Cerita ini mungkin satu dari sekian kisah upaya pembobolan akun layanan internet, fintech, atau sejenisnya. Melalui modus telepon dan memancing kode yang bisa berujung pada pengambilalihan akun kita secara sah dan meyakinkan. Semoga kita bisa menarik pelajaran dan berhati-hati di kemudian hari.

Semua bermula dari sebuah panggilan telepon di tengah perjalanan ke Bandung…

Saya tengah mengemudikan mobil dari rumah di Tangerang Selatan menuju ke Kota Bandung untuk mengurus perpindahan domisili dari Bandung ke Tangsel. Mungkin akan ada cerita di masa depan soal ini. Tapi ponsel saya tiba-tiba menerima panggilan setelah saya meninggalkan gate Cikarang Utama. Kondisi lalu lintas sedang macet saat itu.

Nomornya tidak dikenali. Saya pun menyiapkan diri, biasanya kalau tidak penawaran kartu kredit, bisa juga rekan yang lupa saya catat nomornya. Kebetulan mobil sedang merayap pelan, saya pun menerima panggilan tersebut. (saya tahu, seharusnya tindakan ini tidak boleh dilakukan karena membahayakan diri sendiri maupun orang lain. Bagi anda yang membaca tulisan ini, mohon tidak meniru).

Suaranya sedikit serak dan temponya lambat. Dia memperkenalkan diri sebagai Doni, seorang pegawai di Indomaret (tanpa menyebutkan lokasinya) dan baru saja melakukan kesalahan. Kesalahan itu menurutnya adalah mengirimkan kode vocer untuk gim kepada saya. Untuk itu, dia meminta saya agar mengirimkan balik kode yang masuk ke nomor HALO (iya, dia menyebutnya seperti itu) saya.

Saya langsung bete, penipuan macam apa lagi ini. Aku bilang sedang sibuk, lain kali saja dihubungi. Panggilan saya tutup. Begitu selesai, layar ponsel masih dalam keadaan bersedia (standby), saya menyadari ada pemberitahuan bahwa ada pesan singkat baru masuk.

Ada dua SMS datang dari Traveloka, sebuah layanan untuk pemesanan hotel dan tiket perjalanan. Isinya adalah mereka menerima permintaan saya untuk mengganti kode untuk masuk ke akun melalui verifikasi 5 angka yang tinggal dicantumkan ke kolom yang dibutuhkan.

EH? Aku tidak sedang mengganti kode masuk…

SMS itu datang dalam waktu yang bersamaan dengan panggilan misterius ini. Segera saja kurangkai peristiwa barusan, dan aku pun terkesiap. Rupanya “Doni” ini tengah memancing kode verifikasi 5 angka dengan berharap saya teledor dan tidak teliti. Cerita mengenai kode vocer yang salah kirim diharapkan sebagai pemancing agar penerima telepon tidak sadar mencari kode terbaru yang masuk ponsel mereka dan mengembalikannya, tanpa sadar itu adalah kode verifikasi untuk mengganti akun mereka.

Kembali ke Traveloka, saya beberapa kali memakainya untuk memesan hotel maupun tiket perjalanan. Terakhir saya membelikan tiket pesawat untuk istri karena ada urusan darurat di kampung halamannya. Ada poin yang didapatkan setiap transaksi tapi poin yang kumiliki rasanya belum signifikan untuk dijual atau ditukar dengan barang lain.

Sampai ternyata aku sadar, pembelian tiket pesawat istri itu menggunakan kartu kredit. Bila akun itu berhasil dibobol, informasi tentang kartu kredit pun bisa dimanfaatkan untuk membeli tiket atau memesan hotel. Dan gawatnya lagi, aku dalam posisi salah karena “membiarkan” hal itu terjadi!

Beruntung mobil masih dalam keadaan merayap, saya pun masuk ke peramban, mengunjungi situs Traveloka, masuk dengan kata kunci lama (beruntung belum diganti, sinyal kalau pelaku belum sukses mengakses di dalamnya). Berkunjung ke bagian profil, terdapat bagian “My Cards” yang berisi informasi kartu-kartu bank yang saya pakai.

Dan di sanalah, sudah siap menanti kartu kredit saya yang informasinya masih tersimpan. Jadi bila suatu hari saya butuh untuk memesan hotel atau tiket perjalanan, tinggal pilih dan transaksi saja, semua berlangsung sederhana dan mudah. Hanya saja, tidak untuk kali ini. Kemudahan itu bisa berujung fatal.

Kutemukan opsi untuk menghapus kartu kredit saya, segera dieksekusi. Informasi itu pun terhapus. Setidaknya hilang satu lagi resiko yang harus ditanggung bila suatu hari akun Traveloka itu berpindah tangan.

Nomor yang tadi menghubungi, Doni si petugas Indomaret, kembali menelepon. Saya diamkan. Saya memilih untuk tidak mengambil resiko dengan mengangkatnya. Dan hingga hari ini, itu panggilan terakhirnya.

Kejadian-kejadian barusan aku rangkai kembali, menyisakan satu pertanyaan: dari mana dia mendapatkan nomor saya?

Itu yang membuat saya khawatir dengan cara penyedia layanan internet karena pelaku bisa saja mencoba dengan modus yang lebih lihai hingga pengguna tanpa sadar menyerahkan kode verifikasi. Saya bersyukur karena saat itu pikiran sedang fokus sehingga tidak begitu saja menyerahkan kode ke pelaku tanpa berpikir dua kali.

