Teknologi Bisa Membuat Nyaman, Teknologi Juga Bisa Membuat Tidak Aman
Kaget bercampur bingung, itulah yang pertama kali dialami Lily Angel (30 tahun) tatkala menyadari uang di dalam rekening Bank BRI miliknya ludes tak tersisa. Uang tabungannya senilai Rp 9 juta yang semula hendak menjadi modal usaha ternyata tak ada lagi dan sudah berpindah tangan.
Peristiwa itu terjadi tak lama setelah Lily menerima pesan di WhastApp dari seseorang yang mengaku sebagai customer service Bank BRI. Orang tersebut memberi kabar ke Lily, bahwa ada pergantian biaya administrasi bank.
“Saya ingat betul, orang itu kirim gambar yang berisi informasi pergantian biaya admin bank, dengan pilihan tetap Rp 6.500 atau Rp 150.000 per bulan,” ujar Lily. Dalam pilihan klik pesan itu hanya ada dua pilihan “setuju” dan “tidak setuju.”
Lily tentu panik, seketika itu juga Ia membalas pesan tersebut. Ia membalas pesan dengan klik tulisan “tidak setuju.” Semula Lily beranggapan klik “tidak setuju” itu akan membatalkan kenaikan biaya admin. Ternyata naas, klik “tidak setuju” justru membawa Lily masuk ke dalam jebakan,
Usai klik “tidak setuju,” muncul formulir pembatalan pergantian biaya admin yang harus di isi Lily. Lagi-lagi Lily seperti terhipnotis, dan mengisi formulir tersebut dengan data-data pribadinya. Berbekal data dan instalasi aplikasi itulah, pelaku berhasil membobol isi rekening milik Lily.
Lily sama sekali tak curiga, apalagi laman formulir yang Ia isi mirip dengan tampilan web BriMo BRI. Saat isi formulir itu, juga terdapat kolom untuk dirinya mengisi nama, password, serta kode one time password (OTP). Karena tak sadar dan kurang waspada, Lily memberikan semua informasi tersebut
Tak lama usai mengirim data pribadi tersebut, Lily baru curiga. Ia mencoba mengakses aplikasi BriMo miliknya yang ternyata tak bisa. Lily sempat menghubungi kembali pelaku yang mengaku customer service BRI tersebut, namun Lily tak mendapatkan jawaban memuaskan.
Setelah menghapus dan unduh ulang aplikasi BriMo-nya, barulah Lily menyadari isi rekeningnya sudah ludes. Sedih dan marah serta kesal berkecamuk di kepala Lily. Ia tak menyangka, aksi penipuan menggunakan metode phising dan social engineering itu menimpa dirinya.
Lily berusaha datang ke Bank BRI, namun pihak Bank BRI tak bisa mengembalikan dana tersebut karena transaksi dilakukan sesuai dengan prosedur yang diatur. Karena tak mau memperpanjang masalah, Lily memilih menyerah dan mengikhlaskan peristiwa tersebut.
Lily hanyalah salah satu dari ratusan korban aksi penipuan yang berujung pembobolan rekening bank. Direktorat Tindak Pidana Siber Bareskrim Polri menemukan, ada 493 rekening nasabah bank yang telah dibobol dengan modus mengirimkan link ilegal dan APK (android package kit) modifikasi sejenis malware.
“Para pelaku memodifikasi APK untuk mendapatkan akses ke inbox SMS perangkat korban, untuk mendapatkan kode OTP yang diterima korban, terutama kode OTP dari aplikasi mobile banking dan e-wallet,” kata Direktur Tindak Pidana Siber Bareskrim Polri Brigjen Adi Vivid Agustiadi Bachtiar saat konferensi pers di Mabes Polri, Jakarta, Kamis (19/1).
Untuk kasus ini, Polri telah menangkap 13 tersangka yang beroperasi di sejumlah daerah di Indonesia. Kerugian materil yang diakibatkan aksi tersangka mencapai Rp 12 miliar. “Kami masih memburu 20 terduga pelaku lain yang kini telah dimasukkan ke daftar pencarian orang (DPO),” tambah Adi.
Ada banyak cara yang dilakukan tersangka agar bisa membobol isi rekening nasabah bank. Adi menyebutkan, dalam menjalankan aksinya, tersangka berbagi peran yang berbeda. Ada yang berperan sebagai developer APK, agen database, social engineering, serta peran penguras rekening dan penarikan uang.
Kebanyakan, korban yang disasar adalah nasabah bank yang memiliki aplikasi mobile banking di ponselnya. Tersangka kemudian mengirimkan informasi yang untuk menjebak korban, seperti yang terjadi pada Lily. Pesan itu memuat link APK modifikasi, yang bisa diakses ilegal dari perangkat lain.
“Setelah mereka (korban) klik, otomatis pelaku mendapatkan informasi tentang OTP dan segala macam data nasabah,” kata Vivid. Setelah itu, pelaku dengan mudah menguras isi rekening nasabah karena sudah mengantongi data pribadi termasuk OTP.
Untuk kasus ini, Adi memastikan akan menyelidiki dari mana para tersangka mendapatkan data nasabah perbankan hingga bisa menguras uang dari rekening nasabah. Dugaan awal, pelaku memperoleh data dari pasar gelap atau dark web. “Kami juga mengingatkan perbankan agar memperketat sistem keamanannya,” kata Adi.
Harus waspada
Keberhasilan polisi dalam menangkap 13 pelaku mendapatkan apresiasi dari perbankan, salah satunya dari Bank BRI. Agus Sudiarto, Direktur Manajemen Risiko BRI mengatakan, BRI ikut secara proaktif dan mendukung proses pengungkapan dan penangkapan kejahatan perbankan tersebut.
