Tetapi, pernahkah terdengar tentang smishing?
Smishing, atau SMS phishing, adalah kaedah phishing menggunakan SMS.
Phishing biasanya dilakukan menerusi e-mel atau pautan palsu yang dihantar ke aplikasi pemesejan popular seperti WhatsApp atau Telegram. Mangsa akan menerima pautan ke laman web palsu yang kemudian meminta maklumat peribadi mangsa.
Namun, ramai yang sudah maklum risiko penipuan melalui kaedah sedemikian.
Maka, pelaku jahat mula mengubah modus operandi mereka untuk menggunakan wadah yang lebih dipercayai pengguna seperti SMS.
BERMULA DENGAN TELCO
Pautan yang dihantar dalam percubaan smishing lazimnya adalah untuk mendapatkan pengesahan identiti mangsa.
Apabila mangsa mengklik pautan tersebut, penjenayah dapat mencuri maklumat seperti nombor akaun bank, butiran kad kredit, kata laluan dan lain-lain.
Pada awalnya, percubaan smishing kerap dilakukan dengan menyamar sebagai syarikat telekomunikasi (telco) untuk mengumpan pengguna.
Penipuan itu dikesan mula berleluasa pada 2024 dengan scammer menyamar sebagai pihak telco dan menghantar SMS beserta pautan ke laman web yang menawarkan pelbagai barangan elektronik murah.
Pengarah Jabatan Siasatan Jenayah Komersial Bukit Aman Datuk Seri Ramli Mohamed Yoosuf dalam satu laporan berita pada 14 Mac 2024, mengatakan mangsa yang tertarik dengan tawaran harga murah itu seterusnya akan membuat pembayaran melalui payment gateway.
"Mangsa yang tidak memeriksa jumlah bayaran dengan betul dan meluluskan bayaran akan kehilangan wang serta-merta dan barang dipesan juga tidak diterima," katanya.
KINI AKTIF MENERUSI PERBANKAN
Selepas telco, scammer menggunakan nama syarikat perbankan pula untuk memancing mangsa.
Baru-baru ini, orang ramai menerima SMS kononnya daripada CIMB Bank (CIMB) yang meminta pelanggan menebus mata ganjaran sebelum ia tamat tempoh. SMS tersebut adalah seperti berikut:
Orang ramai yang ingin membuat penebusan mata ganjaran itu diminta melakukannya menerusi satu pautan yang dihantar bersama SMS tersebut.
"CIMB Bank reminds you that your 5,340 reward points are expiring today. Please visit the customer center to redeem a variety of exclusive gifts. To redeem now, please visit: https://cimbpoints.xxxx/xxxx."
("CIMB Bank ingin mengingatkan anda bahawa 5,340 mata ganjaran anda akan luput hari ini. Sila layari pusat pelanggan untuk menebus pelbagai hadiah eksklusif. Untuk menebus sekarang, sila layari: https://cimbpoints.xxxx/xxxx.")
Bagaimanapun, semakan MyCheck Malaysia dengan CIMB mendapati SMS itu merupakan satu percubaan smishing. Pihak CIMB mengesahkan ia bukan daripada mereka.
"Sila maklum bahawa SMS tersebut adalah BUKAN dari kami. Kami amat menghargai maklum balas yang anda beri berkenaan dengan isu tersebut. Malangnya, terdapat banyak sindiket di sekeliling yang cuba menipu para pelanggan dengan menghantar mesej sedemikian," demikian jawapan CIMB apabila dihubungi pihak MyCheck.
KAEDAH LAMA, NAMA BAHARU
Menurut Presiden Persatuan Pengguna Siber Malaysia (MCCA) Siraj Jalil, smishing bukanlah kaedah penipuan baharu. Sebaliknya, ia telah digunakan sejak beberapa tahun yang lalu.
"Smishing bertujuan melakukan penipuan melalui penyamaran bahawa sesuatu komunikasi yang dibentuk itu adalah daripada entiti sebenar.
"Ia bukanlah benda baharu, namanya sahaja yang telah diperbaharui iaitu daripada SMS dan phishing kepada smishing. Namun kaedahnya tetap sama (untuk memperdaya), tetapi kini dengan cara lebih advanced," katanya kepada Bernama.
Siraj berkata penipuan melalui SMS ini bersifat lebih santai dan mudah 'memancing' mangsa berbanding menerusi e-mel, panggilan suara atau video.
Jelasnya, ini kerana penjenayah siber akan memanipulasi pengguna dengan mengambil kesempatan ke atas kecenderungan mereka.
