Subuh
5:49
Syuruk
7:06
Zuhur
1:11
Asar
4:15
Maghrib
7:14
Isyak
8:22
Uji pengetahuan anda dalam bahasa Melayu

Pilih perkataan yang betul

1/3
=
Pilih perkataan yang betul
Betul!
Salah!
< Kuiz sebelumnya
Cuba lagi! Bagus! Hebat! Markah anda: Out Of 3
< Kuiz sebelumnya
Kuiz seterusnya >
Singapura
27
0

PENIPUAN SMS OCBC

Perlu waspada bila terima sebarang pautan

Pakar: Pelanggan tidak harus beri maklumat sensitif, nama log masuk, kata laluan dan OTP kepada sesiapa
Jan 19, 2022 | 05:30 AM



ORANG ramai perlu berhati-hati dan tidak menekan pautan yang didakwa daripada laman bank, meskipun kelihatan seperti dihantar daripada bank.



Ini penting demi mengelakkan daripada terjerat dengan penipuan pancingan data atau phishing.



Sebaliknya, mereka harus menggunakan secara langsung aplikasi perbankan mudah alih rasmi bank atau menaip alamat web rasmi terus ke dalam pelayar web mereka.



Demikian nasihat yang diberikan pakar keselamatan teknologi maklumat (IT) menyusuli insiden penipuan khidmat pesanan ringkas (SMS) melibatkan pelanggan Bank OCBC.



Pakar keselamatan siber, Encik Fadli Sidek, berkata secara umumnya orang ramai tidak harus mengklik pautan daripada mesej yang tidak dikenali.



Namun beliau mendapati dalam kes terbaru melibatkan pelanggan OCBC, penipu 'bijak' menggunakan kata-kata yang kelihatan seperti dari bank tersebut.



"Satu perkara yang boleh dilakukan pelanggan adalah untuk memeriksa URL itu sendiri dan domain yang sah harus berakhir dengan ".ocbc.com", bukan "sesuatu-ocbc.com" atau "ocbc-sesuatu.com".



"Namun, cabarannya generasi lebih lama mungkin kurang memahami perkara ini," kata Encik Fadli, yang juga pengasas bersama kumpulan minat Division Zero.



Jika ragu-ragu, pelanggan harus menghubungi talian hotline OCBC di 6363-3333 dan bukan nombor yang disebut dalam SMS.



Pelanggan juga tidak seharusnya memberikan maklumat sensitif, seperti nama log masuk, kata laluan dan OTP kepada sesiapa sahaja atau memasukkannya ke dalam laman web yang tidak disahkan.



Pakar berkata terdapat beberapa kemungkinan di sebalik mengapa pelanggan bank OCBC yang terjerat dalam penipuan pancingan SMS tidak menerima kata laluan sekali (OTP) SMS yang biasanya dihantar bank untuk mengesahkan transaksi.



OCBC berkata ini mungkin berlaku kerana alat pengesahan digital bank untuk mengesahkan transaksi telah diaktifkan dalam telefon penipu dengan butiran perbankan yang dipancing daripada mangsa.



Pakar keselamatan siber pula berkata satu lagi kemungkinan ialah OTP SMS mungkin dipintas oleh sofwe hasad dalam telefon mangsa, atau dialihkan kepada syarikat telekomunikasi luar negara yang telah digodam.



Hampir 470 pelanggan kerugian sekurang-kurangnya $8.5 juta dalam penipuan pemindahan dana pada Disember lalu selepas penipu menggunakan nama OCBC sebagai penghantar SMS dan menghantar pesanan kepada mangsa dengan pautan ke laman pancingan data.



Ramai mangsa dilaporkan termakan dengan tipu muslihat kerana SMS palsu itu digabungkan dalam telefon mereka dengan SMS sah yang sebelum ini dihantar oleh bank untuk OTP dan makluman transaksi.



Satu muslihat melibatkan penggunaan proses pengesahan digital bank di mana pelanggan menerima SMS pancingan data dengan pautan ke laman palsu log masuk bank, kata bank itu kelmarin.



