TEMPO.CO, Jakarta - Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya ikut menanggapi soal threat actor (aktor ancaman) anggota BreachForums bernama Black yang menawarkan informasi akses pada akun myBCA. Akses rekening itu dijual dengan harga mulai dari US$ 500 atau sekitar Rp 7,5 juta tergantung pada popularitas pemilik rekening dan saldo yang mereka miliki.
“Black memiliki reputasi cukup terpercaya di forum tersebut,” ujar Alfons lewat keterangan tertulis dikutip Sabtu, 29 Juli 2023.
Adapun data yang diperlukan untuk mendapatkan informasi itu hanya nomor rekening dan nama lengkap pemilik rekening. Black mengklaim melakukan itu dengan menggunakan piranti lunak tersembunyi dan orang dalam untuk mengakses data ini.
Sebagai catatan, kata Alfons, data itu hanya bisa dilihat dan peretas tidak bisa melakukan transaksi karena dilindungi oleh Token One Time Password (TOTP) guna membuktikan klaimnya. Black juga menyertakan 14 halaman tangkapan layar sebagai bukti bahwa ia memiliki akses terhadap sistem BCA.
Pada awalnya, Alfone menjelaskan, Vaksincom memperkirakan bahwa data yang diberikan adalah data palsu. “Namun setelah melakukan pengecekan lebih jauh ternyata data sampel tangkapan layar yang diberikan oleh Black bukan data palsu dan memiliki kecocokan dengan database BCA,” ucap Alfons.
Dia juga memberikan lima catatan yang bisa diambil dari data yang disebarkan oleh Black.
Pertama, data rekening-rekening myBCA yang diberikan valid dan memiliki kecocokan dengan data yang dikelola oleh bank.
Kedua, ada nasabah yang belum pernah mengakses akun myBCAnya sejak November 2022 dan akun tersebut berhasil diakses dan ditampilkan.
Ketiga, data yang berhasil diakses peretas adalah data kredensial myBCA.
Keempat, peretas mengklaim menggunakan piranti lunak tersembunyi pada sistem bank, jika klaim ini benar maka ia memiliki akses trojan pada sistem bank.
Kelima, ada kemungkinan peretas memiliki cukup banyak database kredensial myBCA.
Sebelumnya, informasi mengenai jasa login ke akun myBCA oleh Black itu beredar di Twitter. “Hari ini, saya menyediakan akses ke rekening Bank BCA manapun. Beri saya ID Akun (Nomor akun? Hanya satu angka) dan Nama Lengkap Orang,” tertulis dalam tangkapan layar threat actor yang beredar di Twitter.
Dalam unggahannya di BreachForums itu disebutkan bahwa metode yang digunakan Black adalah hidden software & insider (tergantung data yang diminta). “Kirimi saya pesan pribadi di forum ini, selain itu yang tidak saya rujuk adalah palsu,” tulis threat actor tersebut.
Belakangan, PT Bank Central Asia Tbk buka suara soal kabar adanya jasa login ke akun myBCA siapapun hanya bermodalkan nama dan nomor rekening. “Aplikasi mobile dan website myBCA hanya dapat diakses nasabah dengan menggunakan BCA ID dan password yang dibuat dan diketahui oleh nasabah sendiri,” ujar manajemen BCA lewat keterangan tertulis dikutip Sabtu.
Menurut BCA, untuk melakukan transaksi finansial di aplikasi mobile banking myBCA, nasabah harus memasukkan PIN yang hanya diketahui oleh nasabah. Adapun untuk melakukan transaksi finansial di website myBCA, nasabah harus memasukkan One Time Password (OTP) dari token KeyBCA.
“Hingga saat ini tidak ada nasabah yang mengalami kerugian finansial di tengah ramainya informasi hoax dan klaim oleh pihak-pihak yang tidak bertanggung jawab,” kata BCA.
Pilihan Editor: BCA Buka Suara soal Kabar Jasa Login ke Akun myBCA Tarif Mulai Rp 7,5 Juta