TEMPO.CO, Jakarta - Perusahaan keamanan siber Kaspersky menanggapi maraknya kasus pembobolan mobile banking atau m-banking dengan berbagai modus yang terjadi di Indonesia. Perusahaan yang berkantor pusat di Moskow, Rusia itu membeberakan data terbaru yang berkaitan dengan kasus kejahatan siber yang menargetkan sektor keuangan.

“Khusus Indonesia, berdasarkan statistik Kaspersky terbaru, total 356.786 phising (upaya mendapatkan informasi data dengan cara pengelabuan/penipuan) terkait keuangan terdeteksi dan diblokir terhadap pengguna dalam negeri selama semester I 2022,” ujar General Manager of SEA Kaspersky Yeo Siang Tiong kepada Tempo pada Senin, 30 Januari 2023.

Baca: JD.ID Tutup Jadi Trending Topic di Twitter, Ini Respons Warganet

Dari jumlah tersebut, kata dia, ada 166.857 insiden yang menargetkan sistem pembayaran. Selain itu, selama paruh pertama tahun 2022, sebanyak 20.603 pendeteksian upaya phising di dalam negeri terkait dengan perbankan online.

Menurut Yeo Siang Tiong, penjahat dunia maya mengikuti jejak uang. Sebagai sebuah industri, bank menghadapi tantangan unik dalam hal infrastruktur khusus. Bank memiliki jumlah perangkat terbesar untuk mengelola industri mana pun secara keseluruhan. Ada permintaan pelanggan yang terus berkembang dan ancaman dunia maya yang tak henti-hentinya, seperti penipuan dan phising.

Salah satu modus baru yang muncul adalah pembobolan m-banking melalui surat undangan pernikahan yang palsu. Di mana surat undangan itu sebenarnya mengandung APK (berkas aplikasi Android untuk mendistribusikan dan memasang software dan middleware ke ponsel) dari luar Play Store yang jika diinstal akan mencuri kredensial One Time Password atau OTP dari perangkat korbannya.

Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, menjelaskan ketika APK Android berbahaya ini dijalankan, sebenarnya akan muncul beberapa peringatan. Dia mencontohkan seperti menginstal aplikasi dari luar Play Store, yang sangat berbahaya dan tidak disarankan.

Saat peringatan itu diabaikan, kata dia, peringatan lain akan tetap muncul ketika memberikan akses SMS kepada aplikasi yang ingin diinstal. “Termasuk data dokumen dan foto perangkat kepada aplikasi berbahaya yang di instal tersebut,” ucap Alfons.

Namun, kemungkinan besar karena masyarakat tidak terbiasa memperhatikan peringatan saat instal aplikasi, maka aplikasi jahat pencuri data akan tetap terinstal dan menjalankan aksinya. Karena pengguna ponsel biasanya mudah sekali memberikan persetujuan (Allow) tanpa membaca dengan teliti dan mengerti akibat dari persetujuan yang diberikan.

Alfons menuturkan, sebenarnya dengan instal aplikasi jahat itu tidak cukup untuk mengakses akun mobile banking korbannya. Karena mengakses akun mobile banking membutuhkan User ID, Password M-Banking, PIN persetujuan transaksi dan OTP yang didapatkan melalui APK jahat ini.

Dia pun memberikan saran untuk mengantisipasinya. Alfons mengasumsikan, jika data pengguna m-banking ini sudah bocor, maka salah satu hal darurat yang harus dilakukan adalah segera mengganti password dan PIN persetujuan transaksi.

“Jika masih ragu, pertimbangkan untuk mengganti akun m-banking atau memilih penyedia m-banking dengan pengamanan lebih baik,” tutur dia.

Sebenarnya, Alfons berujar, jika bank menerapkan sistem dan prosedur dengan baik dan cerdik, penjahat akan kesulitan mengambil alih akun m-banking. “Sekalipun berhasil mendapatkan semua kredensial dan OTP persetujuan transaksi,” kata dia.

Baca: Cegah Bobol M-Banking, Ahli Siber Sebut OJK Punya Peran Berikan Standar Keamanan

Ikuti berita terkini dari Tempo di Google News, klik di sini.