Apabila pelanggan memasukkan nama pengguna bank atau kod akses dan PIN akaun bank di laman palsu itu, penipu mencuri butiran ini dan memasukkannya ke dalam aplikasi perbankan mudah alih bank dalam peralatannya. Ini membolehkan penipu melakukan pelbagai transaksi tertakluk pada had pemindahan harian.



Penipu itu kemudian mengaktifkan OneToken OCBC, yang digunakan untuk mengesahkan transaksi perbankan digital, di aplikasi perbankan.



Ini mencetuskan penghantaran OTP SMS ke telefon bimbit pelanggan yang berdaftar, di mana pelanggan itu kemudiannya diminta laman pancingan data itu untuk memasukkan PIN kad banknya.



Dengan token yang diaktifkan, penjenayah boleh mengeluarkan lebih banyak wang daripada akaun mangsa yang terjejas dengan menambah penerima dana setempat dan luar negara, serta meningkatkan had pemindahan harian.



Penipu boleh mengesahkan pemindahan dana dengan membalas mesej di aplikasi perbankan tanpa sebarang OTP SMS, jadi mangsa tidak mendapat SMS.



Bagaimanapun, pelanggan mungkin menerima pemberitahuan SMS bahawa token digital telah diaktifkan tetapi mungkin tidak sedar bahawa pengaktifan itu adalah untuk peralatan yang digunakan si penipu.



Pakar keselamatan siber, Encik Anthony Lim, yang juga seorang felo di Universiti Sains Kemasyarakatan Singapura, berkata ada kemungkinan beberapa butiran perbankan mangsa telah dipancing dalam percubaan sebelum ini.



Sofwe hasad dalam telefon mangsa mungkin telah memadamkan mesej itu, kata Encik Kevin Reed, ketua pegawai keselamatan maklumat firma keselamatan siber Acronis.



Persatuan Bank-Bank di Singapura telah memberi amaran pada 2015 tentang sofwe hasad dalam telefon mudah alih yang membolehkan penggodam memintas OTP SMS dan menggunakannya untuk transaksi penipuan.



Encik Fadli berkata peralatan atau sofwe pengesahan digital mungkin diubah oleh penyerang, hingga menyebabkan OTP dihantar kepada penyerang itu dan bukan mangsa.



Beliau menarik perhatian, penyerang boleh mengakses akaun jika mereka mempunyai akses kepada butiran pengguna (ID), pin dan OTP.



"Mereka juga boleh mengalihkan wang menggunakan PayNow yang tidak memerlukan OTP tambahan apabila menghantar wang kecuali anda meningkatkan had harian atau menambah penerima bayaran," kata Encik Fadli.



Beliau menambah, skim penipuan itu bergantung kepada penggunaan telefon bimbit.



Jika pengguna membuka pautan itu di pelayar web (browser) komputer riba contohnya, mereka akan dibawa ke laman lain, dan bukan laman pancingan data itu. Tetapi, jika pautan itu dibuka menggunakan pelayar web telefon bimbit, pengguna dibawa ke laman pancingan data itu.



Penggodam juga boleh menangguhkan atau memadamkan SMS dengan menceroboh rangkaian telefon bimbit SS7, infrastruktur mudah alih untuk pengurusan data. Ia juga membolehkan mereka untuk memalsukan nama penghantar SMS.



Penggodam juga boleh memalsukan (spoof) nombor telefon mangsa agar mereka menerima salinan OTP SMS.



Kemungkinan juga OTP SMS telah dialihkan ke luar negara oleh penipu, seperti yang berlaku dalam kes yang diketengahkan pihak berkuasa pada September tahun lalu.



Perlindungan terbaik adalah "tidak bergantung pada SMS untuk pengesahan kukuh sama sekali" atau untuk mengesahkan tindakan sensitif, kata Encik Reed.




Video Baru

Uji pengetahuan anda dalam bahasa Melayu
Pilih perkataan yang betul 1/3
=
Pilih perkataan yang betul
Betul!
Salah!
< Kuiz sebelumnya
Cuba lagi! Bagus! Hebat! Markah anda: Out Of 3
Kuiz seterusnya >