Jakarta – Penjahat siber terus menemukan cara untuk menipu korbannya. Meski triknya tak canggih-canggih amat, banyak korban yang tertipu.
Menurut peneliti keamanan siber dari Sophos bernama Paul Ducklin, kini tengah beredar modus baru untuk mencuri data pengguna Instagram. Yaitu lewat pemberitahuan copyright infringement atau pelanggaran hak cipta palsu.
Dilansir Indian Express, Rabu (9/3/2022), jenis scam ini sebenarnya sudah ada sejak lama. Namun masih ada saja pengguna Instagram yang punya banyak follower tertipu dengan scam berjenis phishing ini.
Phishing ini adalah trik yang dipakai penipu untuk mengakali korban agar menyerahkan data-data pribadinya. Tujuannya agar si pelaku bisa mengambil alih akun korban dengan data-data tersebut, seperti email, tanggal lahir, nomor telepon, termasuk meminta password.
Nah, korban ataupun calon korban ini biasanya adalah akun yang mencantumkan alamat email pada profilnya, sehingga mudah untuk dikirimi email oleh pelaku.
Jadi bagaimana cara kerja scam ini? Si pelaku mengirimkan email yang terlihat dikirimkan oleh Instagram dan menyatakan kalau korban melakukan pelanggaran hak cipta dalam postingan mereka. Lalu si korban diberi kesempatan untuk membela diri dengan mengklik link yang disertakan dalam email.
“We recently received a complaint posted on your Instagram account. An image of his album was reported to contain copyrighted content. If no objections are raised to the copyrighted work, we will need to remove your account. Please fill out the appeal form,” begitu tertulis dalam email.
Saat diklik, link itu akan mengarahkan korban ke sebuah situs yang beralamat di guarindfmeta.org/appeal. Ini jelas bukan alamat resmi situs Instagram ataupun Meta — induk Instagram –.
Di dalamnya, ada formulir yang meminta korban memasukkan nama akun Instagramnya. Saat kami coba, apa pun nama akun yang dimasukkan, tampilan berikutnya akan menyebutkan kalau akun tersebut melakukan pelanggaran hak cipta, dan meminta korban memasukkan data-data lainnya, termasuk passwordnya.
Menariknya, saat formulir tersebut diisi, situs itu akan menyebut korban salah mengetik password dan diminta untuk mengetik ulang. Menurut Ducklin, ini mungkin adalah cara si penjahat untuk memastikan agar si korban tak asal memasukkan password di percobaan pertama.
Pada percobaan kedua, akan muncul pesan yang menyebut upaya pembelaan sudah sukses dikirimkan.
“Meski kami berharap Anda bisa mengenali scam email semacam ini secara langsung, kami harus mengakui kalau aksi phishing copyright yang kami terima beberapa minggu belakangan ini terlihat lebih mudah dipercaya,” tambah Ducklin.
Jadi bagaimana caranya agar tak tertipu dari scam sederhana ini?
Berpikirlah sebelum mengklik link apa pun. Meski terlihat bisa dipercaya, coba lihat lebih mendetail berbagai tulisan yang ada dalam email. Terutama alamat pengirim email, jika bukan instagram.com atau facebook.com, atau apa pun situs resmi lainnya, kemungkinan besar itu adalah scam.
Gunakan verifikasi dua tahap. Jika Anda sampai tertipu menyerahkan password ke penipu, mereka tetap akan membutuhkan kode yang dikirimkan ke email, nomor ponsel, ataupun aplikasi authenticator untuk bisa login ke dalam akun.