SEKILAS FAKTA

• Tular di media sosial dakwaan bahawa scammer menggunakan taktik baharu bagi menipu mangsa dengan cara menghantar kad jemputan perkahwinan digital.
• Kad kahwin digital itu dihantar menerusi aplikasi WhatsApp dan mangsa diminta muat turun fail Android Package Kit (APK) yang disertakan bersama kad undangan.
• Beberapa individu sudah menjadi mangsa dan kehilangan wang di dalam bank setelah mereka memuat turun fail berkenaan.
• Polis Diraja Malaysia (PDRM) sahkan kes penipuan menerusi kad kahwin digital di WhatsApp sememangnya wujud.
• Jenayah ini dikategorikan sebagai penipuan fail APK iaitu scammer memancing, menggodam data dan maklumat bank mangsa menerusi fail APK tersebut tanpa disedari mangsa.

Sumber: Facebook

LATAR BELAKANG

Sebut sahaja majlis perkahwinan, pasti ramai yang teruja, bukan sahaja bakal mempelai tetapi juga mereka yang rapat dengan mempelai.

Selain meraikan pasangan pengantin, majlis perkahwinan memberi peluang untuk bertemu keluarga, saudara mara dan rakan.

Maka tidak hairanlah ramai yang ternanti-nanti undangan perkahwinan tatkala mendengar saudara atau rakan terdekat bakal ke jinjang pelamin.

Bahkan, bagi sesetengah individu, menerima undangan perkahwinan disifatkan satu penghargaan dan ingatan daripada pengantin terhadap tetamu.

Lazimnya undangan diterima melalui kad yang diberikan secara bersemuka atau melalui pos.

Namun, dunia yang semakin moden menyaksikan undangan perkahwinan dihantar menerusi kad digital sama ada melalui WhatsApp, email dan media sosial.

MENGENAI DAKWAAN

Sumber: WhatsApp

MyCheck menerima satu mesej mengenai dakwaan terdapat taktik terbaharu scammer mengambil wang mangsa dengan cara menghantar kad jemputan kahwin digital menerusi WhatsApp.

Menerusi mesej yang disertakan dengan tangkap layar itu, dikatakan mangsa menerima kad kahwin digital dalam bentuk fail APK daripada nombor yang tidak dikenali.

Mangsa diminta klik dan muat turun fail APK dengan tajuk fail ‘Jemputan Majlis Perkahwinan-2.apk’. yang disertakan bagi mendapatkan kad kahwin digital.

Apabila mangsa membalas mesej tersebut dengan bertanyakan siapakah individu yang menghantar undangan itu mangsa sekali lagi diminta memuat turun fail kad kahwin digital terbabit untuk mengetahui individu yang menghantar mesej berkenaan.

Benarkah taktik penipuan seperti itu boleh berlaku? Jom ikut MyCheck semak kesahihannya.

APA YANG KAMI TEMUI

Apa Itu Fail APK

Disebabkan hantaran tersebut ada menyatakan mengenai fail APK yang digunakan scammer, MyCheck terangkan kepada anda apakah yang dimaksudkan dengan fail tersebut.

Fail APK adalah sebuah format fail yang digunakan bagi memuat turun perisian (software) seperti game atau aplikasi yang digunakan pada sistem Android.

Kebiasaannya apabila kita ingin memuat turun sebuah aplikasi seperti di Google Play Store kita akan memuat turun aplikasi tersebut dalam bentuk fail APK yang mana fail ini sudah mengandungi kod, data dan elemen yang digunakan dalam aplikasi tersebut.

Dalam bahasa mudahnya fail APK ini adalah ‘installation file’ bagi memuat turun sesuatu aplikasi pada peranti android.

Sebagai contoh lain jika di Windows, untuk memuat turun sesuatu perisian, fail tersebut akan dimuat turun dalam bentuk fail .exe.

Menurut Majlis Keselamatan Negara, aplikasi scam yang melibatkan fail.apk adalah aplikasi palsu yang direka bagi mencuri data-data pengguna seperti nama pengguna, kata laluan dan SMS TAC.