"Smishing bukan sekadar berkait dengan teknologi tetapi tabiat manusia (yang membolehkan scammer memperdaya). Penjenayah akan mencari apa common ground (titik persamaan) setiap manusia.
"Sebagai contoh, jika ada panggilan telefon, kita akan angkat, namun jika kita ada pengetahuan mengenai penipuan, kita akan berhati-hati dan berjaga-jaga. Bahkan, yang lebih berpengalaman mungkin akan menapis panggilan itu.
"Namun berbeza dengan SMS. Tindakan refleks sesiapa sahaja apabila menerima SMS ialah untuk terus membuka dan mengklik SMS tersebut termasuk pautan di dalamnya -- itulah yang menjadikan kaedah smishing pilihan utama," katanya.
Jelasnya lagi, scammer kemudian akan bermain dengan emosi mangsa. Ini termasuk menghantar SMS yang memaklumkan mangsa memenangi hadiah untuk menimbulkan keterujaan, SMS meminta kemas kini akaun bank atau siasatan sebarang salah laku kes yang menimbulkan rasa bimbang atau takut.
"Biasanya (scammer) akan memanipulasi sesuatu insiden atau konteks (semasa). Contohnya, kerajaan mengumumkan pemberian bantuan tertentu, maka banyaklah smishing yang kononnya daripada pihak kerajaan beserta pautan untuk mendapatkan sumbangan tersebut.
"Yang paling mudah diumpan adalah mereka yang tamak. Apabila scammer menghantar SMS kononnya pengguna memenangi wang tunai, mereka yang tamak akan terjerat," katanya.
RAMAI BERISIKO TINGGI TERTIPU
Siraj berkata penipuan menerusi SMS ini sebenarnya sangat berisiko tinggi kerana semua pengguna telefon pintar akan terdedah.
Tambahan, telefon pintar kini bukan lagi kehendak tetapi sudah menjadi keperluan untuk orang ramai, seiring perkembangan teknologi.
Berdasarkan laporan Survey Penggunaan dan Capaian ICT oleh Individu dan Isi Rumah 2023 yang dilaksanakan Jabatan Perangkaan Malaysia, sebanyak 99.3 peratus isi rumah di Malaysia mempunyai akses kepada telefon bimbit.
Dari segi penggunaan telefon, 97.6 peratus memilih telefon pintar manakala 16.3 peratus daripada isi rumah masih mempunyai capaian kepada telefon biasa.
Statistik itu, secara tidak langsung menunjukkan begitu ramainya penduduk di Malaysia yang terdedah kepada risiko smishing.
Menyedari smishing semakin berleluasa, Suruhanjaya Komunikasi dan Multimedia (MCMC) pada 1 April 2023 telah mengeluarkan arahan kepada semua syarikat telco untuk melarang sebarang kandungan pautan pelokasi sumber seragam (URL) menerusi SMS.
Arahan tersebut yang berkuat kuasa secara berperingkat dikeluarkan bagi mengelakkan pengguna menjadi mangsa scam.
Pada 2 Sept 2024, MCMC menguatkuasakan sepenuhnya larangan menghantar pautan itu dan beberapa larangan lain seperti permintaan maklumat peribadi dan juga nombor telefon untuk dihubungi.
Beberapa bank, antaranya CIMB dan Bank Rakyat, juga mengeluarkan peringatan kepada orang ramai bahawa bank tidak akan menghantar pautan menerusi SMS.
Orang ramai yang masih menerima SMS dengan kandungan terlarang boleh mengemukakan aduan kepada MCMC melalui saluran rasmi.
CEGAH SMISHING
Meskipun MCMC menguatkuasakan larangan seumpama itu, orang ramai masih berisiko tinggi untuk terjerat dengan penipuan smishing.
Siraj berkata usaha kerajaan adalah baik, namun keberanian penjenayah melakukan scam adalah kerana mereka berselindung di sebalik identiti palsu.
"Penjenayah siber ini tak boleh cara lain, mereka akan cuba cara lain pula. Scam sudah menjadi satu kerjaya untuk kelompok penjenayah ini. Mereka tidak akan berhenti," katanya.
Tegas beliau, orang ramai sendiri perlu sentiasa cakna dengan keselamatan siber dan tidak boleh hanya bergantung kepada penguatkuasaan daripada pihak berwajib semata-mata.
"Orang ramai boleh mengelakkan diri daripada terkena scam dengan sentiasa mengambil tahu tentang keselamatan siber," katanya.
-- BERNAMA
