Hati-hati dan waspada terhadap modus penipuan baru di tokopedia.com

Banyak metode penipuan yang digunakan oleh pelaku penipuan untuk melakukan aksinya di dunia maya, biasanya yang menjadi korban adalah orang yang menggunakan suatu aplikasi tertentu baik sosial media maupun web ecommerce.

Berdasarkan pengamatan saya ada dua cara yang paling umum di manfaat oleh penipu diantaranya yang pertama dengan memanfaatkan celah keamanan sistem dan yang kedua dengan memanfaatkan kelemahan pengguna sistem atau End User.

Keberadaan aplikasi yang memiliki tingkat keamanan rendah dapat membahayakan banyak hal penting. Misalnya, data finansial, layanan kesehatan, pertahanan, energi, bahkan infrastruktur krusial. Apalagi, saat ini infrastruktur digital semakin kompleks dan semakin terhubung, menjadikan keamanan aplikasi berbasis web sebagai perhatian utama.

A. Penjelasan Singkat Tentang Celah Keamanan Sistem Berbasis Web

1. Injection

Dalam praktik penggunaan SQL, OS, dan LDAP, injeksi adalah hal yang sangat riskan untuk terjadi. Injeksi biasanya dilakukan dengan memasukkan data yang tidak terpercaya ke dalam interpreter sebagai bagian dari command atau query. Data yang dimasukkan oleh injektor dapat menipu interpreter untuk mengeksekusi perintah tertentu atau mengakses data rahasia tanpa izin.

2. Broken Authentication and Session Management

Fungsi pada aplikasi berbasis web yang berkaitan dengan autentifikasi dan manajemen sesi seringkali tidak terimplementasikan dengan baik. Apabila hal ini terjadi di level parah, penyerang sistem akan dengan mudah mencuri dan memanfaatkan password serta data pribadi lainnya yang akan merugikan pengguna.

3. Cross-Site Scripting (XSS)

Kelemahan dalam XSS terjadi ketika sebuah aplikasi mengakses data yang tidak terpercaya dan mengirimkannya lewat web tanpa ada konfirmasi validasi sebagaimana mestinya. Kejadian XSS akan memberikan keleluasaan bagi penyerang sistem untuk menggunakan script dari browser guna mengakses web tanpa izin. Misalnya mengarahkan ke website palsu atau bahkan melakukan redirect ke situs berbahaya.

4. Insecure Direct Object References

Objek langsung di sini berkaitan ketika developer mengekspos referensi ke dalam implementasi objek internal. Misalnya ke file, direktori, atau database key. Tanpa memiliki accsess control check dan perlindungan lain, penyerang dapat memanipulasi referensi ini untuk mengakses data rahasia.

5. Security Misconfiguration

Selama ini, sistem keamanan yang bagus membutuhkan konfigurasi yang terjamin guna mengakses aplikasi, framework, web server, aplikasi server, database server, hingga platform.  Sebab, setingan default seringkali tidak aman. Selain itu, pembaruan rutin terhadap software pun menjadi sebuah keharusan.

6. Sensitive Data Exposure

Banyak aplikasi berbasis web yang belum melindungi data sensitif secara layak. Misalnya data kartu kredit hingga data autentifikasi. Penyerang sistem sangat mungkin mencuri atau memodifikasi data bersistem pengamanan lemah tersebut untuk melakukan tindakan penipuan, pencurian identitas, atau kriminalitas lain.

7. Missing Function Level Access Control

Mayoritas aplikasi berbasis web akan memverifikasi fungsi akses sebelum membuat fungsi tersebut ada di user interface. Faktanya, aplikasi juga perlu melakukan kontrol akses yang sama ke server tiap kali fungsi itu dijalankan. Apabila permintaan tidak terverifikasi, maka penyerang bisa dengan mudah mengakses fungsi privat tanpa izin.

8. Cross-Site Request Forgery (CSRF)

Cara kerja CSRF adalah dengan memaksa masuk ke browser pengguna yang kemudian mengirimkan permintaan HTTP, termasuk cookies, serta berbagai informasi rahasia yang tersimpan di browser, ke aplikasi web gadungan. Hal ini akan membuat pengguna seolah-olah mengakses aplikasi tersebut secara langsung, padahal tidak.

9. Using Known Vulnerable Components

Komponen dasar seperti database, famework, dan berbagai modul software kebanyakan dijalankan dengan hak penuh. Apabila komponen yang riskan dieksploitasi, bisa menyebabkan kehilangan data dan pengambil-alihan server.

10. Unvalidated Redirects and Forwards

Aplikasi berbasis web yang digunakan user seringkali melakukan redirect dan forward ke halaman lain atau bahkan website lain. Tindakan semacam ini, tanpa validasi yang benar, dapat mengarahkan user ke laman phishing, malware, maupun menggunakannya untuk mengakses laman berbahaya lain.

B. Kelemahan Manusia

Kelemahan manusia bisa saja menjadi salah satu faktor penyumbang terjadinya penipuan secara online. cara ini biasanya sangat ampuh digunakan oleh banyak penipu karena sangat simpel dan sederhana. saat sekarang ini sudah banyak website ecommerce yang menawarkan tingkat keamanan tinggi baik enkripsi metode konfirmasi berganda serta verifikasi setiap tranksaksi baik menggunakan password maupun nomor hanphone pengguna dan lainnya... tujuan utamanya untuk memastikan bahwa akun itu benar-benar milik kita walaupun sangat menggangu bagi sebagian orang.

