Waspada Smishing Baru: Modus Penipuan Tol Elektronik

Fenomena penipuan digital semakin canggih dengan munculnya modus baru yang dikenal sebagai smishing, yaitu serangan phishing melalui pesan singkat (SMS). Baru-baru ini, warga Amerika Serikat (AS) dilaporkan menerima pesan teks palsu yang mengatasnamakan operator jalan tol seperti E-ZPass, memperingatkan mereka tentang tunggakan biaya tol yang harus segera dibayar untuk menghindari denda.

Pakar keamanan siber mengungkap bahwa lonjakan serangan ini bertepatan dengan peluncuran fitur baru pada perangkat phishing komersial yang dijual di China. Teknologi ini memungkinkan pelaku kejahatan siber untuk meniru sistem pembayaran tol di berbagai negara bagian AS, menipu korban agar menyerahkan informasi sensitif mereka.

Penipuan Mengincar Pengguna Layanan Tol Elektronik
Departemen Transportasi Massachusetts (MassDOT) telah mengeluarkan peringatan kepada pengguna EZDriveMA, sistem pembayaran tol elektronik milik mereka. Penipuan ini menyasar korban dengan mengirimkan SMS yang tampak resmi, meminta mereka untuk memasukkan data kartu pembayaran serta kode OTP (One-Time Password) yang dikirim melalui SMS atau aplikasi autentikasi.

Kasus serupa juga terjadi di negara bagian lain seperti Florida. Pengguna layanan tol SunPass, yang merupakan program tol prabayar di negara bagian tersebut, melaporkan menerima pesan palsu yang mendesak mereka untuk segera menyelesaikan pembayaran yang diklaim tertunggak.

Menurut laporan, teknik smishing ini menggunakan modul phishing khusus yang didesain untuk memalsukan sistem tol EZDrive MassDOT. Modul ini pertama kali ditemukan pada 10 Januari 2025, ditawarkan oleh layanan phishing SMS asal China yang dikenal dengan nama "Lighthouse."

Lonjakan Serangan Setelah Tahun Baru 2025
Seorang peneliti keamanan dari SecAlliance, Ford Merrill, mengungkap bahwa serangan phishing SMS yang menyamar sebagai operator jalan tol meningkat drastis sejak awal tahun 2025. Hal ini terjadi setelah salah satu kelompok siber China yang menjual perangkat phishing SMS canggih merilis halaman phishing baru yang dirancang khusus untuk menargetkan sistem tol di AS.

Merrill juga menjelaskan bahwa kelompok peretas di China kini menjual berbagai perangkat phishing berbasis SMS yang memiliki ribuan pelanggan. Tujuan utama mereka adalah mencuri informasi kartu pembayaran korban, yang kemudian dapat digunakan untuk melakukan transaksi di toko fisik, belanja daring, atau bahkan pencucian uang melalui perusahaan-perusahaan cangkang.

Evolusi Metode Smishing: iMessage dan RCS Jadi Target
Meski penipuan berbasis SMS bukanlah hal baru, metode yang digunakan kini semakin canggih. Menurut Merrill, kelompok penipu asal China ini telah berinovasi dalam pengiriman pesan spam mereka dengan memanfaatkan teknologi seperti iMessage dari Apple dan RCS (Rich Communication Services) pada perangkat Android.

Berbeda dengan SMS biasa, pesan yang dikirim melalui iMessage dan RCS lebih sulit untuk difilter oleh operator telekomunikasi, sehingga tingkat keberhasilannya jauh lebih tinggi. “Peralatan smishing tradisional mengandalkan SMS, tetapi kini mereka mengeksploitasi iMessage dan RCS untuk melewati sistem keamanan yang diterapkan oleh operator seluler,” jelas Merrill.

Dengan kemudahan mengirim pesan melalui saluran komunikasi yang sulit diblokir, pelaku kejahatan siber dapat menjangkau lebih banyak korban dengan tingkat keberhasilan yang tinggi.

Bagaimana Cara Menghindari Smishing?
Untuk menghindari menjadi korban penipuan smishing, pengguna disarankan untuk:

1. Waspada terhadap SMS mencurigakan: Jangan langsung percaya dengan pesan yang mengatasnamakan lembaga resmi, terutama jika meminta informasi pribadi atau pembayaran.
2. Periksa keaslian sumber pesan: Pastikan untuk mengunjungi situs web resmi penyedia layanan tol atau menghubungi layanan pelanggan untuk memverifikasi informasi.
3. Hindari mengklik tautan dalam pesan: Link yang terdapat dalam SMS phishing biasanya mengarahkan korban ke situs berbahaya yang dirancang untuk mencuri data pribadi.
4. Gunakan autentikasi dua faktor: Selalu aktifkan fitur keamanan tambahan seperti autentikasi dua faktor pada akun keuangan untuk mencegah akses yang tidak sah.
5. Laporkan ke pihak berwenang: Jika menerima SMS mencurigakan, segera laporkan kepada otoritas terkait seperti penyedia layanan telekomunikasi atau lembaga perlindungan konsumen.

Serangan smishing yang menargetkan pengguna layanan tol di AS menjadi bukti bahwa kejahatan siber terus berkembang dengan teknik yang semakin canggih. Pelaku kini memanfaatkan teknologi komunikasi modern seperti iMessage dan RCS untuk meningkatkan efektivitas serangan mereka.

Masyarakat harus meningkatkan kesadaran dan kehati-hatian dalam menghadapi ancaman smishing ini dengan tidak mudah percaya pada pesan yang meminta informasi pribadi. Pihak berwenang juga diharapkan dapat terus memperbarui sistem keamanan untuk melindungi masyarakat dari serangan siber yang semakin kompleks.