Lazimnya, setelah memuat turun fail APK, aplikasi tersebut akan memberi notifikasi kepada pengguna untuk membuka sistem pesanan ringkas (SMS) dan sekiranya mangsa klik ‘YA’ scammer boleh mencuri nombor TAC atau OTP  mangsa untuk melakukan transaksi daripada akaun bank mangsa.

Carian Di Media Sosial

MyCheck mula mengumpul maklumat dengan membuat carian rawak di media sosial seperti di Facebook dengan menggunakan beberapa kata kunci seperti ‘kad kahwin scam’.

Sumber: Facebook

Hasilnya kami menemukan satu hantaran yang dimuat naik pada 18 Jun 2023.

Menurut hantaran berserta gambar yang dikongsi seorang pengguna Facebook menggunakan nama akaun Fyda Zainal, orang ramai diingatkan untuk tidak klik pada kad jemputan yang diterima sekiranya tidak tertera nama penghantar atau bukan daripada kenalan di WhatsApp.

Beliau mendedahkan bahawa rakan beliau baharu sahaja menjadi mangsa dan telah kehilangan wang dalam bank.

Hantaran beliau mendapat 672 komen, 244 tanda suka dan dikongsi lebih 5,600 pengguna (setakat laporan ini ditulis, 22 Jun 2023).

Selain itu, kami turut menjumpai hantaran seorang lagi pengguna dengan nama akaun Syarifah Nfrh II yang berkongsi pengalamannya menjadi mangsa ‘scam’ kad kahwin digital menerusi WhatsApp baru-baru ini.

Sumber: Facebook

Berdasarkan hantaran yang dimuat naik pengguna itu, scammer meminta beliau muat turun kad kahwin digital tersebut, namun setelah beliau klik fail APK berkenaan didapati kad digital tersebut bukan kad jemputan kahwin sebenar namun untuk mempromosi kad digital.

Bagaimanapun, scammer itu sekali lagi meminta beliau muat turun fail APK tersebut sekali gus meminta tangkap layar sekiranya sudah muat turun fail berkenaan.

Pada masa yang sama, beliau memaklumkan telah menerima mesej kod OTP berulang kali.

Ini bermakna terdapat cubaan scammer memasuki akaun mangsa dengan menggunakan kod OTP bagi melakukan transaksi.

Kami beralih pula ke Twitter bagi mendapatkan input lain mengenai isu ini.

Ketika kami membuat carian rawak di Twitter kami menjumpai ciapan bebenang seorang pengguna dengan nama akaun @DragonForceIO yang menceritakan mengenai modus operandi scammer.

Kami dapati modus operandi yang dimaksudkan @DragonForceIO adalah sama dengan dakwaan yang kami terima.

Sumber: Twitter

Menurut @DragonForceIO, taktik scammer ini menggunakan teknik penyebaran Malware yang ditanam dalam aplikasi (.apk) yang dinamakan sebagai Jemputan Majlis Perkahwinan.

Kesan daripada muat turun fail APK tersebut, scammer boleh mengakses penuh telefon mangsa tanpa disedari.

Berdasarkan pemantauan kami di media sosial, ada pelbagai taktik yang digunakan scammer bagi melakukan penipuan seperti kes kad kahwin digital.

Namun, bagaimana ia berlaku?

Modus Operandi Scammer

Bagi ‘scam’ yang melibatkan fail APK, terdapat dua modus operandi dilakukan scammer bagi menipu mangsa iaitu melalui Perisian Hasad (Malware) atau mangsa mengisi maklumat seperti akaun bank setelah memuat turun fail APK.

Menurut Cyber Crime Alert Royal Malaysia Police, Malware (Malicious Software) dicipta untuk memasuki atau akses ke sistem peranti, komputer atau server bagi tujuan mencuri, merosakkan atau mengintip data pada komputer tersebut.

