Polisi Belanda Tangkap Penjual JokerOTP, Alat Phishing untuk Curi Kode MFA
Kepolisian Belanda menangkap seorang pria berusia 21 tahun asal Dordrecht yang diduga menjual akses ke JokerOTP, alat otomatisasi phishing yang mampu menangkap kode one-time password (OTP) untuk mengambil alih akun korban.
Penangkapan ini merupakan yang ketiga dalam penyelidikan selama tiga tahun yang sebelumnya membongkar operasi phishing-as-a-service (PhaaS) JokerOTP pada April 2025. Saat itu, aparat telah menangkap pengembang utama platform dan pada Agustus 2025 menahan co-developer dengan alias “spit” dan “defone123”.
Kerugian Hingga US$10 Juta
Dalam kurun dua tahun operasionalnya, layanan berbahaya ini diduga menyebabkan kerugian finansial setidaknya US$10 juta melalui lebih dari 28.000 serangan di 13 negara.
Tersangka terbaru disebut menjual akses ke platform JokerOTP melalui akun Telegram, menawarkan lisensi penggunaan kepada pelaku kejahatan siber.
Cara Kerja JokerOTP
JokerOTP dirancang untuk membantu pelaku membobol akun yang dilindungi autentikasi multi-faktor (MFA). Setelah memperoleh kredensial korban—baik dari malware maupun pembelian di forum gelap—penyerang mencoba masuk ke akun target.
Saat sistem meminta OTP, bot JokerOTP secara otomatis menghubungi korban melalui panggilan telepon. Bot tersebut menyamar sebagai perwakilan resmi layanan yang sedang diakses dan menginformasikan bahwa ada upaya login mencurigakan.
Korban kemudian diminta memasukkan kode OTP yang baru saja mereka terima melalui SMS, email, atau aplikasi autentikator. Karena waktu panggilan bertepatan dengan pengiriman kode, banyak korban tidak menyadari bahwa mereka sedang menjadi target penipuan.
Menurut kepolisian, pendekatan ini membuat korban merasa sedang melindungi akun mereka, padahal justru memberikan akses kepada pelaku.
Target Layanan Populer
JokerOTP dapat dikonfigurasi untuk menargetkan pengguna berbagai layanan populer, termasuk PayPal, Venmo, Coinbase, Amazon, dan Apple.
Setelah berhasil mendapatkan OTP, pelaku dapat melakukan pembelian ilegal, mentransfer dana, atau mengambil alih akun korban sepenuhnya.
Penyidikan Masih Berlanjut
Otoritas Belanda menyatakan bahwa penyelidikan masih berlangsung. Puluhan pembeli JokerOTP di Belanda telah diidentifikasi dan akan diproses hukum.
Pihak kepolisian juga mengingatkan masyarakat agar tidak merasa malu jika menjadi korban skema seperti ini. Pelaku memanfaatkan teknik manipulasi psikologis, seperti menciptakan rasa urgensi dan meminta informasi sensitif.
Imbauan Keamanan
Pengguna disarankan untuk:
- Tidak pernah membagikan kode OTP kepada siapa pun, termasuk pihak yang mengaku dari layanan resmi.
- Waspada terhadap panggilan atau pesan yang menciptakan tekanan waktu.
- Memeriksa apakah data pribadi pernah bocor melalui layanan pemantauan kebocoran data.
Kasus ini menunjukkan bahwa meski MFA meningkatkan keamanan akun, teknik social engineering tetap menjadi celah yang dapat dieksploitasi jika pengguna tidak waspada.
