Praktisi keamanan siber yang juga pendiri komunitas Ethical Hacker Indonesia Teguh Aprianto membagikan cerita peretasan SMS yang menimpa seorang pengguna Telkomsel. Teguh menduga pelaku menggunakan tools internal Telkomsel untuk membaca SMS korban.

Cerita itu dibagikan Teguh lewat akun Twitter @segron miliknya pada Selasa (1 September 2020). Saat artikel ini ditulis, cuitannya sudah dibagikan ulang lebih lebih dari 8.000 pengguna Twitter lainnya.

Menurut Teguh, cerita bermula ketika dirinya dihubungi oleh korban bernama Daryl yang menyebut SMS yang masuk ke nomor pribadinya bisa dibaca oleh orang lain. Pelaku kemudian mengirimkan isi SMS itu ke emailnya dan meminta dikirimkan sejumlah uang rekening bank atas nama Zul Amri.

“Ketika korban memberikan bukti sebuah email, saya melihat data yang tak biasa. Si pemeras ini menggunakan tool internal milik @Telkomsel untuk membaca isi sms korbannya,” tulis Teguh sembari melampirkan tangkapan layar email yang diterima korban.

Baca Juga:  Bunuh dan Perkosa 2 Gadis di Kupang dengan Iming-iming Kerja, YT Takut Dikeberi

Sebagian dari pesan email yang dikirim pelaku ke email korban. Sumber: Twitter Teguh Apriyanto

Dalam email itu, pelaku mengirimkan sejumlah SMS yang diantaranya berisi kode password sekali pakai (one time password) dari e-commerce, dompet digital, dan perbankan.

“Karena pelaku dengan mudahnya mengakse isi sms korban, dia kemudian membajak akun Gojek korban dan melakukan orderan fiktif. Selain ituj juga mengajukan pinjaman onlikne. Ini bisa terjadi karena pelaku dengan mudah mengakses OTP yang dikirimkan ke SMS,” tulis Teguh.

Teguh kemudian meminta Telkomsel menjelaskan kepada publik bagaimana mungkin seseorang yang bukan karyawan bisa mengakses tool internal dan data sensitif korban.

Baca Juga:  Diduga Bermasalah, Polisi Usut Proses Seleksi Calon Komisioner KPUD NTT

“Jika ini bisa dilakukan oleh siapa pun, maka setiap orang rentan untuk dibajak semua akun miliknya,” tulis Teguh.

Setelah kisah itu viral, Zul Amri lewat akun Facebook-nya mengatakan hal itu dilakukan atas permintaan Daryl sendiri karena menggunakan jasanya yang disebutnya “jasa retas diri sendiri.”

Jasa itu, menurut Zul Amri, untuk mengetahui apakah data seseorang aman dari kebocoran data.

Namun, saat dikonfirmasi Cyberthreat.id, Darryl membantah keterangan Zul Amri. Darryl bilang, dirinya sama sekali tidak mengenal dan tidak pernah menggunakan “jasa retas diri sendiri” seperti yang dikatakan Zul Amri.

“Itu bohong mas. Saya tidak pernah mengenalnya, tidak pernah meminta dan tidak pernah mengisi formulir apa pun. Tiba-tiba saja dia kirim blackmail ke saya yang membeberkan isi SMS itu,” kata Darryl R Norbert.