Dalam bahasa mudahnya, scammer boleh memasang Malware pada fail APK tersebut (fail yang sudah dimuat turun mangsa) yang boleh menyebabkan peranti itu dijangkiti perisian hasad yang mana peranti mangsa akan digodam sehingga berlaku kebocoran data seperti maklumat peribadi atau maklumat bank mangsa.

Modus operandi yang kedua pula dilakukan apabila mangsa memuat turun fail APK tersebut dan kemudian fail itu akan dibawa ke satu laman sesawang palsu yang mana mangsa perlu mengisi maklumat perbankan melalui aplikasi itu.

Sumber: Facebook Cyber Crime Alert Royal Malaysia Police

Sebagai contoh scammer akan mendapat maklumat bank (kata laluan bank) mangsa yang kemudian membolehkan mereka (scammer) mengakses masuk akaun bank mangsa.

Seperti yang dinyatakan menerusi artikel ‘Jangan download fail APK elak jadi mangsa scammer’, perisian hasad dicipta bagi pelbagai tujuan antaranya bagi membuka laluan ‘back door’ peranti dan Malware untuk membuka akses kenalan (contact) serta fail galeri.

Selain itu, Malware ini juga dicipta untuk menjejak data kemasukan pengguna atau ‘user key in data’ seperti kata laluan e-mel, perbankan dan sebagainya.

Adakah Fail APK Ini Selamat?

Setiap kali pengguna memuat turun sesuatu aplikasi atau ‘game’ di peranti android, sudah semestinya ia perlu melalui proses muat turun fail APK ini, namun adakah ia selamat dan sah untuk digunakan?

Bagaimana pula selama ini kita sering muat turun fail APK tanpa mengetahui identiti atau keselamatan sesuatu fail tersebut?

Jangan panik, jom MyCheck terangkan kepada anda.

Menurut Ini Sains Beb, sekiranya fail APK tersebut diperoleh daripada sumber rasmi dan boleh dipercayai seperti Google Play Store atau dari peranti tersebut, secara dasarnya ia adalah fail yang selamat.

Namun, risiko ancaman boleh meningkat apabila ia diperoleh dari laman sesawang pihak ketiga yang tidak dikenali atau kurang dipercayai atau dikongsi oleh orang yang tidak dikenali.

Ini kerana fail APK tersebut mungkin mengandungi Malware atau perisian yang boleh mengancam keselamatan peranti pengguna sebagai contoh ia boleh menggodam maklumat sulit data pengguna seperti maklumat bank, kata laluan dan mencuri data seperti gambar dan video.

Kebiasaannya agak sukar atau jarang sekali untuk kita sebagai pengguna memuat turun fail APK daripada sumber ketiga kerana kebanyakan aplikasi (apps) mudah didapati di dalam Google Play Store yang sudah diiktiraf.

Namun, disebabkan peralihan dunia teknologi yang semakin maju, scammer juga menggunakan pelbagai taktik untuk memancing mangsa termasuk memperdaya pengguna memuat turun fail APK yang direka khas untuk melakukan jenayah penipuan (fail APK pihak ketiga).

Strategi Kurangkan Risiko Digodam

Seperti yang dinyatakan Ini Sains Beb, antara kaedah untuk mengurangkan risiko daripada di ‘scam’ atau digodam dalam peranti android adalah pengguna perlu menetapkan tetapan (setting) bagi menolak APK yang tidak diiktiraf.

Sumber: Facebook Ini Sains Beb

Caranya adalah seperti berikut.

Pergi ke tetapan (setting) klik Ínstall Unknown Apps seterusnya tetapkan ‘setting’ bagi semua aplikasi (terutamanya WhatsApp) kepada ‘not allowed’.

Tindakan ini akan menghalang mana-mana APK yang dihantar kepada peranti kita daripada dimuat turun secara sengaja atau tidak.

Selain itu, kami turut menemukan artikel dari Buletin TV3 yang menjelaskan bahawa terdapat dua cara teknikal bagi mengatasi ancaman muat turun fail APK yang tidak sah iaitu :

1. Imbasan perisian hasad secara manual dengan mengikuti langkah berikut :

1. Buka Perisian Gedung Google Play
2. Klik ikon profil di bahagian atas sebelah kanan skrin
3. Klik Play Protect
4. Klik Imbas (scan)

Google Play akan mengimbas peranti untuk sebarang perisian berniat jahat (Malware). Sekiranya terdapat perisian yang ditemui, Google Play akan mengalihkan keluar daripada telefon bimbit anda.

