Situs palsu meminta korban memasukkan nomor ponsel dengan dalih pendaftaran pinjaman. Padahal nomor ponsel adalah identitas akun dompet digital.
Setelah itu, korban diminta memasukkan PIN atau security code 6 digit yang dikenal sebagai kunci brankas dompet digital.
4. Perampokan lewat OTP
Sebagai langkah pamungkas, situs meminta kode (one-time password/OTP) yang dikirimkan ke ponsel korban melalui SMS atau WhatsApp.
Begitu OTP diserahkan, pelaku memegang kendali penuh atas akun. Saldo pun dikuras sampai habis, dan korban baru sadar telah ditipu ketika sudah terlambat.
Alfons pun mengingatkan bahwa kombinasi nomor ponsel, PIN, dan OTP merupakan tiga kunci yang membuka akses penuh ke dompet digital siapa pun. Penipu pun tidak perlu meretas sistem OVO atau DANA sama sekali.
“Mereka cukup meminta baik-baik, dan korban yang menyerahkannya secara sukarela. Inilah rekayasa sosial (social engineering) dalam bentuknya yang paling murni yang diretas bukan sistemnya, melainkan manusianya,” tutur Alfons. (bdm)