Para pengembang website biasanya menawarkan rekening bersama untuk memfasilitasi antara penjual dan pembeli produk, posisinya adalah sebagai penengah untuk mengatasi kecurangan yang dilakukan oleh penjual online yang tidak bertanggung jawab, misalnya konsumen memesan iPhone 6s namun setelah dana tersebut diterima oleh penjual barang tidak dikirimkan atau biasanya tidak mengirimkan sesuai dengan pesanan berdasarkan deskripsi dan gambar yang dipajang di website, dengan permasalahn itulah maka rekening bersama yang ditawarkan oleh toko ecommerce besar seperti tokopedia.com menjadi sangat melindungi konsumen dan penjual baik.

Dengan rekening bersama yang ditawarkan oleh tokopedia.com bukan berarti sudah aman dan nyaman bertranksaksi ditokopedia, karena tidak cukup sebatas websitenya bagus dan ditambah lagi dengan fasilitas rekening bersama melainkan harus tetap penuh kewaspadaan dari para konsumen karena jaman sekarang ini segala bentuk penipuan bisa terjadi dan marak diinternet.

Biasanya para konsumen terlanjur nyaman dan menyerahkan rasa nyamannya kepada pihak penyedia layanan misalkan tokopedia.com padahal disinilah letak kelemahan yang menjadi pintu masuk oleh penipu untuk melakukan aksinya. Aksi penipuannya terlihat sederhana dan tanpa harus capai-capai belajar teknik hacking karena mereka hanya memanfaatkan kelalaian konsumen.

Contoh kasus penipuan pada tokopedia.com :
  1. Informasi produk - Digunakan untuk menampilkan isi atau deskripsi dari produk yang ditawarkan oleh toko
  2. Ulasan - Disediakan bagi konsumen yang sudah berhasil menerima barang untuk melakukan ulasan terhadap barang maupun pelayanan pemilik toko dari konsumen.
  3. Diskusi Produk - Digunakan untuk melakukan diskusi produk antara calon pembeli dan penjual produk jika ada sesuatu hal yang masih kurang jelas.

Letak kelemahan yang digunakan oleh para penipu di tokopedia.com adalah fitur "Diskusi Produk" mereka cukup melakukan monitoring terhadap toko online yang sudah banyak konsumen dengan rating dan produk terjual banyak di kolom "Diskusi Produk", Jika ada calon pembeli produk yang ingin bertanya maka para penipu ini langsung mengirimkan pesan pribadi ke calon konsumen menggunakan fitur pesan tokopedia dengan mengirimkan pin BBM / WhatsApp / ID Line dan sebgainya dengan alasan fast respon atau respon cepat. intinya pelaku sengaja menggiring calon konsumen untuk melanjutkan diskusi via BBM dan lainnya biar aman untuk mengarahkan konsumen agar mentransferkan dana pembayaran produknya langsung ke rekening si penipu yang sudah menyamar sebagai pemilik toko tadi agar aman dari tokopedia dan pemilik toko asli. Kemudian setelah calon konsumen terperdaya degan iming-iming fast respon maka yang dirugikan adalah calon konsumen karena telah mingirimkan uang dengan jumlah tertentu ke rekening penipu tetapi barang yang ingin dipesan tidak kunjung datang. Calon konsumen biasanya terjebak karena yang pasti konsumen sangat senang jika pertanyaannya di respon dengan cepat apalagi jika barang yang akan dibeli sangat dibutuhkan oleh calon konsumen.

Jika ada calon konsumen yang telah berhasil ditipu dengan modus diatas maka jangan harap uang anda akan kembali apalagi jika minta pertanggungjawaban ke pihak tokopedia, karena ini merupakan murni diluar tanggungjawab tokopedia karena tidak menggunakan rekening bersama tokopedia.com, oleh karena itu dibutuhkan kroscek atau konfirmasi ke pemilik toko atau pihak tokopedia.com jika anda mencurigai ada hal aneh atau upaya yang tidak biasanya di tokopedia.com untuk menggiring kita bertransaksi diluar rekening tokopedia.com

Jadilah Konsumen Yang Cerdas Sebelum Berbelanja Online....
Semoga tulisan ini bermanfaat. Terimakasih

1 Response to "Hati-hati dan waspada terhadap modus penipuan baru di tokopedia.com"

  1. Saya Risna Susanti, saya menggunakan waktu ini untuk memperingatkan semua rekan-rekan saya Indonesian.Who yang terjadi di sekitar mencari pinjaman, Anda hanya harus berhati-hati. satu-satunya tempat dan perusahaan yang dapat menawarkan pinjaman adalah JOYCE ROLAND PINJAMAN PERUSAHAAN. Saya mendapat pinjaman saya dari mereka. Mereka adalah satu-satunya pemberi pinjaman yang sah di internet. Lainnya adalah semua pembohong, saya menghabiskan hampir $ 1000 di tangan palsu pemberi pinjaman. Tapi pinjaman kualitas memberi saya mimpi saya kembali. Ini adalah alamat email yang sebenarnya mereka: joycerolandloancompany@gmail.com sendiri email pribadi saya: risnasusanti247@gmail.com. Anda dapat berbicara dengan saya kapan saja Anda inginkan. Terima kasih semua untuk mendengarkan permintaan saya untuk saran ...

    ReplyDelete