Waspada WA Penipu Mengaku CS DANA, Cek Cara Tangkalnya Kata Pakar
Pakar keamanan siber Vaksincom Alfons Tanudja mengungkap penipuan DANA, Maret 2025. (Tangkapan layar YouTube Alfonstan)
FAKTA.COM, Jakarta – Pengamat Keamanan Siber dari Vaksincom, Alfons Tanujaya, mengingatkan masyarakat untuk berhati-hati terhadap modus penipuan online yang mencatut aplikasi dompet digital DANA. Bentuknya, pengiriman link atau tautan berbahaya.
“Harap anda berhati-hati dengan aksi penipuan yang menjanjikan penipuan poin jadi saldo DANA atau voucher belanja,” ujar Alfons dalam kanal YouTube-nya yang berjudul "SCAM e-wallet DANA”, Jumat (14/3/2025).
Alfons memaparkan bahwa skema penipuan ini dimulai dengan pelaku yang berpura-pura menjadi customer service DANA dan menghubungi calon korban melalui aplikasi WhatsApp.
Selanjutnya, pelaku mengirimkan tautan phishing berupa situs palsu yang dirancang menyerupai tampilan resmi aplikasi DANA.
Jika korban mengakses tautan tersebut, mereka akan diarahkan ke halaman buatan penipu dan diminta untuk mengisi data pribadi, seperti nomor handphone, PIN DANA, serta kode OTP. Data ini kemudian digunakan oleh pelaku untuk mengambil alih akun dan menguras saldo korban.
Informasi yang dimasukkan korban secara otomatis dikirim ke akun Telegram milik penipu, yang kemudian langsung digunakan untuk mengakses akun korban.
Jika korban berhasil tertipu dan memberikan seluruh datanya, akun DANA mereka akan diretas dan saldonya dikuras habis oleh pelaku.
“Penipu setelah berhasil mengambil akun, jelas penipu akan langsung beraksi dikuras saldo DANA korban,” tambah Alfons.
Tampak meyakinkan
Alfons Tanujaya menyoroti langkah penipu yang menurutnya “sangat meyakinkan”, salah satunya karena situs palsu buatan pelaku menggunakan domain .id, yang tampak seperti website milik perusahaan besar dan situs layanan resmi di Indonesia.
Dirinya menyoroti perlunya langkah Pengelola Nama Domain Internet Indonesia (PANDI) sebagai lembaga yang berwenang dalam regulasi domain untuk mencegah terjadinya hal ini.
“Mungkin PANDI bisa lebih proaktif lakukan pemantauan atau membuat sistem seleksi pemberian domain yang lebih aman supaya domain.id tidak mudah disalahgunakan untuk aktivitas jahat," sarannya.
Infografis penipuan online. (Fakta.com)
"Kalau perlu menyaring lebih ketat khususnya untuk domain yang diberikan secara gratis dan menindak tegas pemilik domain yang menyalahgunakan atau pemilik domain yang tidak menjaga domainnya dengan baik,” kata Alfons.
Selain itu, pakar keamanan siber tersebut juga menyoroti taktik penipu dalam meyakinkan korban.
Yakni dengan membuat situs palsu yang menyerupai situs resmi DANA serta keberanian mereka menghubungi korban secara langsung untuk menggiring korban memasukkan data pribadinya.
Cara hindari penipuan e-Wallet DANA
Alfons menekankan agar pengguna selalu berhati-hati saat memasukkan data pribadi ke dalam situs yang belum terjamin keamanannya.
Pengguna perlu lebih waspada dalam membedakan situs resmi DANA dengan situs palsu. Alfons menjelaskan bahwa situs asli DANA menggunakan domain .id, sedangkan situs penipuan phishing biasanya memiliki tambahan seperti .web.id.
Ia juga mengingatkan untuk selalu menggunakan aplikasi resmi yang diunduh melalui Play Store dan menghindari mengklik tautan dari sumber yang tidak jelas.
“Jangan pernah mengklik tautan yang diberikan oleh siapa pun,” kata Alfons.
Jadi klaim terkait serangan ke BCA ini hanyalah klaim kosong. Data yang diklaim merupakan data daur ulang dan bukan berasal dari threat actor yang kredibel.
— Teguh Aprianto (@secgron) February 7, 2025
Karena "SkyWave" ini cuma threat actor yang kebiasaaannya repost thread orang lain.
Dia juga turut menyayangkan terkait pertanyaan keamanan (security question) yang diberlakukan DANA, yang hanya diminta pada saat mereset pin yang terlupa.
Pertanyaan keamanan, kata dia, seharusnya bisa diterapkan untuk verifikasi tambahan untuk mencegah pengambilalihan akun oleh penipu.
“Jadi setiap kali pemilik akun ingin berganti nomor ponsel atau pindah ke ponsel baru, DANA jangan hanya mengandalkan Pin dan OTP SMS karena dua informasi ini bisa dicuri menggunakan situs pishing tadi.”
Selain itu, ia mengajak masyarakat yang menerima tautan mencurigakan agar segera melaporkannya ke aduankonten.id, sehingga situs-situs penipuan tersebut dapat diblokir.
Terpisah, pihak DANA melalui Instagram resminya menghimbau agar masyarakat tidak mudah percaya dengan telepon atau pesan dari pihak yang mengaku sebagai customer service DANA.
“Guys kalau kalian pernah dapet telefon dari CS Palsu DANA melalui WhatsApp, abaikan aja telefonnya yaa. Jangan lupa di block & report karena DANA gak punya Customer Care di WhatsApp. Yuk Save & Share info di #DANAKasihPaham kali ini 🤗,” menurut keterangan tertulis DANA di Instagram.