Topic: [DISKUSI] !!WASPADA !! Scammer dimana-mana, Ketahui Beberapa Metodenya (Read 1204 times)

Benar, approval untuk melakukan swap dari token A ke token B sama dengan memberikan akses ke pihak lain tanpa memberikan private key. Kita tahu, penggunaan AMM hanya perlu koneksi wallet dan sign untuk melakukan transaksi swap. tidak ada pin atau pun 2FA saat melakukan, ketika approval sudah diberikan hanya perlu melanjutkan saja, memang ada warning untuk melakukan pembelian. Tapi entah bagaimana caranya scammer dapat melewati hal tersebut. Untuk mengenal ciri-ciri token seperti ini, sepertinya hanya bisa dikenal dari coding smart contractnya. Jadi, untuk yang awam sulit untuk membedakannya. bahkan saya sendiri tidak mengetahui ciri-cirinya karena keterbatasan saya dalam memahami kode SC.

Yang besar kemungkinan bisa hilang itu berarti Coin yang masih dalam jaringan yang sama begitukah? Berarti lebih kurang sama dengan memberikan akses wallet ke orang lain. Hanya dengan proses approval seperti itu ujungnya semua aset coin lainnya bisa diambil tanpa perlu verifikasi itu ini lagi dari pemilik wallet. Itu adakah cara mengenali ciri-ciri kemungkinan scam tidaknya sebelum melakukan swap token/memberikan approval?

Masalah ini sudah saya pernah bahas di thread altcoin, tapi saya mencoba mencarinya tidak ditemukan karena lupa dengan judul threadnya. Ada banyak metode scam yang saya temukan ketika saya aktif mencari token baru di masa hype token meme yang ada di thead ini https://bitcointalksearch.org/topic/diskusi-berbagi-info-liquidity-pool-amm-semua-blockchain-erc-bsc-dll-5317158, mungkin bisa menjadi salah satu informasi tambahan. Intinya, proses transaksi di belakang layar ini adalah, smart contract salah satu token dapat mengambil koin berharga milik pengguna yang disebabkan oleh approval transaksi tersebut. Kasusnya ada yang kehilangan BNB, CAKE dan BUSD. setelah melakukan swap ke token scam tersebut. revoke approval setiap kali melakukan pembelian adalah hal yang bagus, selain dengan mengantisipanya dengan menggunakan address baru/sekali pakai.

Jika proses eksekusi (dari Token Approval) sudah selesai, maka langkah antisipasi yang aman dan mudah dilakukan ialah melakukan Revoke Token Approval dan Disconnect wallet dari DApp yang berkaitan. Untuk melihat/men-disconnect situs-situs (DApp) yg terkoneksi dengan wallet Metamask bisa dicek pada walletnya langsung (lihat pada menu Connected Sites), sedangkan untuk melihat data Token Approval pada jaringan ETH bisa dicek disini https://etherscan.io/tokenapprovalchecker

Disconnect wallet dan Revoke Token Approval adalah 2 hal yg berbeda, sehingga saat agan hanya melakukan Disconnect wallet itu hanyalah memutuskan sambungan wallet ke DApp, namun DApp (Smart Contract) tersebut masih memiliki akses ke token agan dan untuk memutuskan akses ini diperlukan proses Revoke Token Approval.

Jika memang kemungkinan terjadi seperti itu, menurut hemat saya lebih baik buat address baru untuk keperluan tersebut. Kalau memindahkan aset-aset yang sudah ada di wallet sebelumnya tentu akan terkena fee lagi kan? Ketika semisal sudah terlanjur menggunakan wallet sebelumnya yang ada asetnya, bukankah scammer yang sudah berhasil masuk ketika mendapat approval akan "gerak cepat" menguras aset yang ada?

btw, saya pribadi belum pernah mengalami hal seperti diatas dan tidak begitu mengetahui banyak tentang "transaksi dibelakang layar" bisa terjadi sebagaimana yang disebutkan agan masulum diatas ketika terlanjur memberikan approval transaksi.

Biasanya yang sering koneksi wallet saat ada event airdrop baru, terakhir 3 hari yang lalu ada event airdrop mint NFT dengan reward mencapai 0.19 eth bagi wallet yang aktif trade di etherdelta, namun setelah koneksi dengan website yang bersangkutan saya langsung diskonek wallet tersebut, entah bisa wallet saya diakses atau di hack ke depannya atau tidak namun saat ini tidak ada saldo koin yang saya hold di wallet tersebut. Ada baiknya jika melakukan approval pada wallet lama sebagian besar aset dipindahin ke wallet yang lain jadi tidak terlalu khawatir jika nantinya wallet kita kena hack.

