya Bahkan Laporan sudah
mencapai 45.000 untuk sektor perbankan
ataupun kejahatan transaksi melalui
online Yang dilaporkan oleh kominfo
Apakah modus penipuan online dengan
mengirimkan file dengan format Android
package atau APK ini merupakan modus
living Mas
ya ini merupakan perkembangan dari
fishing sebenarnya mereka hanya
membutuhkan SMS OTP ini untuk
memindahkan account mobile banking dari
rekening pemilik ke rekening pembajak
Jadi sebelumnya kan dulu pakai paket
kurir Nah sekarang jadi undangan TK lalu
kemarin kita baru dapat lagi ada sebagai
tagihan BPJS tujuannya sebenarnya ingin
mendapatkan SMS OTP jadi secara otomatis
SMS OTP yang masuk untuk persetujuan
perpindahan rekening ini akan
diformatkan ke perangkat dari penipunya
biasanya ke telegram jadi hal itu yang
perlu menjadi perhatian masyarakat
jangan terlalu mudah mengklik lalu
menginstal sebenarnya itu ada ada
permintaan persetujuan apakah anda yakin
ingin menginstal dari luar Play Store
nah jika itu diklik pun nanti anda
persetujuan lagi apakah anda yakin ingin
memberikan akses SMS kepada aplikasi ini
Kalau di klik Ya udah semua SMS yang
masuk akan otomatis diteruskan ke
penipunya dan itu akan digunakan untuk
mengambil alih account mobile banking
dan mengurus dananya Bung Yudi Mas
tadi ya dengan memberikan tautan
kemudian kita mendownload tapi di satu
sisi Apakah ini termasuk dalam modus
living Karena kalau saya baca Driving
ini sangat menggunakan eh mobile banking
yang berbasis pada wi-fi ataupun
internet publik Apakah ini kurang lebih
sama cara kerja ya Mas
kalau dari sisi definisi mungkin ini
tidak bisa dimasukkan ke snipping karena
sniffing itu dia
mencuri transaksi yang lewat
transaksi yang lewat itu baik WhatsApp
maupun dari internet sekarang deskripsi
dengan baik jadi yang terjadi adalah SMS
forwarding Jadi ini bukan sniping dan
juga bukan Rat Jadi bukan remote access
Trojan saat ini di Indonesia Kami lihat
belum sampai ke revolusi itu kalau sudah
masuk ke level rate remote akses turun
hujan itu sangat mengkhawatirkan karena
sangat berbahaya bisa melakukan remote
pada perangkat kita tapi yang terjadi
sekarang
semata-mata hanya SMS forwarding jadi
SMS sudah telegram dan ini yang satu
catatan penting yang perlu kita
perhatikan adalah untuk mengakses dan
memindahkan mobile banking ke telepon
lain tidak hanya butuh SMS OTP kita
butuh yang lain namanya
user ID password dan PIN transaksi nah
kami sinyalir bahwa data Ini sebenarnya
sudah menyebar di kalangan penipu itu
apakah mereka dapatkan waktu fishing
yang Tahun 2022 yang waktu itu kenaikan
biaya admin dimana banyak menjadi
korbannya mereka tidak mau kena biaya
admin lalu diarahkan ke situs finishing
lalu memasukkan data user ID password
dan pin di sana dari situ dilakukan
profiling lalu ditarget korbannya jadi
eee untuk mendapatkan OTP Nah jadi kalau
dia bisa dapatkan otp-nya dan dia punya
databasenya yaitu jadi sempurna dia bisa
mengambil alih ekornya dan mengurus
dananya kalau tadi Mas over mengatakan
eee profiling dari calon ataupun target
daripada korban sendiri ya kita bisa
melihat ini merupakan salah satu
indikasi dari social engineering ya Mas
gimana para pelaku kegiatan cyber itu
juga melihat perilaku dan kecenderungan
serta Bagaimana habit dari para calon
korbannya dan yang menarik Apakah memang
data-data yang dicuri tadi itu tadi Mas
mengacu pada peristiwa pencurian data di
2022 Apakah ini juga merupakan salah
satu hal yang perlu diwaspadai mengingat
data kita sudah tidak lagi bersifat
rahasia terutama terkait dengan
data-data mungkin alamat kemudian juga
data pribadi yang boleh jadi semua sudah
tersebar Mas
ya Jadi sebenarnya data ini sangat
rahasia dan mereka dapatkan dengan
kecerdikannya melakukan rekayasa sosial
jadi mereka melakukan rekayasa sosial
memalsukan sebagai pengumuman bank kalau
anda tidak ingin dikenakan biaya fix
transfer 150.000 per bulan maka anda
harus Isi form ini padahal itu
memalsukan dari bank bank tidak
melakukan hal itu
nasabah mana ada yang mau dikenakan
150.000 flat selama sebulan walaupun
transfernya unlimited lalu mereka akan
mengisi datanya Nah di situ dipancing
untuk mengisi data user ID password dan
PIN nah dari situ dikumpulkan datanya
dan kami sinyalir waktu itu korbannya
sangat banyak dari beberapa
bank pengelola mobile banking lalu data
itu kemungkinan besar sudah beredar di
kalangan penipu ini jadi Jadi sekarang
mereka sudah punya nomor telepon sudah
punya user ID password dan PIN lalu
mereka tinggal mendapatkan OTP ini nah
dapatkan OTP ini ya mereka kirim APK nah
apk-nya mereka pinter sekali kemarin
jadi sebagai kurir paket lalu
selanjutnya sekarang jadi undangan nikah
besok dia jadi BPJS jadi Hal ini yang
yang perlu diperhatikan oleh masyarakat
dan bank penyelenggara mobile banking
