Home » Cyber Crime » Cyber crime: Maling saldo Tokopedia Bukalapak

Cyber crime maling di Tokopedia

Cyber crime: Maling saldo Tokopedia Bukalapak

KPR Take Over banner 800px by 173px

3 hari lalu tim Sikatabis.com belanja HP smartphone di Tokopedia dan hampir tertipu modus baru pencurian uang oleh maling online. Panduan anti-maling ini kami share dengan 2 misi:

1. Masyarakat tidak terjebak skema penipuan serupa

2. Masyarakat tau cara lapor supaya para penjahat bisa cepat tertangkap polisi (divisi cyber crime POLRI) sebelum pencuri matikan nomor HP

Kenapa belanja di toko online?

Di tahun 2017 ini, makin banyak kemudahan dari opsi belanja barang online via situs e-commerce seperti Tokopedia, Bukalapak, Lazada, dll. :

1. Harga lebih murah (karena penjual hemat biaya sewa)

2. Tidak perlu pergi jauh, sehingga kita hemat ongkos transport dan parkir

3. Pilihan barang (terkadang) lebih bervariasi dibandingkan di toko offline (yang ukuran tokonya terbatas sehingga tidak semua produk muat untuk ditampilkan)

Kami browsing mayoritas toko online: Blibli, Lazada, Tokopedia, Bukalapak, Elevenia, JD, OLX, Kaskus, Bhinneka (riset kami memang tidak pernah tanggung-tanggung, seperti pada artikel kami lainnya), dan akhirnya memutuskan membeli HP Xiaomi Redmi 4x kapasitas 32GB di Tokopedia karena harga & promonya paling murah.

Harga HP Redmi 4x di pasaran bervariasi, dan kami bagi menjadi 3 kategori :

a. Harga official di Mi Store / sebelum Lazada promo = Rp 1.999.000

Versi ini didistribusikan oleh Erafone / TAM / Lazada, dan mendapat garansi resmi dari Xiaomi Indonesia sehingga bisa dibawa ke service center resmi Xiaomi.

b. Harga distributor non-official ~ Rp 1.585.000

Versi ini juga asli, tapi garansi hanya bisa di service center distributor (beda kualitas servis). Tidak bisa ke servis center resmi Xiaomi Indonesia.

c. Harga “Alhamdulillah ini mujizatt !! ” = Rp 1.410.000

Harga yang sangat murah ini membuat kami tertarik, dan memutuskan untuk klik tombol BELI.

Diselamatkan oleh Rekber (Rekening Bersama)

Mendapat harga murah adalah rejeki, tapi berkat terbiasa kontrol resiko (paranoid) di layanan finansial KPR kami, sebelum bayar, kami memutuskan untuk cek dulu SOP alur dana di Tokopedia.

Proses rekening bersama di Tokopedia

Tokopedia, Bukalapak, dan beberapa toko online lainnya menggunakan sistem escrow atau Rekening Bersama (Rekber) yang artinya: pembeli membayar bukan ke penjual, tetapi ke pihak ke-3 yang netral. Urutan proses :

1. Pembeli membayar ke Rekber seperti platform Tokopedia (bukan ke penjual)

2. Penjual mengirim barang ke pembeli

3. Konfirmasi penerimaan barang

4. Tokopedia meneruskan uang pembayaran ke penjual

Perlindungan proses Rekber memberanikan kami untuk ambil resiko demi hemat Rp 175 ribu. Angka ini mungkin kecil bagi sebagian orang, tapi tim Sikatabis.com memiliki filosofi “Bantu orang hemat jangan stop di 99%. Kejar sampai 100%.”

Celah di tahap #3: Konfirmasi penerimaan

Dengan sistem Rekber, penjual hanya akan menerima dana/uang setelah ada konfirmasi penerimaan ke platform Tokopedia. Proses ini sangat membantu keamanan, tetapi tidak sempurna.

Ada 2 cara konfirmasi di Tokopedia (proses di e-commerce lain mungkin beda, dan belum sempat kami bedah) :

a. Konfirmasi dari pembeli di platform Tokopedia

b. Konfirmasi otomatis = konfirmasi dari kurir + anda tidak complain s.d. 3 hari sejak tanggal konfirmasi oleh kurir.

Esensi skenario ini = memberi pembeli waktu 3 hari untuk cek apakah produk yang sampai sesuai dengan yang anda beli. Sehingga, jika anda order iPhone tapi dikirimi sabun Lux, anda sempat complain lalu uang dikembalikan.

Ini juga alasan pentingnya setelah penerimaan, segera buka bungkus paket dan cek barang. Jangan lewat 3 hari.

SOP konfirmasi inilah yang ingin dilanggar oleh penipu online 3 hari lalu. Mereka ingin melakukan #a dengan cara “meminta” detil login akun Tokopedia kita (termasuk password). Caranya?

Maling pakai social engineering

Chatting dengan maling Tokopedia

Seaman-amannya sistem, jika pemakainya teledor, maka akan kebobolan juga. Dalam kasus beli HP kami, pencuri mencoba mendapatkan password akun Tokopedia kami menggunakan metode social engineeringphishing.

1. Penjual membuat situs yang mirip Tokopedia dan memberi alasan/iming-iming supaya calon korban masuk ke situs tersebut lalu login.

Dalam kasus ini, setelah pembayaran, penjual kontak pembeli via Whatsapp dan menawarkan extra cashback pakai kode CSBK10P. Bagi yang awam, ini mungkin menggiurkan. Tapi kami langsung curiga karena cashback biasanya hanya bisa diajukan saat transaksi, bukan setelah transaksi.