Mengoneksikan dan memberi akses untuk transaksi adalah yang paling sering membawa korban mas. kalau hanya mengoneksikan memang tidak akan jadi masalah karena ibarat metode login, ini hanya login, tanpa password. Seperti google auth, facebook auth dan sebagainya. Jadi, wallet hanya terkoneksi tanpa bisa melakukan apapun. Kecuali approval untuk transaksi diberikan kepada token/nft scam, saat itulah proses transaksi dibelakang layar terjadi. Ini sering terjadi pada saat hype meme token 2020/2021. Orang kehilangan token bernilai karena memberikan approval pada salah satu token yang baru ia temukan tersebut.

Untuk kejadian detail yang agan alami itu bagaimana?

Ini ada kaitannya dengan post ane di board lain. Saya yakin untuk perihal mengkoneksikan atau mengdiskoneksi wallet, khususnya Metamask, itu tidak berpengaruh secara signifikan dalam hal keamanan sebuah wallet. Fungsi wallet connection dari suatu platform dengan sebuah wallet itu hanya bertujuan untuk mengizinkan platform terkait bisa melihat address, konten wallet, histori transaksi, dan melakukan proses inisiasi transaksi[1].

[1] https://metamask.zendesk.com/hc/en-us/articles/360059535551-Disconnect-wallet-from-a-dapp

sudah terlalu banyak ragam para scammer saat ini bahkan jadi bingung sendiri cara bedain nya , mungkin untuk kewspadaan jika yanag konek konek wallet ada baiknya menggunakan wallet baru karen beberap wktu lalu nae menjadi slah satu korban nya , lebih haati hati lgi guys

wah memang banyaaak sekali modus-modus yang digunakan scammer untuk menipu korbannya. Beberapa waktu yang lalu saya juga ketemu modus penipuan di jaringan stellar bang. Jadi, suatu hari di lobstr muncul transaksi pending (airdrop) dari Asce sekian ratus dollar tapi baru bisa di-claim Juli, saya kira legit ternyata beberapa hari kemudian ditarik lagi airdropnya terus berubah lagi tanggalnya eh terus berubah lagi baru November bisa di-klaim tapi anehnya kok harganya bisa tinggi. Ternyata itu memang modusnya, mereka menjaring korban sedemikian rupa untuk tertarik membeli karena sudah ada harganya dan pergerakan harganya pun tinggi. Airdrop itu pun rupanya usaha mereka juga supaya orang melihat dan tertarik membeli. Terbukti, akhirnya beberapa waktu kemudian harganya jadi 0. Setelah mereka anggap cukup scam-nya, akhirnya mereka jual semua token-nya dan kabur, alhasil harga jadi terjun bebas.

Nah, untuk menghindari penipuan seperti ini di Lobstr sebenarnya mudah, jangan pernah percaya pada airdrop dari proyek yang bisa dicolok cabut begitu contract-nya, yang kedua gunakan fitur "Convert payments to AQUA", karena kalaupun itu adalah transaksi pending, kalo bisa dikonversi (semua jumlah) ke AQUA berarti itu legit. Intinya tidak ada usaha mempersulit kita meng-klaim airdrop kalau itu memang airdrop legit. Kita ambil contoh airdrop AQUA kemarin yang berjalan amat smooth.

Dengan keterangan yang ada di ToS aplikasi tersebut, jadi balik lagi ke user kalau setuju berarti lanjut menggunakannya. Dan aplikasi tersebut ada versi berbayarnya juga, kalau memang terasa terbantu dengan adanya aplikasi tersebut mungkin itu bisa mengantisipasi dari telepon atau pesan scam, jadi walaupun ada user yang mensetting ke anonim sekalipun (ketika dia menelepon muncul notifikasi sebagaimana pada screenshot agan taufik123 di atas), artinya kemungkinan itu adalah dari scammer meskipun belum tentu juga demikian.

Menjadi terlalu paranoid memang tidak baik, namun sikap terlalu abai juga akan berdampak buruk.
Scammer memang selalu mencari celah untuk bisa menerobos sistem dan memanipulasi pikiran kita.


