Penipuan aplikasi Lounge Pass, penipuan online baru yang melibatkan aplikasi berbahaya dengan nama yang sama, baru-baru ini terungkap. Peristiwa tersebut terungkap setelah adanya dugaan korban tipuan turun ke media sosial untuk berbagi pengalaman mereka dan bagaimana mereka ditipu dalam jumlah besar. Peneliti keamanan siber kini telah mengkonfirmasi adanya penipuan yang dilakukan melalui aplikasi bernama Lounge Pass dan menjelaskan bagaimana penjahat dapat mencuri uang orang.
Kisah korban
Dalam video yang diposting di X (sebelumnya dikenal sebagai Twitter), seorang pengguna memposting video seorang wanita yang diduga menjadi korban penipuan. Postingan tersebut menjadi viral dengan lebih dari 5.000 suka dan 2.100 repost. Wanita tersebut mengklaim bahwa insiden tersebut terjadi di dalam Bandara Internasional Kempegowda di Bengaluru pada 29 September. Dia mengaku telah meninggalkan kartu kreditnya di rumah dan membawa foto dirinya sebagai gantinya. Saat hendak masuk ke kamar, ia mengaku telah menunjukkan gambar kartu kredit tersebut kepada orang yang ada di kamar tersebut. Namun, peserta diduga memintanya untuk mengunduh aplikasi Lounge Pass.
Korban juga membagikan tangkapan layar obrolan WhatsApp di mana tersangka penipu mengiriminya URL untuk mengunduh aplikasi tersebut. Dia juga diduga disuruh membagikan layarnya dan melakukan analisis wajah (pemindaian wajah) untuk “alasan keamanan”. Setelah itu, dia diperbolehkan menggunakan ruang tunggu tersebut. Dia juga mengklaim bahwa selama beberapa minggu berikutnya, orang-orang mengatakan kepadanya bahwa mereka tidak dapat menghubunginya melalui telepon dan terkadang suara “laki-laki” akan menjawab ketika mereka meneleponnya.
Dia diduga mengetahui penipuan tersebut setelah tagihan kartu kreditnya tiba dan dia melihat transaksi sebesar Rs. 87.125 ke akun PhonePe. Meskipun korban tidak yakin, dia mengklaim bahwa aplikasi jahat tersebut mungkin menjadi alasan penipuan tersebut.
Dalam tangkapan layar, dia juga menunjukkan bahwa, tanpa sepengetahuannya, pengaturan ponselnya diubah untuk mengaktifkan penerusan panggilan. Dia diduga melaporkan kejadian ini ke sel kejahatan dunia maya. Gadgets 360 tidak dapat memverifikasi klaim apa pun.
Penyelidik menyelidiki penipuan aplikasi Lounge Pass
Tim peneliti ancaman perusahaan keamanan siber CloudSEK mampu melakukannya mengonfirmasi adanya penipuan melalui penelitian intelijen sumber terbuka (ONST). Penyelidik dapat menemukan beberapa domain yang digunakan untuk mendistribusikan aplikasi Lounge Pass.
Menurut penyelidikan, penipuan tersebut dilakukan oleh aplikasi pencurian SMS canggih yang dapat mengambil kendali perangkat setelah diinstal. Penipu cenderung mencuri informasi sensitif dari perangkat menggunakan aplikasi dan mengambil kendali SMS dan panggilan. Setelah selesai, mereka mentransfer uang ke rekening bank yang diinginkan dan mencegat OTP, baik yang dikirim melalui pesan teks atau panggilan.
Para peneliti mampu merekayasa balik APK aplikasi dan menemukan bahwa para penipu secara tidak sengaja membiarkan titik akhir Firebase mereka terekspos. Endpoint ini digunakan untuk menyimpan SMS yang disadap dari korban. Berdasarkan analisis data, peneliti menemukan bahwa antara Juli dan Agustus 2024, sekitar 450 orang menginstal aplikasi tersebut. Selain itu, penipu juga berhasil menipu lebih dari Rs. 9 lakh korban selama periode ini.
Peneliti CloudSEK juga menyoroti bahwa ini mungkin bukan gambaran keseluruhan, karena perusahaan hanya melihat pada satu titik akhir.
Apa yang dapat dilakukan orang untuk melindungi diri mereka sendiri?
Karena aplikasi tersebut tidak tersedia di Play Store atau App Store, tidak banyak yang dapat dilakukan untuk menghapusnya. Para peneliti telah membagikan serangkaian rekomendasi yang dapat diikuti orang-orang untuk melindungi diri mereka dari penipuan jenis ini.
Pertama-tama, masyarakat disarankan untuk tidak mengunduh aplikasi akses lounge dari sumber yang tidak tepercaya. Untuk ini, Anda sebaiknya hanya mempercayai pasar aplikasi resmi. Selain itu, sebelum menginstal, pengguna harus memeriksa nama penerbit aplikasi.
Wisatawan juga harus menghindari pemindaian kode QR acak di bandara. Selain itu, saat mengunduh aplikasi, pengguna harus berhati-hati dengan izin yang mereka berikan. Jika tidak benar-benar diperlukan, tidak ada aplikasi yang memiliki akses ke fitur SMS atau panggilan. Terakhir, aplikasi perbankan atau UPI apa pun yang diinstal pada perangkat harus berisi otentikasi dua faktor (2FA) untuk lapisan keamanan tambahan.