juga Arab juga Tolong diperbaiki sistem
keamanannya Jadi jika terjadi
perpindahan nomor account mobile banking
harap anda gunakan otentikasi What you
have Jadi bukan what you know what you
have itu seperti
korbannya pemilik rekening harus ke ATM
untuk karena dia butuh kartu ATM dan
penipu tidak punya dia perusahaan untuk
mengganti user ID dari mobile bankingnya
atau dia harus ke CS memperlihatkan
ktp-nya KTP seperti ini yang kecil perlu
diperhatikan juga oleh penyelenggaraan
mobile banking jadi masyarakat memang
pada umumnya kan awam gitu Kalau orang
yang tidak mengerti melakukan klik lalu
setuju semua Nah kalau misalnya
melakukan verifikasi What you have
finish Setiap perpindahan account maka
walaupun penipu memiliki kredensial dan
memiliki SMS OTP dia tidak akan bisa
mengambil alih dananya Kenapa karena
sudah dilindungi dengan baik oleh bank
nah hal itu yang kami sarankan untuk
diperhatikan oleh bank penyedia juga
dari OJK juga kami benar-benar berharap
bahwa OJK sebagai Wasis sebagai pengawas
untuk melakukan standarisasi yang baik
gitu loh pokoknya kalau mau pindah nomor
handphone harus ada verifikasi What you
have ke banknya atau ktm-nya jadi itu
yang kami sarankan dan masyarakat juga
harus berhati-hati jangan sembarangan
kalau terima APK langsung di install
atau disetujui Kalau anda tadi
mengatakan bahwasanya upgrade daripada
pelaku kegiatan cyber juga harusnya
diimbangi dengan proteksi yang baik dari
para pengguna jasa maupun pihak penyedia
perbankan sendiri ya Mas tetapi yang
menarik tadi anda katakan terkait dengan
bagaimana aplikasi tersebut juga harus
diimbangi dengan verifikasi seperti obat
you have lalu mengapa hal tersebut tidak
terlalu jamak dilakukan di Indonesia
ataupun memang ini karena literasi dalam
kegiatan cyber di Indonesia masih rendah
Mas
kelihatannya mungkin
penyelenggara mobile banking ini
beranggapan bahwa pengamanan OTP ini
sudah cukup untuk mengamankan karena OTP
ini secara secara teori kan saat ini
secara de facto merupakan pengamanan
terbaik tetapi yang mereka lupakan
adalah pengamanan OTP ini
memiliki banyak tingkat keamanan jadi
OTP ini ada 3 secara umum satu OTP token
token itu yang paling aman karena tidak
tidak ada perantara pihak ketiga lalu
kedua OTP autentiater seperti Google
authenticator Microsoft atau
masih aman tetapi relatif Kenapa karena
ada daya handphone lalu OTP ketiga
dengan menggunakan SMS sebenarnya secara
teknis OTP dengan SMS itu adalah OTP
yang paling lemah dari semua OTP yang
saya Sebutkan Tadi kenapa karena satu
ini melibatkan pihak ketiga jadi di
tengah jalan pihak ketiga itu jika bocor
itu bisa diambil OTP ini ya yang kedua
yang seperti hal ini kalau perangkatnya
eee disusupi oleh aplikasi untuk
mem-format SMS atau pencuri SMS dan
korbannya tidak sadar menjalankannya
maka OTP itu bisa dicuri nah tadinya OTP
yang menjadi eee What you happy itu
sebagai perangkat itu ketika sudah
dikeluarkan angkanya lalu berhasil
disadap itu jadi what you know what you
know Itu kan bisa disebarkan
username
itu bisa dibagikan tetapi What you have
itu nggak bisa dibagikan
jadi itu seperti kartu ATM seperti KTP
atau wajah kita jadi kita mesti ke bank
kalau misalnya mau ganti nomor handphone
atau apa Nah itu yang yang perlu
diperhatikan oleh penyelenggara mobile
banking
terkait dengan tips sendiri selain tadi
ada mengatakan bahwasanya buat you have
itu merupakan salah satu hal yang
krusial untuk melakukan verifikasi
ketika ada pergantian nomor telepon
ataupun ketika ada penggunaan telepon
ataupun data berbasis telepon yang tidak
sesuai dengan peruntukannya Ada hal lain
nggak Mas yang harus kira-kira kita
perkirakan bisa menjadi salah satu
protection di awal buat para pengguna
jasa perbankan mobile ataupun para
pengguna telepon mas
kalau melihat bahwa data ini sudah
menyebar bahwa kemungkinan jika kita
merasa bahwa dulu kita pernah dikirimi
data ini lalu mungkin data kita sudah
menyebak jadi ada ada satu saran
dan satu saran longtem saya adalah
segera ganti password dan pin dari
mobile banking anda itu supaya kalau
misalnya datanya sudah menyebar udah
diganti pelaku penipuannya nggak bisa
melakukan login itu yang pertama yang
kedua jika sudah melakukan hal itu kalau
bisa sih ganti account mobile bankingnya
dan Kalau anda kurang yakin banknya
mengamankan dengan What you have kalau
misalnya ganti nomor saya sarankan udah
ganti aja penyelenggara mobile
bankingnya dengan yang kalau misalnya
terjadi pergantian nomor dia perlu
verifikasi ke bank atau ke atm-nya
daripada dana anda yang jadi taruhannya
gitu loh Itu Saran saya sih Selain itu
untuk bank dan pemerintah saya harapkan
cobalah terapkan pengamanan yang baik
yang seperti kami sarankan tadi
Terima kasih untuk perbincangan ya Mas
Selamat pagi
関連動画をさらに表示
5.0 / 5 (0 votes)