Baca tanpa iklan
TRIBUNTORAJA.COM - Baru-baru ini viral kasus pembobolan isi tabungan melalui link berbentuk file APK.
Modusnya rata-rata permintaan untuk membuka atau mengklik undangan digital, pengumuman, ataupun resi paket, padahal itu adalah aplikasi pembobol isi rekening.
Seperti yang dialami Doni Pembonan, warga Kecamatan Karangan, Kabupaten Kutai Timur (Kutim), Kalimantan Timur.
Pemuda asal Toraja ini mengaku kehilangan uang dalam rekening BRI miliknya sebanyak Rp 67 juta.
Nasib naas itu dialaminya berawal dari seseorang oknum yang mengaku sebagai kurir JNE akan mengantarkan paket.
Oknum ini mengirimkan link file APK, dengan alasan resi paket. Ia meminta Doni untuk membukanya.
Baca juga: Tabungan BRI Pria asal Toraja Sebesar Rp 67 Juta Ludes Setelah Dikirimi Link dari Oknum Kurir JNE
Dalam sekejap, uang di tabungan BRI Doni ludes sebesar Rp 67 juta.
Hal serupa pun dialami Derasmus, warga Kupang, Nusa Tenggara Timur (NTT).
Ia kehilangan uang di BRI sebesar Rp 14 juta dan menyisakan Rp 25 ribu, setelah membuka undangan digital file APK yang dikirim lewat pesat WhatsApp.
"Kalau mendapat link jenis APK seperti itu hati-hati, apalagi kalau gadget yang memiliki aplikasi keuangannya (m-banking)," kata Nikodemus, warga Rantepao, Toraja Utara.
Apa itu APK?
APK Android Package Kit atau APK adalah format file yang digunakan untuk menghimpun berbagai elemen guna memasang aplikasi pada Android.
Elemen APK yang dimaksud berisi kode dan aset program perangkat lunak. Ciri format ini yakni tertera tulisan APK atau .apk pada akhir nama file.
File APK dengan beragam modus ini melakukan pencurian data pribadi. Penerima pesan diminta untuk mengeklik file yang dilikim, dengan alasan untuk mengecek resi.
Padahal ketika diklik, sebuah aplikasi pencuri data pribadi pada ponsel telah terpasang tanpa sepengetahuan korban. Data pribadi yang telah dicuri dapat menimbulkan kerugian tak terhingga.
Salah satunya pembobolan rekening.
Baca juga: Dapat Link APK, Jangan Dibuka. Itu Modus Baru Menguras Tabungan di Bank
Secara sederhana, APK merupakan format yang mirip dengan format .rar atau .zip yang mengkompresi, mengekstrak, atau mengarsip data tertentu menjadi satu kesatuan.
Bedanya, APK khusus digunakan untuk instalasi aplikasi Android.
Dilansir dari Tech Target, Juli 2018 lalu, elemen pada APK dikompilasi menggunakan Android Studio, yang merupakan integrated development environment (IDE) resmi untuk membangun perangkat lunak Android.
Selain didistribusikan melalui Google Plau atau Play Store, file APK juga dapat didistribusikan langsung kepada pengguna android.
Cara Kerjanya
Caranya yakni dengan mengirim langsung file berbentuk APK tersebut, untuk kemudian dipasang pada perangkat Android.
Cara kerja scam file APK File APK yang dikirim oleh scammer berisi aplikasi yang dibuat sedemikian rupa oleh pemogramnya agar dapat mencuri data pada ponsel korban.
Baca juga: BERITA Populer di Akhir Pekan Ini, Penipuan Berkedok Link APK dan Pembobolan Kantor Camat Saluputti
"Aplikasi tersebut bisa dibuat dengan tujuan membaca data yang ada di smartphone, termasuk data SMS, data phonebook, bahkan apa yang kita ketik di keyboard smartphone," kata dosen Ilmu Komputer Universitas Sebelas Maret (UNS) Surakarta Rosihan Ari Yuana dilansir dari Kompas.com.
Pelaku akan memanfaatkan data pribadi yang ada di ponsel untuk menguras saldo di m-banking atau e-wallet korban.
Pelaku akan berpura-pura sebagai pengirim undangan, resi paket, atau pengumuman lainnya dengan fil eksistensi APK kepada korban.
Korban diminta untuk mengklik dan menginstal aplikasi tersebut.
Aplikasi dirancang agar tidak terlihat bahwa jebakan itu sudah dipasang di ponsel.
Data yang dicuri sangat beragam, data yang bersifat pribadi dan berbagai informasi yang masuk melalui SMS, termasuk data perbankan bersifat sangat rahasia seperti One Time Password (OTP) dan lainnya.