Beberapa kejadian pembobolan rekening Jenius tahun 2019, seorang Youtuber bernama " Wisnu Kumoro" yang dikenal sebagai orang yang sangat paranoid untuk masalah keamanan namun rekeningnya masih bisa dibobol, Dia menggunakan rekening Jenius untuk keperluan disehari-hari.

dia pernah menerima SMS yang meminta kode verifikasi namun dia abaikan. Tapi selang beberapa jam ada notifikasi bahwa ada transaksi Rp.500.000 di akun blibli miliknya, namun setelah di cek tidak ada transaksi apapun dan itu terjadi berulang kali hingga saldo doi rekeningnya habis.
 
Wisnu Kumoro bahkan menjelaskan bahwa dirinya sudah menerapkan keamanan ganda seperti menggunakan VPN premium dan kode 2FA untuk membuka rekeningnya. Bahka dia tidak menggunakan kata sandi PIN atau password, dia menggunakan Finger Print untuk membuka akunnya karena menurut ddia katasandi dengan typing mudah untuk direkam atau disadap. Tapi nyatanya rekening dia masih bisa dibobol juga.

Untuk kronologi jelasnya bisa cek video Youtubenya:
Part1: https://www.youtube.com/watch?v=O31xL58ciCI
Part2: https://www.youtube.com/watch?v=PEnov122m4M

Berkaitan tentang privasi memang tergantung individu masing-masing. Jika dirasa beberapa aplikasi "Collect Data" seperti GetContact akan membahayakan privasi pengguna tentu gak perlu harus menggunakannya, Sesuai dengan Privacy Policy yang sudah dijelaskan om @husna.

Tentu ada plus minusnya, Beberapa orang yang menggunakan aplikasi seperti GetContact ini akan terbantu untuk mengetahui siapa yang menelpon mereka, membantu proteksi dari spam panggilan gak jelas, serta bagi mereka yang berniaga tag mereka di getcontact sangat penting, untuk memberitahukan siapa mereka.

Untuk mengatur agar aplikasi GetContact ini tidak menampilkan Tag nomer kita juga bisa, Tinggal rubah ke pengaturan Anonim saja.
Karena saya pernah mengecek nomer penipu namun ada keterangan bahwa tag pada nomer tersebut tidak bisa di tampilkan karena pemili nomer menolak untuk ditampilkan di getcontact.

Hampir semua applikasi saat ini membutuhkan data - data pribadi kita mulai dari nama, email, hingga nomor telepon kadang ada sebagian applikasi wajib membuat konfirmasi OTP terlebih dahulu. Memang untuk menjaga privasi sebaiknya data yang berkenan dengan nomor telepon jangan terlalu dipublikasikan, saya hanya menggunakan nomor telepon cadangan karena saya khawatir sehebat apapun applikasi tetap ada celah saat nomor kita tersebar menjadi publik dan rawan terjadi penipuan ke depannya. Semua tergantung pada pribadi masing - masing sebenarnya kalau dianggap kurang aman sebaiknya jangan diinstal.

Saya coba install aplikasi Getcontact ini, dan coba baca terlebih dulu beberapa poin Privacy policy dan ToS nya sebelum memutuskan apakah lanjut menggunakannya atau tidak; Mereka mengumpulkan data-data user semisal nama, nomor telepon, email yang digunakan ketika registrasi. Meskipun memang rata-rata aplikasi seperti ini pastinya mengumpulkan data-data seperti di atas, namun ada satu yang mau tidak mau data kita harus siap di share ke user lain, karena adanya pernyataan seperti ini di layanan aplikasi tersebut:



Saya pribadi jadinya memutuskan untuk uninstall aplikasinya karena alasan privasi tersebut, kalaupun memang teman-teman yang lain merasa nyaman untuk itu dengan tujuan mengetahui nomor scammer atau informasi lainnya DWYOR.

Terlepas para penipu sedikit lebih pandai dibandingkan para korban tidak salahnya juga memasang applikasi Getcontact untuk menjaga - jaga agar terhindar dari kasus penipuan. Selain dari pribadi kita masing - masing untuk tetap waspada dan selalu mengecek terlebih dahulu jika ada penggilan masuk dari nomor yang tidak kita kenal. Namun saat ini lagi marak kasus penipuan penurunan biaya pengiriman uang dengan rekening yang berbeda, banyak sekali korban yang terjebak karena ingin mendapatkan biaya murah saat mengirim uang ke rekening yang berbeda, namun nyatanya para penipu mencoba mengelabui korban dan seara tidak sadar memberikan kode OTP untuk log in mobile banking.

