Google Dipakai Penipu Sebar Call Center Palsu, Waspada Modusnya

Uzone.id – Sebuah modus social engineering baru muncul kembali dengan memanfaatkan celah informasi call center yang muncul di mesin pencarian Google Search. 

Ketua Komtap Cyber Security Awareness Aptiknas, Alfons Tanujaya baru-baru ini mengingatkan kembali tentang maraknya aksi penipuan bermodus rekayasa sosial (social engineering/soceng) dengan menyamar sebagai call center palsu. 

Modus ini menargetkan korban yang sedang panik atau butuh bantuan, seperti saat penerbangan delay atau ingin melakukan refund tiket di platform digital dimana biasanya orang-orang mencari informasi singkat dengan menulis ‘Nomor CS Airline’ atau WhatsApp CS maskapai penerbangan.

“Penipu memanfaatkan berbagai platform untuk memunculkan nomor yang memalsukan sebagai call center berbagai layanan,” kata Alfons dalam keterangannya.

Biasanya, penipu memasang nomor WhatsApp palsu yang dibuat sedemikian rupa untuk menyerupai pihak resmi, lalu mengarahkan korban ke situs phishing yang sangat meyakinkan.

Agar lebih totalitas dalam menipu calon korban, situs ini bahkan menggunakan domain .co.id yang seharusnya menjadi domain yang kredibel dan diawasi ketat.

"Domain .co.id digunakan karena dipercaya publik. Tapi nyatanya bisa dibeli dan dipakai untuk menipu. Ini harus jadi evaluasi serius bagi PANDI dan Komdigi," tegasnya.

Alfons mengungkap ada satu domain penipuan yang didaftarkan lewat registrar resmi pada 6 Juli 2025 lalu. Situs ini memuat semua airline dengan berbagai layanan (palsu) dari refund dana, reschedule, tambah bagasi, update nama, booking seat, cek in online dan bantuan lainnya.

Setelah memasukkan kredensial ke situs palsu ini, korban kemudian akan dihubungi melalui nomor ponsel oleh penipu yang akan mengaku CS dari airline yang bersangkutan guna melakukan transaksi. Lalu mereka akan dijanjikan untuk mendapatkan refund.

Selanjutnya, calon korban diarahkan ke situs phising yang sudah dipersiapkan untuk hampir semua bank besar di Indonesia.

Yang mengejutkan, bukan hanya mobile banking yang jadi target, tetapi juga layanan Internet Banking yang notabene lebih aman karena menggunakan token OTP dua lapis (login dan challenge). Celah ini kemudian ditemukan pada layanan transfer ke Virtual Account (VA).

"Transfer ke VA hanya butuh OTP login, tidak perlu OTP challenge seperti transfer biasa. Ini celah yang dieksploitasi dengan riang gembira oleh penipu," jelas Alfons.

Kelemahan ini kemudian dimanfaatkan dengan membuat situs phising yang menyerupai tampilan login bank. Begitu korban memasukkan kredensial dan OTP login, penipu bisa langsung transfer ke VA tanpa perlu konfirmasi lebih lanjut.

Oleh karena itu, masyarakat harus ekstra hati-hati jika ingin menghubungi Customer Service layanan penerbangan, Bank atau layanan apapun. Pastikan lebih dulu nomor CS yang dihubungi adalah asli. Biasanya, perusahaan akan mencantumkan nomor mereka di halaman resmi, media sosial, atau email yang dikirim ketika bertransaksi.