Pada 30 Ogos 2022, Tom menerima satu SMS yang kononnya daripada kerajaan, memaklumkan bahawa RM500 daripada Program Bantuan Khas Kewangan akan dikreditkan ke akaun e-dompetnya jika beliau mengklik pautan yang disediakan dalam mesej itu. Keesokan harinya, Tom mengklik pautan tersebut dan diminta untuk memasukkan nombor telefon bimbit serta Kata Laluan Sekali Guna (OTP) untuk mengakses laman web itu. Walaupun beliau mencuba beberapa kali dan menerima OTP yang baharu, percubannya untuk log masuk tetap gagal.
Setelah menyemak akaun e-dompetnya, Tom mendapati terdapat dua transaksi tanpa kebenaran berjumlah RM5,000. Beliau membuat laporan polis dan mengemukakan tuntutan bayaran balik kepada penyedia e-dompetnya. Namun, tuntutan itu telah ditolak.
PENEMUAN KAMI
Rekod daripada penyedia e-dompet menunjukkan bahawa transaksi tersebut telah dilakukan melalui akaun Tom menggunakan nombor telefon bimbit yang didaftarkan, PIN 6 digit yang sah, serta OTP. Akaun e-dompet Tom telah diakses daripada peranti baharu.
OTP yang dimasukkan oleh Tom semasa cubaan log masuk telah membolehkan scammer mendaftarkan peranti mereka dan mengakses akaun e-dompet Tom dari peranti baharu tersebut. Hasilnya, baki akaun Tom telah digunakan untuk menambah nilai akaun e-dompet dan transaksi tersebut disahkan menggunakan PIN 6 digit yang sah.
Setelah log masuk berjaya dari peranti baharu, semua notifikasi transaksi telah dihantar ke peti masuk aplikasi pada peranti scammer. Ketika Tom menghubungi penyedia e-dompet untuk melaporkan insiden tersebut, transaksi telah pun selesai dan usaha untuk mendapatkan semula wang daripada akaun benefisiari tidak berjaya.
KEPUTUSAN
Penemuan menunjukkan bahawa Tom telah terpedaya dengan pautan phishing, yang membolehkan scammer mendapat akses kepada maklumat akaun e-dompetnya. Tom menerima mesej mengandungi OTP untuk membenarkan log masuk dari peranti baharu, yang berbunyi:
‘8xxxxx. Sah untuk 5 minit. Jangan kongsi untuk tujuan keselamatan. Hubungi 03-xxxxxxxxx jika anda tidak membuat permintaan ini.’
OTP yang dihantar tidak menjelaskan tujuan sebenar kod tersebut serta tidak menyatakan tentang peranti yang digunakan, dimana ia boleh menghalang Tom daripada penipuan ini jika maklumat itu dinyatakan dengan jelas. Memandangkan trend penipuan semakin berleluasa, penyedia e-dompet perlu melaksanakan pelbagai langkah untuk mengesan dan menghalang penipuan. Pada masa yang sama, pengguna juga harus bertanggungjawab dalam melindungi maklumat akaun e-dompet mereka.
Sehubungan itu, Pengurus Kes mengesyorkan agar kerugian tersebut ditanggung bersama oleh Tom dan penyedia e-dompet. Walau bagaimanapun, penyedia e-dompet menolak syor tersebut dan membawa perkara ini ke peringkat adjudikasi.
Selepas meneliti kes dan mempertimbangkan fakta serta prinsip keadilan dan kesaksamaan, Ombudsman bersetuju dengan penilaian Pengurus Kes dan memutuskan bahawa kerugian perlu dibahagikan antara Tom dan penyedia e-dompet.