Credit image: Freepix
Penipuan Pajak via iMessage Kini Tak Terblokir dan Sulit Dilaporkan – Para penjahat siber telah menemukan cara baru untuk mengirim pesan teks phising ke iPhone yang sulit untuk diblokir atau dilaporkan oleh pengguna.
Modus penipuan ini, yang terlihat beredar melalui iMessage bulan ini, mengklaim bahwa pengguna berhak mendapatkan pengembalian pajak (tax refund) dari HMRC (lembaga pajak Inggris).
Pesan tersebut mengarahkan korban ke situs web palsu yang URL-nya menggunakan kombinasi huruf seperti ‘Gov’ dan ‘HMRC’.
Pesan itu tampak dikirim dari GOVUK (layanan pemerintah Inggris) melalui akun bisnis, yang menjadi alasan mengapa pengguna tidak dapat memblokir pesan atau meneruskannya ke nomor layanan anti-spam khusus.
|
Baca juga: Ponsel Anda Dilacak Pahami Tandanya |
Cara Kerja Teks yang Tidak Terblokir
Pakar keamanan siber memperingatkan bahwa sangat mudah bagi penjahat untuk membuat pesan phising tampak berasal dari sebuah bisnis.
Pengguna tidak boleh percaya pada pesan hanya karena nama tampilan (display name) yang tertera, segala sesuatu harus diverifikasi untuk keamanan.
Menurut peneliti, penipu dapat dengan mudah membeli akun bisnis yang diretas dari situs-situs dark web dan kemudian mengubah nama tampilan akun tersebut agar terlihat seperti entitas lain (dalam kasus ini, GOVUK).
Bahkan jika akun memiliki nama merek tepercaya dan tampak sebagai akun bisnis, Anda harus tetap waspada terhadap pesan yang tidak biasa.
Mengubah nama tampilan di iMessage adalah proses yang cukup mudah, jadi sangat penting untuk tidak pernah menjadikannya sebagai bukti identitas.
Akun bisnis yang sah dapat diretas atau disusupi melalui beberapa cara:
- Akun Terkompromi Dijual: Akun Apple atau media sosial yang terkompromi sering dijual di dark web, dan penyerang dapat menggunakan salah satunya untuk melancarkan serangan.
- Rekayasa Sosial: Ada kemungkinan akun bisnis asli diretas melalui rekayasa sosial untuk mencuri kata sandi dan/atau kode otentikasi multi-faktor dari pemegang akun yang sah, lalu mengubah namanya menjadi GOVUK untuk mengirim pesan scam.
|
Baca juga: ClickFix Memanfaatkan Perilaku Manusia |
Cara Mengenali Penipuan Phising
Penjahat sering meniru organisasi tepercaya. Jangan pernah meletakkan kepercayaan Anda pada nama tampilan.
Peneliti menjelaskan bahwa serangan phising dapat diluncurkan melalui hampir semua media komunikasi, mulai dari:
- Email dan SMS (smishing)
- Pesan media sosial
- Panggilan telepon (vishing).
Trik umum yang digunakan dalam penipuan ini adalah taktik yang disebut ‘spoofing’, di mana penipu berusaha meniru individu, organisasi, atau bahkan entitas pemerintah, dengan membuat sedikit perubahan pada nama atau alamat email.
Konten pesan biasanya akan menjadi petunjuk yang jelas. Taktik keterdesakan dan ketakutan digunakan untuk mendorong respons cepat, atau potensi hasil yang menguntungkan (seperti janji pengembalian uang).
Anda harus sangat berhati-hati terhadap pesan apa pun yang menjanjikan uang atau mengancam hasil negatif jika Anda tidak segera bereaksi.
Yang Harus Dilakukan Jika Menerima Pesan Scam
Pesan teks yang tidak terduga, terutama yang menyertakan hyperlink (tautan), harus diperlakukan dengan sangat hati-hati, tidak peduli dari siapa pun pesan itu tampaknya berasal.
- Hindari mengklik tautan apa pun dalam pesan.
- Periksa informasi (misalnya, apakah ada pengembalian pajak yang harus dibayarkan) melalui saluran resmi organisasi. Kunjungi situs web resmi organisasi tersebut secara langsung atau hubungi mereka melalui nomor telepon/alamat email yang telah terverifikasi.
- Dalam kasus di mana meneruskan teks ke nomor anti-spam tidak memungkinkan, individu tidak boleh menanggapi pesan tersebut. Sebaliknya, hubungi langsung pengirim yang mengaku sah (misalnya GOV.UK) dengan mengunjungi situs web resmi mereka dan menggunakan informasi kontak yang terverifikasi di sana.
Sumber berita:
