KIM KEMUNING MANDIRI – Saldo di rekening bank tiba-tiba hilang? Begini cara hacker membobol saldo rekening kita dan cara mencegah hal itu terjadi!

Coba deh, bayangkan jika kamu ingin mengecek saldo m-banking, saat ingin melakukan pembelian secara online. Alih-alih melakukan transaksi, jumlah saldo yang terlihat di layar smartphone-mu hilang, bahkan tak bersisa?

Hal ini dapat menimpa siapa saja, karena semakin pintarnya hacker atau peretas dalam mengeksekusi aksinya. Mereka hanya perlu mengetahui nomor telepon, serta mengalihkan panggilan masuk dari korban ke mereka.

Oleh sebab itu, jangan sampai saldomu menjadi sasaran curi para peretas selanjutnya. Kenali bagaimana cara m-banking dibobol oleh peretas, dan apa yang bisa dilakukan untuk mencegah saldo dicuri oleh mereka.

Penulis sendiri pernah mengalami setidaknya lima upaya rekayasa sosial—mulai dari penyusupan melalui akun Mandiri e-Money, telegram server pulsa, hingga phising mengatasnamakan bantuan dari Dinas Sosial. Salah satu yang paling menohok terjadi saat pandemi COVID-19.

Kala itu, penulis menerima pesan WhatsApp dari kolega yang kebetulan duduk di meja kerja sebelah. Pesannya mencurigakan: menanyakan kabar, dan kemudian memohon diisikan pulsa dengan dalih lupa membawa dompet.

Karena merasa janggal, penulis langsung menanyakan langsung ke yang bersangkutan. Ternyata, ia sama sekali tidak mengirimkan pesan. Ketika ditanya, barulah ia mengakui sempat mengirimkan kode OTP ke seseorang karena panik.

Seketika disadari bahwa nomor WhatsApp-nya telah diretas. Ini menjadi pengingat nyata bahwa serangan digital bisa menyasar siapa saja, bahkan orang terdekat kita.

Beragam modus digunakan para pencuri agar bisa menguras saldo akun mobile banking kita. Oleh karena itu, pengguna diwajibkan berhati-hati dalam melindungi data pribadi. Untuk melancarkan aksinya, para pelaku kejahatan siber ini tak harus menjadi peretas handal maupun memakai software yang canggih.

Mereka biasanya hanya melakukan rekayasa sosial dengan dua skema berikut:

1. Call Forwarding: Mengalihkan Panggilan, Menguasai OTP

Call forwarding adalah pengalihan komunikasi telepon dari satu nomor ponsel ke nomor lainnya. Jadi nantinya, ketika fitur Call Forward dipakai semua panggilan yang tertuju ke nomor ponsel kita akan dialihkan ke nomor yang dituju. Oleh karena itu, pelaku memakai modus ini untuk mengambil alih nomor korban dengan tujuan membajak akun mobile banking atau yang lainnya.

Nomor ponsel saat ini memiliki peran penting dalam proses mobile banking maupun mobile payment. Sebab, setiap konfirmasi data pribadi pastinya perusahaan akan mengirimkan password khusus melalui nomor ponsel yang disebut OTP (One Time Password).

Dilansir dari CNBC Indonesia, "Kemungkinan besar masalah terjadi karena adanya OTP yang diminta ke korban langsung melalui voice atau SMS ke nomor ponsel korban, karena ‘kan bisa kita daftar dengan aplikasi di ponsel baru dengan memasukkan nomor dan nomor itu akan dikirimi OTP," ujar Executive Director Indonesia ICT Institute, Heru Sutadi.

Selain itu, Analisis Keamanan Vaksin.com, Alfons Tanujaya, menjelaskan betapa berbahayanya bila kita sembarang memakai fitur Call Forward kepada orang lain.

"Jika pelaku berhasil mengelabui korban untuk melakukan call forward atau SMS forward yah sama saja berhasil menguasai perangkat. Itu sama saja menguasai akun-akun yang diamankan dengan TFA (two factor authentication)," kata Alfons.

Lebih lanjut, Alfons menjelaskan, akun seperti Gopay, OVO, Tokopedia dan sejenisnya, internet banking, otorisasi kartu kredit semua akan dikuasai. Termasuk akun internet email, sosmed, Whatsapp dan lainnya yang menggunakan otorisasi lewat OTP.

Cara mengaktifkan fitur Call Forward sendiri sebenarnya sangatlah mudah, yaitu dengan menekan “*21*dilanjutkan dengan nomor ponsel tujuan forward#”. Jika ada orang asing dengan iming-iming manis kepada kita untuk menekan hal tersebut, jangan pernah dilakukan!

2. SIM Swap Fraud: Duplikasi Nomor, Lenyapkan Saldo

Modus pembobolan m-banking bisa dilakukan dengan cara “sim swap fraud”. Di mana pelaku -mengaku simcard korban sebagai miliknya dan meminta operator membuatkan simcard dengan nomor yang sama.

Ruby Alamsyah mengungkapkan kepada CNBC Indonesia, "Kejahatan 'SIM swap fraud' ini utamanya membobol rekening bank korban lewat aplikasi m-banking," kata CEO & Chief Digital Forensic Indonesia tersebut.

Ruby menjelaskan sebelum pelaku akhirnya berhasil membobol rekening seseorang, ada tiga tahap yang dilakukan oleh pelaku:

Pertama, pelaku melakukan pendekatan ke korban yang dinamakan "phising" atau mengelabui korban untuk mendapatkan data-data pribadi.

Modus "phising" dapat dilakukan melalui telepon menghubungi korban, SMS, maupun mengirim link palsu. Perlu diketahui, korban "phising" ini bisa secara acak atau orang tertentu yang dikejar.

"Phising ini misalnya saya sebagai pelaku mengaku dari operator bank, menelepon korban untuk verifikasi, bilang ada transaksi mencurigakan sehingga perlu tahu 'username' m-banking korban," kata Ruby.

Kedua, setelah mendapatkan username tersebut, pelaku mendatangi gerai operator tertentu dan berpura-pura telah kehilangan SIM. Dengan sudah berbekal data di tahap pertama, pelaku dapat mengisi formulir untuk mendapatkan kartu SIM nomor korban.

Setelah mendapatkan SIM, pelaku mendownload aplikasi m-banking yang digunakan korban, menggunakan username dan password untuk login ke aplikasi tersebut. Pelaku juga bisa melakukan reset password yang nantinya kode verifikasi dikirimkan lewat SMS.

Setelah berhasil mendapatkan username dan password, pelaku hanya tinggal mendapatkan kode PIN untuk transaksi perbankan di m-banking.

"Sudah dapat semuanya sehingga akun berhasil dikuasai. Dan ternyata setiap transaksi di bank tersebut hanya perlu OTP (one time password) saja. Saat korban sedang di luar negeri atau dalam jangkauan yang jauh dan sulit untuk bertindak cepat, saat itulah dilakukan transaksi-transaksi yang tidak diketahui korban," jelasnya.

Dengan demikian, di tahap pertama (phishing), celahnya ada di pengguna atau nasabah. Sedangkan di tahap kedua, operator dikelabui dengan data-data yang didapat pelaku dari phishing. Di tahap terakhir, ada celah dari aplikasi yang dibobol.

Jangan Sepelekan Rekayasa Sosial

Rekayasa sosial atau Social Engineering (soceng) adalah teknik manipulasi psikologis yang digunakan oleh pelaku kejahatan untuk memperoleh informasi pribadi atau data berharga dari korban. Pelaku menggunakan berbagai cara, seperti pura-pura sebagai pegawai bank, menawarkan promosi menarik, atau meminta bantuan untuk menyelesaikan masalah, untuk memancing korban agar memberikan data pribadi mereka, seperti nomor kartu, PIN, password, kode OTP, atau informasi sensitif lainnya.

"Rekayasa sosial lebih berbahaya dari sekadar hacking. Karena korbannya justru menyerahkan kunci sendiri kepada pelaku," tegas Heru Sutadi, Executive Director Indonesia ICT Institute.

Tips Menghindari Pembobolan Rekening Digital:

• Jangan pernah membagikan kode OTP kepada siapa pun, bahkan yang mengaku dari pihak resmi.
• Jangan menekan kode Call Forward "*21#" atas permintaan orang asing.
• Aktifkan fitur keamanan tambahan seperti PIN transaksi dan biometrik.
• Segera hubungi bank dan operator jika terjadi kejanggalan pada akun m-banking atau nomor ponsel Anda.

Kemajuan teknologi memang membawa kemudahan, namun sekaligus membuka peluang bagi kejahatan baru. Waspada dan bijak dalam menjaga data pribadi menjadi kunci agar tidak menjadi korban berikutnya.(HF-KIMKemuning)