2. Imbasan perisian hasad secara automatik dengan mengikuti langkah berikut :

1. Buka Perisian Gedung Google Play
2. Klik ikon profil di bahagian atas sebelah kanan skrin.
3. Klik Play Protect
4. Klik Tetapan
5. Klik Imbas perisian dengan Play Protect. (Scan apps with Play Protect)

PDRM Sahkan Kes Penipuan Jemputan Kad Kahwin Digital Wujud

Pengarah Jabatan Siasatan Jenayah Komersial (JSJK) Datuk Seri Ramli Mohamed Yoosuf mengesahkan bahawa terdapat kes scam menerusi jemputan kad kahwin seperti dakwaan tular.

“Satu daripada kaedahnya adalah dengan menghubungi semua kenalan seseorang atas alasan undangan ke majlis perkahwinan,” menurut beliau.

Beliau turut menasihatkan orang ramai untuk tidak klik sembarangan fail undangan perkahwinan yang diterima sebelum mengesahkan dengan individu yang dikatakan menghantar jemputan itu. 

Kami juga turut menemui penerangan video dikongsi daripada TikTok  ASP Rahmat Fitri Abdullah yang menjelaskan bahawa modus operandi melibatkan penggunaan APK sememangnya digunakan untuk mengodam telefon bimbit mangsa dan mencuri segala maklumat yang ada termasuk duit di dalam akaun bank. 

Beliau memaklumkan kepada orang ramai sekiranya menerima atau melihat pautan dihantar itu tertulis APK maka jangan klik atau respon lebih-lebih lagi apabila pautan itu datang dari nombor telefon yang tidak kenali. 

ASP Rahmat adalah  anggota polis dari Jabatan Siasatan Jenayah Komersial (JSJK) yang aktif di media sosial seperti TikTok di mana beliau sering memuat naik kandungan berkenaan keselamatan siber seperti scam.

KESIMPULAN

Berdasarkan semakan MyCheck, kami mengklasifikasikan dakwaan ini sebagai benar.

Kes penipuan scammer menghantar kad kahwin digital menerusi WhatsApp memang wujud dan ia adalah taktik baharu bagi memperdaya mangsa.

Penipuan melibatkan fail APK sebenarnya sudah lama menjadi modus operandi scammer.

Namun, taktiknya agak berbeza dengan kes yang berlaku sebelum ini.

Pesanan MyCheck, sentiasa teliti dan waspada terhadap mana-mana mesej dan fail yang diterima.

Jangan mudah teruja dan sewenang-wenangnya klik dan muat turun fail daripada pihak ketiga sekiranya ia bukan daripada kenalan anda.

Periksa dan selidik terlebih dahulu informasi yang diterima serta sentiasa cakna dengan trend dan taktik terbaharu scammer. Jangan sampai berputih mata menyesal kemudian tidak berguna.

-- MYCHECK.MY --

RUJUKAN

1. Apa itu File APK? – ITPOIN

2. AMBIL TAHU: APLIKASI SCAM ATAU FAIL.APK - Laman Web MKN

3. Fyda Zainal - Facebook

4. Syarifah Nfrh II - Facebook

5. @DragonForceIO - Twitter

6. Cyber Crime Alert Royal Malaysia Police - Facebook

7. Jangan download fail APK -Harian Metro

8. Ini Sains Beb

9. Kad kahwin digital, taktik baru ‘scammer’ kebas duit warga emas | BULETIN TV3

10. Polis Diraja Malaysia (PDRM) - Facebook 

11. JSJK sahkan taktik scammer hantar jemputan kahwin wujud - Kosmo Digital

12. #ceramah #DutaAntiScam #polis #police #PDRM #Scam #Scammer #ScamViral ... | TikTok