Inti dari semua pembahasan di thread ini adalah tingkatkan kewaspadaan terhadap penipuan terlepas bagaimana cara penipu menjalankan metodenya. Scammer ada dimana-mana dan ketika kita sadar bahwa mereka tidak terlalu bodoh untuk menjadi penipu maka selalu pastikan bahwa kita tahu beberapa metode pencegahannya juga. Sikap abai yang terkadang sering dilakukan bisa jadi bumerang buat calon korban, jadi bagus untuk selalu waspada untuk upaya apapun meskipun sebenarnya tidak semua keadaan harus terlalu paranoid.

Terserah kita mau menerapkan tingkatkan keamanan seperti apa, tetapi intinya adalah jangan pernah beri peluang pada scammer mendapatkan keuntungan mudah dari apa yang seharusnya bukan miliknya. Sadar keamanan adalah hal wajib jika kita berada di ruang crypto ini, kecil atau besarnya jumlah aset tidak menjadi ukuran karena keamanan data, aset dan kredential apapun adalah No. 1.

Jelas bisa, si penipu bukan anak kemarin sore yang pengetahuannya terbatas tentang cara mengelabui korbannya. Mereka sangat pintar dalam menjalankan aksinya, dengan kata lain mereka penipu yang bersertifikat. 
Memasang aplikasi Getcontact tidak menjamin dapat lolos dari intaian penipu, menurut saya cara efektif untuk menghindar dari scammer adalah dengan cara mengabaikan seluruh aktivitas mencurigakan, baik itu lewat telpon, sms, email dan akun medsos.

Ingat, cari duit itu susah, kita saja harus menguras pikiran untuk mendapat bayaran. Mana mungkin tiba-tiba ada yang menawarkan sesuatu yang tidak pernah kita bayangkan sebelumnya tanpa ada tujuan tertentu.

Dari yang saya baca, tag-tag negatif yang diberikan user lain bisa juga dihapus. Artinya ketika si penipu melakukan penghapusan tag negatif ke nomor kontaknya tersebut bisa saja korban yang sudah memasang aplikasi ini pun tidak langsung mengetahui review dari user lain yang sebelumnya memberikan tag ke nomornya.
- https://kumparan.com/how-to-tekno/cara-menghapus-tag-di-getcontact-agar-tak-terlihat-orang-lain-1xHk3gVoktK/4

Jika sudah demikian, bukankah aplikasi ini bisa juga dikelabui?

Saya sendiri belum pernah menggunakan aplikasi ini dan belum tahu banyak bagaimana review seberapa efektif dan akurat aplikasi tersebut mengidentifikasi nomor-nomor scammer.

Masalah utamanya penipu sudah mengatahui target atau yang menjadi korban bagi mereka sehingga mereka tau mana koran yang gaptek dan gampang untuk dibodohin, padahal applikasi Getcontact sudah lama di app playstore cuman kebanyakan masih aja pas sudah menjadi korban penipuan baru ingat dengan applikasi ini. Saya pernah lihat komen disebuah forum gropu Facebook ada seorang ibu yang enjadi korban penipuan dengan memberikan OTP untuk akun mbanking mereka, namun setelah tabungan mereka ludes baru keingat untuk mengecek nomor penggilan tersebut via app Getcontact.

Umumnya target dari scammer akan memburu pengguna yang mempunyai masalah, pemula yang ingin berinvestasi pada proyek itu dan peluang lain yang dimanfaatkan scammer untuk menjebak member dari group telegram, salah satunya menambahkan semua member ke grup lainnya yang sama persis dibuatkan oleh scammer untuk menyebarkan penawaran bonus dan airdrop yang di alihkan ke situs phising. Jadi tingkat penipuan scam pada telegram sangat tinggi maka harus mewaspadainya, minamal kalau masih pemula meminta konfirmasi kepada teman yang sudah berpengalaman atau bisa mengkonfirmasikan langsung ke grup resmi proyek tersebut, maka admin akan mengklarifikasinya dan meminta kita harus berhati-hati merespon DM dari admin palsu.