Pernahkah Anda diminta untuk mengupload/mengirim selfie sambil menunjukkan kartu identitas seperti KTP atau SIM, untuk meverifikasi sebuah akun secara online?
Misalnya saja ketika mendaftar akun bank secara online atau mendaftar akun di e-commerce.
Biasanya, para administrator meminta foto tersebut untuk memvalidasi identitas, keperluan pengamanan ekstra, atau hal lainnya.
Cara tersebut memang memberi kemudahan ketimbang melakukan pendaftaran secara offline.
Namun, ada bahaya yang mengintai di balik cara verifikasi akun dengan selfie dan kartu identitas.
Bukannya administrator dari bank atau e-commerce, selfie dengan identitas pribadi Anda bisa jadi nyasar ke para scammers. Hal ini pernah terjadi pada 2017 lalu.
Sebuah laman tiruan PayPal mencoba memancing pengguna untuk mengunggah kredensial PayPal, detail riwayat pembayaran kartu, dan juga selfie dengan pengguna memegang kartu identitasnya.
Laman itu dikirimkan pelaku melalui sebuah e-mail spam. Setelah pengguna tanpa sadar memenuhi semua permintaan identitas di laman tersebut, maka pelaku akan mencoba masuk akun PayPal asli korban.
Dalam keterangan resmi Kaspersky, para scammer juga bisa membuat akun atas nama korbannya.
Akun tersebut bisa digunakan untuk bermacam hal, salah satunya melakukan penukaran mata uang kripto untuk pencucian uang.
Di pasar gelap internet alias dark web, swafoto dengan kartu identitas nilainya sangat tinggi dibanding scan foto kartu identitas.
Namun, mengunggah selfie dan kartu identitas tetap boleh dilakukan, asal tetap waspada dengan memperhatikan ciri-ciri berikut:
1. Error dan adanya kesalahan ketik.
Biasanya, para scammer akan mengirimkan tautan berisi formulir ke e-mail korban. Menurut Kaspersky, e-mail dan formulir entri data yang dikirim scammer untuk phishing biasanya terdapat kesalahan ketik atau error. Kadang pula, frasa yang digunakan tidak tepat. Hal ini tentu sangat dihindari oleh instansi atau lembaga resmi yang memiliki tatanan bahasa yang baik.
Maka dari itu, perhatikan lebih cermat tata bahasa dan penulisan kata dalam formulir.
2. E-mail mencurigakan
Biasanya, alamat e-mail yang digunakan scammer adalah e-mail gratisan seperti Yahoo atau Gmail. Terkadang, mereka juga menggunakan alamat e-mail resmi perusahaan yang tidak berafiliasi dengan yang disebutkan di e-mail.
3. Nama domain tidak sesuai
Apabila alamat pengirim sekilas terlihat resmi atau jelas, coba teliti lagi domain situs yang meng-hosting formulir penipuan itu. Biasanya lokasi domain situs phising tidak sesuai dengan alamat pengirim.
Dalam beberapa kasus, alamat domainnya bisa jadi mirip, meski masih berbeda. Namun dalam kasus lain bisa saja alamatnya sangat berbeda.
Kaspersky menyontohkan, sebuah e-mail dari scammer mencoba merayu pengguna LinkedIn untuk mengunggah identitasnya ke Dropbox, yang tentu saja kedua perusahaan itu tidak berafiliasi.
Jikapun ada perusahaan yang menggunakan domain yang berbeda, perusahaan akan menjelaskannya di situs resmi.
4. Mendesak korban
Penipu biasanya memberikan batas waktu yang singkat pada korban untuk mengirimkan identitasnya. Ancamannya, korban akan kehilangan penawaran yang diajukan.
Masih dari contoh LinkedIn, akun korban yang diiming-imingi fitur keamanan lebih tinggi untuk melindungi akun.
Sebagai imbalan, korban diminta mengunggah kartu identitas dalam waktu 24 jam atau penawaran akan hangus.
Scammer seringkali menggunakan trik ini, sebab dengan memberi waktu singkat, biasanya pengguna gegabah untuk mengirim permintaan pelaku tanpa berpikir.
5. Meminta informasi yang sudah diberikan
Pelaku biasanya akan meminta kembali informasi yang sudah diberikan korban saat registrasi.
Dalam beberapa kasus registrasi akun bank, hal itu digunakan untuk dalih konfirmasi akun demi "keamanan ekstra" yang tidak jelas.
6. Dipaksa upload selfie
Penawaran yang diajukan scammer biasanya adalah fitur-fitur canggih yang ditawarkan secara khsus. Misalnya saja keamanan akun.
Sebagai imbalan, korban akan dipaksa mengunggah selfie dan identitas pribadi ke situs web tanpa menyediakan opsi lain.
7. Tidak ada informasi terkait di situs resmi
Sebuah situs web resmi biasanya lebih transparan. Mereka akan memberikan informasi terkait tentang penggunaan identitas pengguna. Jika melihat ciri-ciri di atas, jangan mengunggah selfie dan kartu identitas ke situs web yang tidak jelas.
Usahakan mencari informasi lebih lanjut terkait di situs web resmi e-commerce, bank, atau instansi terkait. Jika ragu sebelum mengunggah foto, tidak ada salahnya menghubungi layanan pelanggan resmi yang tertera di situs resmi, bukan formulir yang dikirim dari scammer.
Anda juga bisa menggunakan program antivirus yang canggih demi melindungi identitas dari kegiatan phishing dan penipuan online.