Penjahat siber kini menemukan metode baru untuk mengatasi lapisan keamanan iPhone dan iMessage yang ketat. Karena itu, pengguna iPhone diimbau untuk lebih waspada saat menerima pesan dari nomor yang tidak dikenal.
Bleeping Computer mengungkapkan bahwa penipu kini mulai memanfaatkan trik untuk menonaktifkan fitur perlindungan phishing bawaan di iMessage, sehingga dapat mengelabui pengguna agar mengklik link yang sebelumnya telah diblokir.
Untuk melindungi pengguna iPhone dari ancaman phishing, iMessage secara otomatis menonaktifkan link dalam pesan yang berasal dari orang yang tidak dikenal, baik itu berupa alamat email maupun nomor telepon.
Namun, jika pengguna merespons pesan tersebut atau menambahkan nomor telepon pengirim ke dalam daftar kontak, link yang semula dinonaktifkan akan diaktifkan dan dapat diklik seperti biasa.
Penipu dan penjahat siber lainnya berhasil menemukan cara untuk mengatasi batasan tersebut. Serangan ‘smishing’ atau SMS phishing sering kali muncul dalam bentuk pemberitahuan mengenai tagihan yang belum dibayar atau notifikasi pengiriman yang gagal.
Bleeping Computer memberikan contoh dua jenis smishing, yakni pesan tentang paket yang gagal dikirim dari USPS dan SMS yang mengklaim tagihan tol belum dibayar. Kedua pesan tersebut merupakan SMS palsu yang dikirimkan dari nomor atau email yang tidak dikenal, di mana iMessage secara otomatis menampilkan link dalam bentuk teks sederhana agar tidak bisa diklik.
Meskipun bentuk penipuan phishing seperti ini bukan hal baru, isi pesannya kini menyertakan ajakan baru. Pengguna diminta untuk membalas dengan kata ‘Y’ untuk mengaktifkan link, keluar dari pesan, lalu membuka kembali dan mengklik link yang tersedia, atau menyalin link tersebut ke browser Safari untuk mengaksesnya.
Pengguna ponsel masa kini sudah terbiasa membalas pesan dengan kata-kata seperti ‘STOP’, ‘Yes’, atau ‘No’, dan para penipu berharap bahwa pesan yang terdengar familiar ini dapat mendorong target untuk merespons. Jika pengguna membalas dengan ‘Y’ sesuai instruksi penipu, link yang semula hanya berupa teks biasa akan menjadi aktif dan dapat diklik, sehingga perlindungan phishing di iMessage pun dinonaktifkan.
Jika link diklik, pengguna besar kemungkinannya akan diarahkan ke halaman login palsu yang dirancang untuk mencuri informasi pribadi, data kartu kredit, dan informasi sensitif lainnya.
Bahkan jika pengguna hanya membalas pesan tanpa mengklik link, penipu tetap akan mengetahui bahwa mereka merespons SMS phishing, menjadikan mereka target yang lebih besar untuk serangan berikutnya, seperti yang dikutip dari Bleeping Computer.
Pengguna iPhone diimbau untuk tidak membalas SMS yang berisi link yang dinonaktifkan atau pesan dari pengirim yang tidak dikenal. Jika pesan tersebut mengatasnamakan perusahaan atau organisasi tertentu, disarankan untuk menghubungi langsung entitas yang disebutkan untuk memverifikasi keaslian SMS tersebut.
