TEMPO.CO, Jakarta - Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, memberikan sejumlah tips agar terhindar dari modus pembobolan saldo rekening bank, soceng alias social engineering. Modus tersebut merupakan yang paling umum digunakan untuk para penjahat untuk mengambil duit di dalam rekening.

Menurut Alfons, penipu biasanya menggunakan soceng yang menyaru sebagai pejabat bank, kemudian menggiring korbannya memberikan kode OTP untuk persetujuan transaksi. Teknik terbaru, kata dia, cukup mengejutkan karena pilihan socengnya tidak terduga dan tidak berhubungan langsung dengan layanan finansial/ bank yang diincar.

Baca: Waspada Penguras Saldo Rekening dengan Modus Soceng Mobile Banking, Apa Itu?

“Namun hasil akhirnya tetap berhasil mengelabui korbannya dan berhasil menguras rekening bank korbannya sampai ratusan juta rupiah,” ujar Alfons lewat keterangan tertulis yang dikutip pada Rabu, 30 November 2022.

Pilihan soceng yang digunakan, Alfons berujar, adalah memalsukan diri sebagai aplikasi pelacakan paket kurir. Korban dikelabui bahwa ia mendapatkan pengiriman paket dan untuk melacak paket tersebut ia perlu menjalankan aplikasi yang dikirimkan.

“Padahal aplikasi yang dikirim tersebut jika dijalankan akan mencuri SMS OTP ponsel yang diincar,” tutur Alfons.

Lalu, apa yang harus dilakukan oleh nasabah dan bank untuk mengamankan mobile banking-nya? Alfons memberikan tiga hal agar terhindari dari modus tersebut.

Pertama, nasabah pengguna mobile banking jangan pernah menginstal aplikasi apapun yang tidak diketahui keamanannya. Aplikasi dari Play Store saja yang pada awalnya aman, kata dia, ketika melakukan update bisa disusupi program jahat. “Apalagi aplikasi di luar Play Store yang tidak diawasi oleh Google,” tutur dia.

Kedua, Alfons melanjutkan, jika sering menggunakan mobile banking dan saldo di bank signifikan, ada baiknya mempertimbangkan menggunakan ponsel yang berbeda. Untuk mobile banking yang nomor telepon yang digunakan tidak diberikan kepada umum dan ponselnya tidak sembarangan di instal aplikasi atau di-install aplikasi yang sangat terbatas.

“Ketiga, pastikan penyedia mobile banking yang Anda gunakan memiliki pengamanan transaksi yang mumpuni,” ucap Alfons.

Selanjutnya: Dia menjelaskan, jika sistem ...

<!--more-->

Seharusnya, dia menjelaskan, jika sistem dan prosedur pengamanan mobile banking yang baik diterapkan, sekalipun username, PIN transaksi dan OTP berhasil dikuasai oleh penipu. Akun mobile banking masih tetap aman, karena untuk perpindahan akun mobile banking ke perangkat lain harus melewati verifikasi yang sangat ketat.

“Dan bisa mencegah penipu mengambil alih akun mobile banking,” tutur dia.

Alfons juga mengingatkan bahwa tidak selalu perangkat canggih dan mahal yang dapat memenangkan ‘pertempuran’ di lapangan. Justru kelihaian pengguna senjata dan kecerdikannya mengeksploitasi kelemahan korbannya sangat menentukan dalam keberhasilan.

Menurut dia, hal itu juga terjadi pada pengamanan internet banking yang celakanya ketika merambah mobile banking malah pengamanan OTP dengan token ditinggalkan. Kemudian beralih ke pengamanan dengan PIN dan Password transaksi saja tanpa OTP karena alasan kepraktisan dan kemudahan.

Pengamanan dengan OTP hanya dilakukan ketika ingin mengganti perangkat mobile banking. Itu pun, kata Alfons, hanya mengandalkan OTP SMS yang secara teknis lebih lemah dan mudah disadap dibandingkan dengan OTP aplikasi Authenticator atau token.

“Celakanya, pihak penyedia layanan mobile banking tidak menambahkan verifikasi tambahan untuk mencegah pengambilalihan akun bank jika OTP yang lemah tersebut bocor,” kata Alfons.

Hal ini memungkinkan terjadinya pengambilalihan akun oleh kriminal yang mampu mengakses OTP SMS tadi. Kemudian menjalankan aksinya menguras akun korban yang berhasil di eksploitasinya.

Sebenarnya pengamanan transaksi perbankan sudah mencapai tingkat yang secara teknis sulit dieksploitasi karena menggunakan OTP One Time Password atau password sekali pakai. Tetapi, menurut Alfons, bukan berarti bahwa pengamanan transaksi sudah terjamin dan tidak mungkin di bobol lagi. “Ada titik lemah dari pengamanan transaksi, yaitu pengguna akhir atau end user yang awam dan pengamanannya berada di luar kendali penyedia layanan,” ujar Alfons.

Baca juga: Tabungan Nasabah BRI Raib Rp 10 Juta, Ini Sebab Bank Tak Menggantinya

Ikuti berita terkini dari Tempo di Google News, klik di sini.