TEMPO.CO, Jakarta - Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, mengungkap salah satu modus pembobolan rekening bank. Menurut dia, teknik yang paling umum digunakan adalah soceng alias social engineering.

“Uniknya, keberhasilan teknik soceng ini tidak terlalu dipengaruhi oleh faktor kecanggihan aplikasi soceng yang digunakan,” ujar dia lewat keterangan tertulis yang dikutip pada Rabu, 30 November 2022.

Baca: Tabungan Nasabah BRI Raib Rp 10 Juta, Ini Sebab Bank Tak Menggantinya

Alfons menjelaskan, faktor yang lebih menentukan adalah pilihan jenis soceng yang jika berhasil disesuaikan dengan kondisi korbannya. Sehingga korbannya akan mudah percaya dan termakan oleh tipuan soceng tersebut.

Sebelumnya penipu menggunakan soceng yang menyaru sebagai pejabat bank, kemudian menggiring korbannya memberikan kode OTP untuk persetujuan transaksi. Teknik terbaru, kata dia, cukup mengejutkan karena pilihan socengnya tidak terduga dan tidak berhubungan langsung dengan layanan finansial/ bank yang di incar.

“Namun hasil akhirnya tetap berhasil mengelabui korbannya dan berhasil menguras rekening bank korbannya sampai ratusan juta rupiah,” ucap Alfons.

Pilihan soceng yang digunakan, Alfons berujar, adalah memalsukan diri sebagai aplikasi pelacakan paket kurir. Korban dikelabui bahwa ia mendapatkan pengiriman paket dan untuk melacak paket tersebut ia perlu menjalankan aplikasi yang dikirimkan.

“Padahal aplikasi yang dikirim tersebut jika dijalankan akan mencuri SMS OTP ponsel yang diincar,” tutur Alfons.

Menurut dia, tentu korban tidak akan curiga jika ada yang menghubungi melalui pesan mendapatkan kiriman paket. Pengirim pesan akan meminta korban mengklik tautan dan melacak paket yang dikirim.

“Tujuan utama dari penipu ini adalah supaya korbannya tidak curiga dan menjalankan tautan yang diklaim sebagai aplikasi untuk mengecek detail paket,” kata dia.

Jika korbannya mengklik tautan tersebut, sudah jelas aplikasi akan meminta berbagai macam hak akses yang tidak dimengerti oleh orang awam. Padahal hak akses yang diminta sangat berbahaya seperti membaca SMS yang masuk dan kemudian dikirimkan ke platform lain milik penipu.

Dalam kasus ini, pihak kurir dalam hal ini J&T jelas kebagian apesnya karena dicatut namanya oleh penipu—dengan aplikasi yang tidak ada hubungannya dengan J&T. “Malah aplikasi ini akan mengincar korban yang tidak berhubungan langsung dengan bisnis kurir, melainkan nasabah perbankan,” ujar Alfons.

Celakanya, Alfons melanjutkan, jika aplikasi ini dijalankan di perangkat dengan Mobile Banking dan mengandalkan SMS sebagai sarana memindahkan akun mobile banking ke perangkat lain bisa berbahaya.

“Karena yang akan terjadi adalah sekalipun korbannya sudah waspada tidak memberikan OTP yang dikirimkan ke SMS kepada siapapun, tapi saldo Mobile Bankingnya tetap bisa di ambilalih,” tutur Alfons.

Mengapa itu bisa terjadi?

Alfons menjelaskan karena kode OTP perpindahan akun Mobile Banking yang di kirimkan ke SMS perangkat korbannya yang sudah menjalankan aplikasi tadi akan secara otomatis dikirimkan ke penipu. Penipu akan dengan bebas menguras dana di rekening korbannya dan korban hanya bisa melihat dananya tersebut dikuras.

“Melalui pemberitahuan SMS tanpa bisa berbuat apa-apa,” kata Alfons.

Salah satu korbannya adalah nasabah perempuan berusia 47 tahun yang merupakan aparatur sipil negara (ASN) Kementerian Agama di Tuban bernama Laidia Maryati. Laida melaporkan saldo di rekening tabungannya terkuras Rp 10 juta hingga hanya tersisa Rp 80.294.

Lewat media sosial TikTok, akun @laidiaalthof menceritakan bahwa tabungan di rekening BRI-nya dibobol. Padahal nasabah tak menyerahkan data rahasia seperti password internet banking, PIN, dan One Time Password (OTP).

"Data-data kita yang ada di BRI begitu mudah keluar tanpa kita memberikan kode atau pengisian data diri. Serapuh itukah pengamanan BRI terhadap data dan dana BRI?" ucap perempuan dalam video berdurasi 1 menit itu.

Pembobolan dana nasabah di BRI itu dilakukan lewat tautan atau link yang dikirimkan oleh pihak yang tak bertanggung jawab. Apabila nasabah mengklik tautan tersebut, kata dia, dana tabungan bisa langsung terkuras.

Baca juga: Terkini Bisnis: Penjelasan BRI Soal Uang Nasabah Raib, Daftar Perusahaan yang PHK Karyawannya

Ikuti berita terkini dari Tempo di Google News, klik di sini.