Penelitian terbaru menemukan jenis baru alat otomatisasi social engineering yang dapat mengekstrak One Time Password (OTP) dari pengguna.
Menelpon korban dengan berpura-pura menjadi technical support untuk menipu calon korbannya mungkin mulai membosankan dan tidak lagi efektif dan efisien bagi scammer, cara lama yang kini sudah ketinggalan jaman.
Saat ini, scammers benar-benar memanfaatkan hadirnya otomatisasi seperti dengan menggunakan bot-for-hire sebagai metode baru yang akan mengambil alih dunia social engineering.
Dengan bot semacam ini, menelpon korban dalam jumlah ratusan merupakan hal yang sangat mudah setiap harinya, membuat scamming menjadi pekerjaan sederhana dan menguntungkan.
Bot yang dimaksud adalah Bot OTP, jenis baru Telegram bot berbahaya yang dirancang untuk mengelabui korban yang tidak curiga dan menipu mereka agar memberikan One Time Password atau kata sandi satu kali mereka, yang kemudian digunakan scammer untuk mengakses dan mengosongkan rekening bank mereka.
Yang menjadi kabar buruk lagi, basis pengguna bot model baru ini tengah berkembang dan tumbuh begitu cepat dengan jumlahnya mencapai ribuan dalam beberapa minggu terakhir.
Ciri Bot OTP
- Bot dapat mengekstrak kata sandi satu kali dari korban dalam hitungan menit.
- Bot OTP dapat mencuri OTP untuk pertukaran kripto, bank, dan layanan online lainnya seperti Gmail, Coinbase, Bank of America, Alliant, Chase, dan banyak lagi.
- Bot robocall merupakan salah satu teknik rekayasa sosial bot OTP.
Cara kerja Bot OTP
Bot OTP adalah contoh terbaru dari model Crimeware-as-a-Service yang berkembang di mana penjahat dunia maya menyewakan alat dan layanannya kepada siapa pun yang bersedia membayar.
Setelah dibeli, Bot OTP memungkinkan penggunanya untuk mengambil One Time Password (OTP) dari korban yang tidak curiga dengan memasukkan nomor telepon target, serta informasi tambahan apa pun yang mungkin diperoleh pelaku ancaman dari kebocoran data atau pasar gelap. Kemudian data ini dimanfaatkan tergantung pada layanan yang ingin dieksploitasi oleh pelaku ancaman.
Bot juga dijual di ruang obrolan Telegram yang saat ini memiliki lebih dari 6.000 anggota, menghasilkan keuntungan besar bagi penciptanya dari menjual langganan bulanan kepada para penjahat siber. Sementara itu, penggunanya secara terbuka memamerkan senjata terbaru mereka dengan menggeledah rekening bank target mereka di dalam ruang chat yang sama.
Sarang penipuan dan kejahatan
Sejak diluncurkan di Telegram pada bulan April, layanan ini tampaknya semakin populer, terutama dalam beberapa minggu terakhir. Saluran Telegram Bot OTP memiliki 6.098 anggota, peningkatan 20% hanya dalam tujuh hari.
Beberapa alasan di balik pertumbuhan yang cepat tampaknya adalah kemudahan penggunaan dan model bot for hire, yang memungkinkan scammers yang tidak berpengalaman atau bahkan baru pertama kali menjadi penipu dapat berhasil menipu korbannya dengan sedikit usaha dan tanpa interaksi sosial.
Berdasarkan keberhasilan Bot OTP, sangat jelas bahwa tool social engineering otomatis jenis baru ini hanya akan terus tumbuh dan populer. Dan hanya masalah waktu sebelum layanan peniru baru yang tak terhitung jumlahnya muncul di pasar dan menarik lebih banyak penipu yang berharap dapat menghasilkan uang dengan cepat.
Yang lebih mengkhawatirkan adalah bahwa pengetahuan ini ditawarkan untuk disewa dengan cara berbasis cloud (crimeware-as-a-service), memberikan titik masuk yang lebih mudah ke scammers “script-kiddie”.
Dengan situasi seperti ini, pengguna harus lebih mau untuk mendidik diri mereka sendiri dan waspada terhadap ancaman seperti ini, sehingga mereka menjadi target yang sulit bagi penjahat dunia maya.
Cara mengenali serangan social engineering
Mengetahui cara menemukan upaya rekayasa sosial merupakan hal yang penting untuk menjaga keamanan uang dan informasi pribadi Anda. Begini caranya:
- Jangan menjawab panggilan dari nomor yang tidak dikenal. Jika Anda melakukannya dan seseorang yang tidak Dikenal mulai meminta informasi pribadi Anda, segera tutup telepon.
- Jangan pernah memberikan data pribadi. Ini termasuk data seperti nama, nama pengguna, alamat email, kata sandi, PIN, atau informasi apa pun yang dapat digunakan untuk mengidentifikasi Anda.
- Santai saja. Scammers sering mencoba untuk membuat rasa urgensi palsu untuk menekan Anda agar memberikan informasi Anda. Jika seseorang mencoba memaksa Anda untuk membuat keputusan, tutup telepon atau beri tahu mereka bahwa Anda akan menelepon kembali nanti. Kemudian hubungi nomor resmi perusahaan yang mereka wakili.
- Jangan percaya ID penelepon. Scammers dapat muncul sebagai perusahaan atau seseorang dari daftar kontak Anda dengan memalsukan nama dan nomor telepon. Faktanya, penyedia layanan keuangan tidak pernah menelepon pelanggan mereka untuk mengonfirmasi informasi pribadi mereka. Jika ada aktivitas yang mencurigakan, mereka hanya akan memblokir akun Anda dan mengharapkan Anda untuk menghubungi perusahaan melalui saluran resmi untuk menyelesaikan masalah tersebut. Karena itu, selalu waspada, meskipun ID penelepon di layar ponsel Anda terlihat asli.