“Pengungkapan ini menjadi momentum bagi kita semua untuk terus berhati-hati atas berbagai modus penipuan yang saat ini kian marak terjadi di masyarakat. Sekaligus, ini menjadi penanda atas keseriusan BRI untuk menangani kasus ini bersama para pihak terkait,” kata Agus Sudiarto, Direktur Manajemen Risiko Bank BRI.
Agus menambahkan, BRI secara berkala terus melakukan edukasi pencegahan berbagai modus penipuan yang disebarkan melalui berbagai saluran komunikasi, seperti social engineering, phising, dan sebaran aplikasi APK modifikasi.
“BRI mengimbau nasabah berhati-hati melakukan transaksi finansial dan menjaga kerahasiaan data pribadi dan data perbankan seperti user name, Password, PIN dan OTP. Nasabah juga wajib merahasiakan itu dari siapapun, termasuk keluarga, kerabat, maupun petugas bank,” tambah Agus.
Peristiwa yang diungkap polisi ini hanyalah bagian kecil dari kejahatan siber yang terjadi di Indonesia. Merujuk data Otoritas Jasa Keuangan (OJK), kerugian riil perbankan akibat kejahatan siber ini mencapai Rp 246,5 miliar pada periode semester I-2020 – semester I-2021 lalu.
Tak hanya itu, OJK menghitung ada potensi kerugian Rp 208,4 miliar dan nilai pemulihan sebesar Rp 302,5 miliar dari laporan OJK. Pada periode yang sama, nasabah perbankan juga mengalami kerugian sebesar Rp 11,8 miliar, potensial kerugian Rp 4,5 miliar dengan nilai pemulihan Rp 8,2 miliar.
Sementara kerugian dari pihak lain menyentuh angka Rp 9,1 miliar, potensi kerugian Rp 3,8 miliar dan nilai pemulihan sebesar Rp 3,8 miliar. Artinya, porsi kerugian bank paling besar yakni 77% dari total kerugian. Menyusul nasabah dan pihak lain masing-masing sebesar 20% dan 3%.
Pratama Persadha, Chairman lembaga riset Siber Communication & Information System Security Research Center (CISSReC) menjelaskan, banyaknya serangan siber ke perbankan memang menjadi risiko bisnis perbankan yang mempunyai value dan perputaran uang yang sangat besar.
“Jadi sehebat dan sekuat apapun pengamanannya baik pengamanan siber maupun offline. Ini tidak akan mengurangi jumlah para pihak yang berniat jahat melakukan serangan siber ke perbankan,” jelas Pratama kepada KONTAN.
Ia mengaku dunia perbankan termasuk sektor yang memang menjadi incaran para peretas, selain sektor pemerintahan. Uniknya, upaya bank menjaga kredibilitas justru meningkatkan kasus karena peretas meminta sejumlah uang.
Pratama menyatakan motif ekonomi memang lebih besar dalam setiap peretasan ke perbankan. Ini pulalah yang membuat berapa fraud akibat peretasan di sektor perbankan sulit diketahui pasti karena setiap bank memilih diam daripada melaporkan peretasan yang terjadi.
Selain perbankan dan nasabah, pihak lain yang dirugikan adalah regulator dan juga vendor penyedia teknologinya. Adapun model serangannya yang paling banyak dilakukan adalah dengan phising dan social engineering.
Social engineering atau teknik rekayasa sosial bisa dilakukan dengan cara berpura-pura menjadi telemarketing atau customer service perbankan. Dengan cara itu, pelaku berhasil mendapatkan data penting hingga akhirnya bisa menarik dana. Selain itu, juga ada serangan dengan skimming yang menyasar mesin ATM.
Tanggungjawab bersama
Aestika Oryza Gunarto, Sekretaris Perusahaan BRI bilang, perkembangan teknologi selalu memiliki celah baru untuk melakukan kejahatan siber. Model kejahatan siber biasanya berbentuk hacking, phishing, pharming, social engineering dan skimming.
Aestika menilai,. keamanan siber menjadi tanggung jawab semua pihak. Ada tiga aspek penting dalam keamanan siber, yaitu people, process, dan teknologi. Nasabah sebagai komponen people sangat penting mendukung upaya perlindungan data dan transaksinya.
“Nasabah dapat melakukannya dengan selalu menjaga kerahasiaan data pribadi, seperti nomor kartu, pin, CVV/CVN, OTP/token, serta berhati-hati melakukan transaksi dan memastikan bahwa transaksi dilakukan pada channel resmi BRI,” terang Aestika.
BRI juga menghimbau agar nasabah tetap menjaga kerahasiaan data pribadi dan data perbankan kepada orang lain atau pihak yang mengatasnamakan BRI. “BRI hanya menggunakan saluran resmi baik website maupun media sosial sebagai media komunikasi yang dapat diakses oleh masyarakat secara luas,” tambahnya.
Edukasi tak hanya dilakukan Bank BRI saja. Hera F Haryn, Executive Vice President Corporate Communication & Social Responsibility BCA juga ikut melakukan edukasi untuk keamanan rekening nasabah. “BCA juga melakukan edukasi secara offline ke komunitas, termasuk komunitas masyarakat anti hoaks seluruh Indonesia,” kata Hera.
Meski sudah ada pelaku yang ditangkap, namun ancaman kejahatan terhadap nasabah perbankan masih tetap terbuka. Untuk itu, Damar Junianto, Direktur Eksekutif Safenet menyarankan nasabah untuk memisahkan ponsel yang digunakan untuk transaksi perbankan dengan alat komunikasi harian.
“Jika gawai sudah masuk APK atau malware lainnya, solusinya adalah ganti gawai biar transaksi tetap aman,” tambah Damar. Teknologi membuat manusia makin nyaman. Namun teknologi bisa membuat manusia menjadi tidak aman. (k15)