TEMPO.CO, Jakarta - Pengamat keamanan digital dari Vaksincom, Alfons Tanujaya, membeberkan trik dan lokasi asal penipuan dengan cara rekayasa sosial (social engineering) yang menjerat seorang nasabah BRI di Padang, Sumatera Barat, akhir bulan lalu. Si nasabah mengadukan kehilangan dana Rp 1,1 miliar setelah terpedaya menyerahkan data kredensial syarat transaksi mobile banking.

Alfons meminta semua pengguna mobile banking berhati-hati dengan penipuan yang mengeksploitasi posisi nasabah bank yang lemah seperti, misalnya, dikenai biaya administrasi tinggi terhadap rekeningnya. Permasalahan dimulai dengan memainkan rasa khawatir nasabah akan dikenai tarif administrasi tinggi itu.

Pihak penipu mengirim pengumuman palsu dengan kop surat bank yang bersangkutan. Jika nasabah tidak ingin dikenai biaya tinggi ini, maka diarahkan untuk mengklik tautan yang tidak lain adalah teknik phishing yang berusaha mendapatkan informasi User ID, Password dan PIN Mobile banking.

Jika korbannya terjerat rekayasa sosial itu dan memasukkan informasi-informasi di atas, datapun segera jatuh ke pihak penipu. Informasi rekening bisa diakses dari kredensial yang bocor tersebut. Inilah yang menurut Alfons terjadi dengan kasus nasabah BRI di Padang.

"Dengan mengubah nomor telepon, penipu kemudian melakukan transfer menggunakan akun Mobile Banking yang telah diambilalih tersebut,” tulis Alfons, Minggu, 26 Juni 2022.

Menurut Alfons, penipu menyebar pengumuman palsu melalui aplikasi pesan Whatsapp dari Sumatera Selatan, kemudian menunggu saja jika mendapat tanggapan korbannya. "Korban diharapkan terperdaya dan percaya bahwa situs tersebut asli, padahal alamat situs sudah jelas bukan Bank BRI melainkan zyrosite," kata Alfons.

Pada situs palsu ditawarkan untuk memilih tarif baru atau tarif lama dan mengklik tombol [Pilih tarif]. Apapun pilihannya, ia tetap akan diarahkan pada halaman berikutnya berisi permintaan memasukkan data berupa User ID, kata kunci dan PIN.

Selanjutnya, jika korban memasukkan kredensial tersebut, maka data akan langsung digunakan untuk mengaktivasi pengiriman OTP (One Time Password) ke nomor teleponnya, dan layar berikutnya akan meminta OTP dikirimkan ke nomor HP pelaku dengan alamat situs yang sudah disiapkan. Penipu pun sudah menyiapkan notifikasi: Sedang di verifikasi. Pastikan link yang anda salin sudah benar. Mohon menunggu dalam pengecekan.

Sebenarnya, Alfons mengungkapkan, meski sudah berbekal kredensial dan OTP, pelaku phishing tidak otomatis bisa mengambilalih rekening korbannya. Ada proses lanjutan yang harus melibatkan Bank untuk otorisasi proses dan transaksi sehingga rekening bisa diakses dari nomor ponsel yang berbeda.

“Karena itu, keterbukaan bank dan kerja sama dari pihak berwenang untuk mengungkapkan modus operandi penipu sangat dibutuhkan agar kedepannya dapat dibuat sistem dan prosedur yang lebih baik dan bisa mengantisipasi rekayasa sosial seperti ini,” tutur Alfons.

Ia juga mengharapkan pihak berwenang seperti kepolisian dapat menindaklanjuti pelaku dan membuka modusnya dengan jelas, apa saja informasi yang telah dimiliki oleh penipu dan apakah ini terkait informasi data kependudukan yang bocor. Pengawas institusi finansial seperti Otoritas Jasa Keuangan juga dinilainya perlu cepat menganalisa di mana letak kelemahan sistem dan prosedur Bank yang ada sekarang.

"Untuk mencegah penipuan ini meluas karena sudah berjalan cukup lama dan banyak memakan korban," kata dia.

Baca juga:
Sesar Gempa Melintasi Jakarta: Separo Segmen Terkunci, Ada Potensi M7,5