2. Jika korban terkecoh dan menulis user ID + password di situs palsu tersebut (dalam kasus kami = TokopedLA.GA, bukan Pedia, bukan .com), maka penjual (penipu) akan menggunakan info tersebut untuk login ke akun Tokopedia korban (pembeli) dan melakukan konfirmasi penerimaan barang.

3. Karena “pembeli” sudah konfirmasi bahwa barang sudah diterima, maka Tokopedia transfer uang pembayaran ke penjual, lalu penjual “kabur”.

Sebelum Login: Pastikan website = resmi

Perbandingan TokopedLA (palsu) dengan Tokopedia (asli)

Untungnya, kami selalu jeli sebelum memasukkan password / PIN di layanan manapun, dan cepat menyadari tanda-tanda “situs palsu”. Perhatikan hal-hal ini sebelum anda login di situs apapun:

1. Nama website beda (TokopedLA)

2. Ekstensi website beda (Tokopedia memakai .com, bukan .ga)

3. Pastikan nama website diakhiri dengan nama yang anda cari.

Jika nama website = Tokopedia.CapeDeh.com = bukan Tokopedia = CapeDeh.com

4. Tidak ada logo gembok di kiri nama website.

Ini sebenarnya bukan jaminan bahwa website = aman. Website penipu juga bisa memakai sistem HTTPS yang menghasilkan logo gembok. Sebaliknya, website baik-baik belum tentu punya logo gembok.

Tapi proses mendapatkan logo gembok lebih repot, sehingga mengurangi kemungkinan bahwa itu bukan website asal-asalan.

Google blok TokopedLA

Ini bukanlah akhir dari website seperti TokopedLA. Terakhir kami cek, Google dengan gesit sudah menyadari potensi scam di situs TokopedLA dan memberi warning ke masyarakat. Tapi, website penipu seperti ini ada banyak dan akan terus bermunculan. Mati 1 tumbuh 1000. Untuk perlindungan, anda perlu selalu cermat sebelum bertransaksi online.

Lapor ke Cyber Crime POLRI

Walau yakin itu penipu, kami tetap acting lugu supaya sang penipu online lengah. Kami berharap sempat lapor ke polisi sebelum sang penipu menghilang (matikan nomor HP). Sayangnya maling ini cukup gesit dan disconnect akun Whatsapp nya tidak lama setelah kami tanya tentang kode tracking JNE. Mungkin pertanyaan ini yang membuat dia was-was, dan seharusnya tidak kami tanya.

Jika anda dihadapkan jebakan yang sama, kami harap anda juga acting lugu (jangan dimarahi atau dituduh) dan segera melaporkan ke polisi supaya maling tidak kabur dan sempat diciduk. Berikut kontak POLRI divisi cyber crime:

Telp / Whatsapp : +6287873264677

E-mail: cyber.metrojaya@eksus.polri.go.id

Terima kasih pada Komisaris Polisi Fian Yunus (Polda Metro Jaya divisi Cyber Crime) untuk bantuannya.

Anda bisa screenshot obrolan di WA dengan maling dan langsung kirim ke cyber crime POLRI via nomor Whatsapp / e-mail di atas. Kalau bisa dalam 5 menit setelah anda curiga bahwa itu penipu.

Saran untuk Tokopedia

Perbaikan SOP konfirmasi delivery:

Bagaimana jika konfirmasi hanya diperbolehkan melalui device “lama” (yang pernah dipakai akses akun sebelum order). Jika ada attempt untuk konfirmasi melalui device yang “baru”, pembeli harus melakukan verifikasi identitas lagi, yang bisa Tokopedia email / SMS (extra step).

Supaya sistem lebih kebal, proses ganti password saat saldo dalam akun > Rp 0 (atau skenario potensi kemalingan lainnya) juga mungkin perlu melalui proses serupa.

Ini hanya saran dan kami sadar kami tidak familiar dengan kompleksitas dan pertimbangan-pertimbangan yang harus dilalui Tokopedia sebelum memilih SOP saat ini. Semoga saran kami bermanfaat 🙂

 

Penulis:

Pak Kris: maling-magnet.

Dalam 30 hari terakhir, saya (hampir) jadi korban maling online 2x. Yang pertama = modus pencurian saldo Go-Pay.

KPR Take Over banner 800px by 173px

5 comments

  1. Muhammad Yunus says:

    Mohon petunjuk. Untuk penggunaan dengan aplikasinya tokopedia dll apakah ada resiko yang sama dan solusi terbaiknya apa. Trims

  2. Tomi Purba says:

    Mantab informasinya..
    Toped setau saya sudah ada fitur OTP (one time password) yg bisa diaktifkan oleh penggunanya saat login. Jadi setiap login akan diminta memasukkan kode yg dikirim ke nomor SMS penggunanya. Tapi fitur ini sepertinya belum banyak digunakan oleh setiap orang. Bisa diaktifkan melalui halaman setting profile

  3. Nata says:

    Nice info pak… Bedah juga sistem konfirmasi terima order yg di Bukalapak dong pak.. Belom lama ini, saudara kena jebakan betmen seller nakal di situ. Dia merasa belom konfirmasi terima barang tapi diakunnya dia sudah terkonfirmasi otomatis dan pembayaran cair ke seller…
    Thx pak…

    • Aili says:

      Sis setau ak buka lapak sama tokped sama deh ak kan seller di tokped sama bukalapak dan shopee sama aja say walau sistem keluarin udah di terima saat hari pertama kita teken komplain aja jadi uang ga cair kasusin aja tar pihak lapak atau tokped kan selidinkin kalo kita bener uang di balikin.soalnya ak sering dapet juga seller nakal niat nipu malah abis ak makin dan bikin jelek nama toko

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *