Penipuan Aplikasi Lounge Pass baru-baru ini terungkap, penipuan online baru yang melibatkan aplikasi jahat dengan nama yang sama. Insiden ini terungkap setelah salah satu korban penipuan melalui media sosial berbagi pengalamannya dan bagaimana dia ditipu dalam jumlah besar. Peneliti keamanan siber kini telah mengkonfirmasi adanya penipuan yang dilakukan melalui aplikasi bernama Lounge Pass, dan menjelaskan bagaimana pelaku kejahatan dapat mencuri uang dari orang-orang.
Kisah korban
Dalam video yang diposting di X (sebelumnya Twitter), seorang pengguna memposting video seorang wanita yang diduga menjadi korban penipuan. Postingan tersebut kini telah menjadi viral dengan lebih dari 5.000 suka dan 2.100 repost. Wanita tersebut mengklaim bahwa insiden tersebut terjadi di dalam Bandara Internasional Kempegowda di Bengaluru pada tanggal 29 September. Dia mengaku meninggalkan kartu kreditnya di rumah dan malah mengunggah foto dirinya. Ingin mengakses area lounge, dia diduga menunjukkan foto kartu kreditnya kepada orang-orang di lounge. Namun, peserta diduga memintanya untuk mengunduh aplikasi Lounge Pass.
Korban juga membagikan tangkapan layar percakapan WhatsApp di mana tersangka penipu mengiriminya URL untuk mengunduh aplikasi tersebut. Mereka juga diduga memintanya untuk membagikan layarnya dan melakukan pemindaian wajah (face scan) untuk “tujuan keamanan”. Dia kemudian diizinkan menggunakan ruang tunggu. Dia juga mengklaim bahwa selama beberapa minggu berikutnya, orang-orang mengatakan kepadanya bahwa mereka tidak dapat menghubunginya melalui telepon, dan terkadang suara “laki-laki” akan menjawab ketika mereka meneleponnya.
Dia diduga menemukan penipuan tersebut setelah tagihan kartu kreditnya tiba dan melihat adanya transaksi senilai Rs. 87125 ke akun PhonePe. Meskipun korban tidak yakin, dia mengklaim bahwa aplikasi jahat mungkin menjadi alasan di balik penipuan tersebut.
Tangkapan layar juga menunjukkan bahwa pengaturan teleponnya telah diubah untuk mengaktifkan penerusan panggilan tanpa sepengetahuannya. Dia diduga melaporkan kejadian ini ke Sel Kejahatan Cyber. Gadgets 360 tidak dapat memverifikasi klaim apa pun.
Peneliti menyelidiki penipuan Lounge Pass
Tim peneliti ancaman dari perusahaan keamanan siber CloudSEK mampu melakukan hal tersebut Memastikan Adanya penipuan melalui Open Source Intelligence Investigation (ONST). Para peneliti dapat menemukan beberapa domain yang digunakan untuk mendistribusikan aplikasi Lounge Pass.
Berdasarkan penyelidikan, penipuan tersebut dilakukan melalui aplikasi pencurian SMS canggih yang dapat mengontrol perangkat setelah dipasang. Penipu cenderung mencuri informasi sensitif dari perangkat menggunakan aplikasi, mengambil kendali SMS dan panggilan. Setelah selesai, mereka mentransfer dana ke rekening bank yang diinginkan dan mencegat kata sandi satu kali (OTP) baik yang dikirim melalui SMS atau telepon.
Para peneliti mampu merekayasa balik file APK aplikasi tersebut, dan menemukan bahwa penipu secara tidak sengaja membiarkan titik akhir Firebase mereka terekspos. Titik akhir ini digunakan untuk menyimpan pesan teks SMS yang disadap dari korban. Berdasarkan analisis data, peneliti menemukan bahwa antara Juli dan Agustus 2024, sekitar 450 orang menginstal aplikasi tersebut. Selain itu, para penipu juga berhasil menipu lebih dari Rs. 9 lakh korban selama periode ini.
Peneliti CloudSEK juga menyoroti bahwa ini mungkin bukan gambaran keseluruhan karena perusahaan hanya menganalisis satu titik akhir.
Apa yang dapat dilakukan orang untuk melindungi diri mereka sendiri?
Karena aplikasi tersebut tidak tersedia di Play Store atau App Store, tidak banyak yang dapat dilakukan untuk menghapus aplikasi tersebut. Para peneliti membagikan serangkaian rekomendasi yang dapat diikuti orang-orang untuk melindungi diri mereka dari penipuan ini.
Pertama, masyarakat disarankan untuk tidak mengunduh aplikasi akses lounge dari sumber mana pun yang tidak dapat diandalkan. Hanya pasar aplikasi resmi yang dapat dipercaya untuk tujuan ini. Selain itu, sebelum pemasangan, pengguna harus memeriksa nama penerbit aplikasi.
Wisatawan juga harus menghindari pemindaian kode QR acak di bandara. Selain itu, saat mengunduh aplikasi, pengguna harus berhati-hati dengan izin yang mereka berikan kepada aplikasi tersebut. Jika tidak benar-benar diperlukan, tidak ada aplikasi yang dapat mengakses fitur SMS atau panggilan. Terakhir, aplikasi perbankan atau UPI apa pun yang diinstal pada perangkat harus memiliki otentikasi dua faktor (2FA) untuk lapisan keamanan tambahan.
