Pakar Jelaskan Raibnya Rp9 Juta Milik Konsumen Bukalapak

img

Jakarta, CNN Indonesia - Dua pengguna Bukalapak baru-baru ini melaporkan jumlah uang hingga Rp9 juta di fitur BukaDompet lantaran yang ada yang diperbarui yang dikirim ke kotak pesan korban. Tautan dikirim usai pengguna merampungkan transaksi di Bukalapak, kemudian uang hilang tak berbekas.

 

Berdasarkan serangan yang dikeluarkan, pakar keamanan siber dari Pusat Penelitian Keamanan dan Sistem Informasi Komunikasi (CissRec) Pratama Persadha mengatakan jenis serangan ini diakibatkan karena phising.

 

Pratama menjelaskan kompilasi korban mengklik tautan dan mengisi data diri di tautan tersebut, maka akun milik korban bisa diambil alih oleh korban.

 

"Tautan (tautan) yang dipindahkan jelas merupakan tindakan phising (pertarungan). Tautan yang terkait korban untuk mengisi nama pengguna (nama pengguna) dan kata sandi (kata kunci) akun Bukalapak. Karena pengguna memasukkan data-privasi, akunnya diambil alih (diambil) ) dan dibeli untuk membeli uangnya, "kata Pratama kepada CNNIndonesia.com, Rabu (9/1).

 

Ia mengatakan praktik pengiriman phishing ini sudah banyak dilakukan, bahkan tidak hanya terjadi di perusahaan e-Commerce saja. Cara mengirim tautan phishing ke kotak pesan sudah sering dilakukan.

 

Pratama mengatakan ingin membantah aktivitas belanja dengan memerhatikan komentar dan tanya jawab di kolom diskusi. Kemudian setelah korban melakukan transaksi, biasanya korban akan meminta proses pemesanan ke penjual melalui kolom komentar.

 

"Korban yang terlihat akan juga sudah bertransaksi akan dikirimi pesan oleh akun yang dibuka admin Bukalapak juga pedagang barang yang dibeli," jelasnya.

 

Pratama mengatakan ada yang meminta hubungan phising sudah tahu tentang aktivitas korban di platform. Segera mendapatkan nama pengguna dan kata sandi, tindakan selanjutnya yaitu menyedot saldo atau uang milik korban.

 

Ia mengharapkan pihak e-Commerce khusus Bukalapak dapat memberikan edukasi agar mode yang disetujui tidak terjadi lagi. Hal ini dilakukan semata-mata untuk melindungi konsumen dan mengurangi korban.

 

"Mereka akan menyedot saldo di akun dengan lebih dulu melakukan blok akses dari pengguna sebenarnya," ucapnya.

 

 

Penggunaan OTP dan TFA

 

Di sisi lain, pakar keamanan dari Vaksin.com Alfons Tanujaya mengatakan tidak perlu menggunakan dompet digital yang terkoneksi dengan e-Commerce tertentu. Alfons mengeluarkan dompet digital harus terlebih dahulu memiliki sistem keamanan melepaskan dua faktor (TFA) dan kata sandi satu kali (OTP).

 

 "Tanpa TFA & OTP, kredensial sangat mudah tercuri, hanya dengan membeli korban, mengklik tautan phishing, atau memasang keylogger ke perangkat korban," ucapnya kepada CNNIndonesia.com.

 

Alfons menjelaskan dengan menggunakan TFA dan OTP, keamanan kredensial lebih aman. Meskipun peretas bisa masuk ke akun korban, ia tidak akan bisa melakukan transaksi.

 

"Jika ada TFA & OTP setiap kali transaksi, maka kredensial harus dicuri kriminal tidak akan bisa melakukan transaksi karena harus memasukkan OTP One setiap kali transaksi," katanya.

 

Oleh karena itu ia meminta otomasi pembayaran harus menjadi perhatian e-Commerce di Indonesia. Ia mengingatkan agar otomasi dalam proses otorisasi tidak kebablasan dan menghilangkan proses OTP.

 

"Tanpa OTP untuk setiap transaksi, dengan hanya berbekal kredensial hasil phishing, peretas akan mampu melakukan transaksi atas akun yang berhasil di retasnya," ujar Alfons.