Sesampainya di Bandung, saya pun berbagi pengalaman itu lewat status Facebook. Lumayan rame juga mengundang cerita-cerita para pengguna yang pernah nyaris jadi korban. Beruntung, salah satu teman menghubungkan status saya dengan koleganya yang bekerja di Traveloka.

 

Penjelasan Traveloka

Saya hanya sehari di Bandung, urusan pindah domisili itu dibilang sukses ya sukses, dibilang molor juga molor. Karena harus mengikuti perbaikan data, proses yang saya kira bisa selesai siang hari ternyata harus rampung sore hari dan baru bisa meninggalkan kota kembang itu pada pukul 17.00. Baru saja bersiap pulang, ada pesan masuk lewat Whatsapp dari seseorang yang mengaku bernama Busyra dari tim PR Traveloka.

Panggilan telepon itu terjadi saat mobil melaju di jalan tol Purbaleunyi, masih masuk kawasan Kabupaten Bandung Barat. (iya, sekali lagi itu adalah tindakan bodoh dan berbahaya yakni mengemudi sambil menerima panggilan telepon. Saya menyesalinya).

Awalnya mas Busyra meminta saya untuk menceritakan kronologi panggilan semalam, dan cerita seperti di atas pun saya tuturkan lagi. Dia pun sepakat bahwa panggilan itu adalah upaya penipuan dengan modus mengincar kode verifikasi dari pengguna dan Traveloka memang mewanti-wanti pengguna agar tidak menyerahkan kode yang masuk ke pesan singkat mereka ke orang lain.

Bila kode dipegang, akun pun bisa dikuasai, dan informasi yang ada di dalamnya bisa dimanfaatkan oleh para pelaku.

Saya ingin segera menuntaskan rasa penasaran soal asal pelaku mendapatkan nomor ponsel saya, dan Traveloka ternyata punya teori sendiri. Dan ini berbeda dengan dugaan saya bahwa pelaku bisa mencoba untuk mengganti kode masuk dan mendapatkan nomor telepon untuk dihubungi.

Nomor telepon bapak kemungkinan sudah tersebar dan diperjual belikan seperti informasi pemegang kartu kredit

Nomor telepon itulah yang kemudian dicoba untuk masuk ke layanan-layanan internet, salah satunya Traveloka. Memang benar, kita bisa masuk dengan nama pengguna (username), alamat surel (e-mail), atau nomor telepon. Artinya dengan nomor telepon saya, mereka dapat peluang begitu bisa dimasukkan ke kolom login Traveloka.

Tinggal satu lagi: kata sandi untuk masuk. Di sanalah fitur “lupa kata sandi” dipilih dan opsi kirim kode verifikasi ke nomor telepon tersedia. Cerita ini pun langsung nyambung dengan kisah si Doni yang salah kirim vocer gim.

Social engineering

Suka atau tidak, bila saya lalai dan menyerahkan kode verifikasi lantas yang terburuk terjadi, itu bukanlah sebuah peretasan. Tidak ada yang salah pada sistem karena menyiapkan lapis pertahanan tambahan berupa kode verifikasi, tinggal bagaimana pelaku memutar otak mendapatkannya dari para korban.

Itulah yang kerap disebut sebagai social engineering, bagaimana unsur manusia menjadi sasaran untuk mengubah sistem. Bisa jadi ada banyak modus yang bisa dipakai, tidak saja soal salah kirim vocer gim. Semua itu tergantung kreativitas manusia, dan potensinya itulah yang wajib diantisipasi oleh para calon korban seperti kita agar tidak menjadi mangsa.

Teringat sebuah sesi pemaparan dari bapak Ricardus Eko Indrajit mengenai sistem keamanan saat meliput sebuah acara teknologi keamanan. Saat itu beliau mengatakan bahwa kita bisa saja membuat sistem dengan lapis pertahanan terbaik, tapi sistem terbaik itu akan selalu punya titik terlemah: manusia.

Semua tidak lepas dari interaksi dari sistem yang membutuhkan perintah dari manusia. Dengan demikian, para peretas yang ingin masuk dan mengacau ke dalam jaringan sebuah kantor, instansi, atau fasilitas, bisa memilih dua opsi: membobol masuk melalui celah keamanan, atau memanfaatkan manusia yang ada di dalamnya.

Caranya bisa dari hal yang paling sederhana, kiriman surel berisi file yang mengaku sebagai dokumen atau gambar yang bisa mengundang klik dari penerima. Begitu diaktifkan, skrip kode segera dieksekusi dan masuk ke jaringan. Cara lain, lewat diska lepas (flash disk) yang dicolok ke CPU, tidak hanya dipakai untuk bertukar file, perangkat itu bisa ditunggangi oleh skrip untuk ditanam ke komputer yang terhubung dengan jaringan internal kantor.

Kembali lagi soal pengamanan layanan internet kita, satu hal yang kerap membuat saya agak deg-degan karena semakin kompleks layanan itu bagi hidup kita, semakin banyak data yang kita produksi di server mereka, data tersebut harus dipertahankan sebisa mungkin dengan sistem keamanan yang makin canggih. Bila pelaku belum sukses membobolnya, tinggal mengarahkan sasarannya ke para pengguna.

Pertanyaannya: sudahkah para pengguna mempersiapkan pertahanan diri?