"Kalau dia mau menguras saldo rekening, cukup aplikasi dibuat supaya bisa mendapatkan data OTP dari SMS, kemudian username dan password mobile banking yang didapat dari data karakter yang diketikkan di keyboard," ucap Rosihan.
Perlu ditekankan bahwa sejak awal, pelaku sudah memegang username hingga kata sandi m-banking serta nomor WhatsApp korban.
Langkah Antisipasi
Cara menghindari scam file APK Langkah awal untuk menghindari penipuan daring melalui file APK adalah mengetahui dan mengerti format file tersebut.
Seperti dijelaskan di awal, file semacam ini memiliki tulisan APK atau .apk pada akhir nama file.
Berikut beberapa cara menghindari penipuan daring:
1. Jangan sembarang klik Apabila menerima file dari orang atau nomor tidak dikenal, maka tahan jari, jangan sampai mengeklik file tersebut.
Layanan ekspedisi, e-commerce, dan sejenisnya tidak pernah meminta pelanggan untuk mengecek resi melalui aplikasi.
Terkait kasus scam file APK mengatasnamakan kurir paket, J&T Express telah memberi keterangan bahwa pihaknya tidak pernah meminta pelanggan untuk memeriksa resi melalui aplikasi.
"J&T Express tidak pernah memberikan resi melalui link aplikasi maupun meminta pelanggan untuk klik link pengecekan resi. Hal tersebut tidak legal dan tidak dilakukan dari J&T Express," ujar Public Relations J&T Express, Diego Prayoga.
Sehingga, jika ada seseorang mengaku sebagai kurir meminta Anda untuk mengecek resi melalui file APK, maka patut dicurigai. Dengan demikian, cara paling aman untuk menghindari scam file APK adalah dengan tidak mengekliknya.
2. Sebaiknya unduh aplikasi di Play Store Belajar dari kasus scam file APK.
Rosihan menyarankan kepada masyarakat untuk tidak sembarangan mengunduh aplikasi untuk ponsel.
Ia menyarankan untuk mengunduh aplikasi yang sudah tersedia di Play Store atau Google Play.
"Ketika mau install aplikasi, pastikan lewat Play Store karena biasanya aplikasi di Play Store sudah ada verifikasi dulu. Relatif lebih aman. Jangan pernah menginstall aplikasi yang file APK-nya selain dari Play Store," katanya.
3. Perhatikan rating dan developer Meski Play Store memiliki sistem verifikasi, tetapi tidak serta merta kita bisa aman dari pencurian data.
Ada sejumlah aplikasi yang lolos dari pengawasan. Misalnya, aplikasi yang sengaja dibuat mirip dengan instansi atau perusahaan tertentu, untuk kemudian mengambil data-data yang mereka perlukan.
"Banyak aplikasi di Play Store yang pakai logo instansi tertentu, tapi developer-nya bukan dari instansi resmi," ujar Rosihan.
Salah satu cara untuk mengetahui aplikasi itu resmi atau bukan, Rosihan mengatakan, dapat dilihat dari peringkat dan nama pengembangnya.
"Pastikan review aplikasi dari usernya bagus dan sudah banyak yang mengunduh," katanya.
4. Perhatikan izin akses Aplikasi kerap meminta izin akses terhadap email, nomor telepon, daftar kontak, lokasi, dan data pengguna lainnya.
Pengguna dibebani kesediaan untuk memberikan akses terhadap data-data pribadi mereka. Namun, kita bisa memilih untuk tidak memberikan akses tersebut.
"Harus hati-hati ketika install, kalau nanti pas instalasi ada permintaan akses data ke SMS, phonebook, dan data krusial lain maka jangan di-install," jelas Rosihan.
Bagaimana jika terlanjur instal? Dalam kasus scam file APK mengatasnamakan kurir, korban tidak sadar bahwa aplikasi telah terpasang di ponselnya.
Rosihan menjelaskan, jika korban terlanjur mengeklik file APK kiriman dari penipu, data pribadi yang telah bocor sudah tidak dapat tertolong.
Kendati demikian, untuk menghindari kerugian lebih lanjut, segera uninstall aplikasi mencurigakan melalui pengaturan ponsel.
Rosihan juga menyarankan untuk segera mengubah PIN dan kata sandi atau pin yang menjadi pintu masuk data kita, setelah uninstall aplikasi tersebut.
Contohnya, email, m-bangking, e-wallet, e-commerce, dan sejenisnya. "Langsung di-uninstall saja, tapi data yang sudah telanjur dikirim ya tidak bisa diapa-apakan," tutur Rosihan.
Sumber: kompas.com