TEMPO.CO, Jakarta - Rekening nasabah bank di Padang, Sumatera Barat, dikabarkan terkuras isinya hingga satu miliar rupiah. Berdasarkan cerita nasabah tersebut, musibah terjadi setelah dia terpedaya oleh modus penipuan yang membuatnya mengungkap data kredensial, PIN transaksi dan kode One Time Password (OTP), yang kemudian digunakan untuk menguras saldo di rekening bank miliknya tersebut dalam sekejap.

Pengamat keamanan digital dari Vaksincom, Alfons Tanujaya, mengatakan bahwa dalam kasus tersebut di nasabah memang salah telah terpedaya. “Sesuai dengan peraturan penggunaan aplikasi, setiap pengguna seharusnya melindungi kredensial akun dengan sebaik-baiknya dan setiap kerugian karena kredensial yang bocor ini adalah risiko pemilik akun atau pengguna aplikasi,” kata Alfons dalam keterangan yang dibagikannya, Senin 13 Juni 2022.

Namun, ia juga mengingatkan bahwa kejadian ini tidak semata-mata masalah hukum. Sebaliknya,perlu ditelaah lebih jauh lagi karena menurut dia, pengguna internet banking dan mobile banking mayoritas adalah orang awam. Sehingga, Alfons menambahkan, pengamanan seharusnya bisa lebih maksimal dan disesuaikan dengan risiko setiap rekening.

Ia memberi ilustrasi risiko finansial yang secara nominal relatif kecil seperti e-wallet dengan limit maksimal 2-10 juta per akun. Perlindungannya, secara teknis, dipandang cukup dengan PIN dan OTP. Sedangkan untuk kartu e-money dan sejenisnya tidak memiliki pengamanan kredensial dimana siapapun yang memegang kartu tersebut akan langsung bisa menggunakan dananya.

Pada kartu pembayaran seperti itu tak perlu input kredensial apapun karena alasan kepraktisan, kenyamanan dan kecepatan transaksi lebih diutamakan.

Lain lagi untuk rekening koran atau rekening tabungan dengan limit transaksi ratusan juta per hari. Dengan risiko finansial secara nominal lebih besar seperti itu, pengamanan mengandalkan password, PIN, OTP, dan bahkan masih harus ditingkatkan.

Umpana pengamanan e-wallet sebagai pengamanan kandang orang utan, Alfons membandingkan, "Pengamanan mobile banking ini dapat diibaratkan pengamanan kandang harimau. Jelas metode pengamanan harus lebih tinggi karena resiko."

Dua cara untuk bank tambah pengamanan layanan mobile banking

Untuk itu, Alfons menyarankan kepada bank penyedia layanan mobile banking untuk menambah pengamanan mobile banking atau akun lain yang memiliki limit transaksi tinggi. Caranya, pertama, bisa dengan membuat akun mobile banking terkait hanya dengan nomor telepon dan perangkat telepon yang sudah didaftarkan.

Tujuannya, sekalipun kredensial mobile banking tersebut bocor, transaksi finansial tidak akan bisa dilakukan karena menggunakan perangkat atau nomor telepon yang berbeda dari yang terdaftar.

Cara kedua, penggantian nomor telepon atau perangkat telepon harus melalui verifikasi yang andal dan ketat. Mengandalkan verifikasi OTP saja untuk mengganti perangkat tidak disarankan karena kode OTP ternyata bisa dicuri dari nasabah dengan menggunakan tipu daya rekayasa sosial yang tepat dan situs phishing. Terbukti dalam kasus nasabah di atas.

"Meskipun merepotkan, untuk rekening dengan limit transaksi besar harus melakukan verifikasi terpercaya seperti verifikasi ke Customer Service bank yang bersangkutan atau metode lain yang dapat menjamin keabsahan nasabah sehingga dapat mencegah eksploitasi melalui rekayasa sosial dan phishing," tuturnya.

Modus penipuan yang terus berkembang

Alfons juga mengatakan bahwa mengandalkan TFA/OTP dari SMS untuk mengamankan akun dengan limit transaksi ratusan juta rupiah per hari mungkin masih efektif beberapa tahun yang lalu. Namun, keadaan kini dinilainya sudah berubah karena pelaku kriminalitas disebutnya selalu berusaha mencari cara baru.

Contohnya adalah modus memalsukan diri sebagai Call Center bank dipadukan dengan situs phising yang tampilannya sama dengan situs bank. Ini terbukti efektif mencuri username, password, PIN bahkan kode OTP yang seharusnya tidak boleh dibagikan kepada pihak lain dan hanya dimasukkan ketika melakukan transaksi.

"Seharusnya institusi finansial bisa menyadari hal ini dan selalu belajar dari pengalaman yang terjadi," kata Alfons lagi. "Sekuriti adalah proses yang tidak berkesudahan dan pengamanan yang selama ini terbukti efektif suatu saat akan dikalahkan dan harus segera disesuaikan dengan ancaman yang selalu berkembang."

Uang melayang gara-gara pesan via WhatsApp

Korban penipuan yang dimaksud Alfons adalah pasangan suami istri dari Parpupuk Tabing, Kecamatan Koto Tangah, Kota Padang, Sumatera Barat. Mereka melaporkan kehilangan lebih dari Rp 1,1 miliar yang disimpan di Bank Rakyat Indonesia (BRI).

Peristiwanya terjadi pada Rabu 31 Mei 2022, diawali datangnya pesan WhatsApp tentang pemberitahuan perubahan biaya transfer. Di dalam pesan tersebut berisi formulir dan link terkait perubahan transaksi. Kepada penerima pesan ditanyakan apakah jarang transaksi.

"Karena kalau jarang transaksi (kata pelaku) akan dipotong 150 ribu per bulan," kata suami dalam video yang viral di media sosial.

Takut oleh isi pesan dan tak mencari konfirmasi ke sambungan resmi ke BRI, pasangan itu menuruti instruksi dalam pesan itu yang ujungnya telah diketahui kalau mereka menjadi korban penipuan.

Baca juga:
Jasa Sadap WhatsApp Berujung Pemerasan, Pengamat Bongkar Teknik dan Modusnya