TEMPO.CO, Jakarta - Pakar keamanan siber dari Communication and Information System Security Research Center (CISSReC) Pratama Persadha merespons kasus nasabah PT Bank Central Asia Tbk (BCA) yang mengaku kehilangan uang senilai Rp 68,5 juta dari rekening tabungannya. Duit nasabah itu hilang melalui transaksi Quick Response Code Indonesian Standard (QRIS) di mobile banking atau m-banking BCA.
“Jika menilik kronologi yang diceritakan oleh korban, terdapat beberapa keanehan pada kasus yang terjadi saat ini,” ujar Pratama saat dihubungi pada Selasa, 14 November 2023.
Menurut dia, pembobolan rekening bank yang sering terjadi selama ini menggunakan modus remote exploitation melalui celah keamanan yang terdapat di perangkat korban. Misalnya, peretas atau hacker mengirimkan file apk yang disamarkan atau melalui metode kloning simcard untuk mengakses aplikasi m-banking seperti yang pernah terjadi pada nasabah Bank Commonwealth Ilham Bintang.
Namun pada kasus nasabah BCA itu, korban menyatakan bahwa perangkat yang digunakan untuk m-banking adalah perangkat yang baru dibeli. Bahkan ponsel tersebut hanya di-install aplikasi m-banking dan untuk kegiatan finansial melalui mobile banking, tidak digunakan untuk kegiatan lain dan tidak diinstall aplikasi lainnya pula. Sehingga cukup kecil kemungkinan untuk terkena remote exploitation.
Ditambah lagi, pembobol rekening melalui transaksi berulang melalui QRIS yang biasanya membutuhkan akses langsung ke perangkat untuk memindai kode QR dari merchant. “Sedangkan pada saat terjadi transaksi perangkat milik korban sedang tidak dapat digunakan karena tidak ada sinyal pada saat naik gunung,” tutur Pratama.
Kemungkinan lain yang terjadi, dia berujar, pembobol menggunakan metode kloning simcard. Namun hal ini lebih sulit dilakukan, karena pelaku perlu memalsukan kartu identitas korban untuk dapat mengurus kartu simcard baru ke gerai selular. Peretas perlu memastikan perangkat korban dengan simcard lama dengan nomor yang sama juga dalam kondisi mati saat peretas melakukan aksi pembobolan rekening.
Biasanya, kata Pratama, hal itu dilakukan dengan cara menghubungi korban dan mengaku sebagai pihak operator atau aparat kepolisian yang meminta ponsel dimatikan. Sementara karena sedang dilakukan investigasi, jika simcard lama masih aktif maka simcard baru yang berhasil didapatkan peretas tidak dapat digunakan.
“Dalam kasus ini terdapat keanehan, seolah-olah pelaku mengetahui kapan ponsel korban dalam keadaan mati karena naik gunung,” ucap Pratama.
Selain itu peretas juga perlu memiliki kredensial untuk login ke aplikasi m-banking. Untuk mendapatkan data ini, pelaku harus melakukan phising atau social engineering kepada korban terlebih dulu. Setelah semua hal tadi dapat dipenuhi, baru pelaku bisa membobol rekening korban.
Selanjutnya: Namun, Pratama mengatakan, untuk saat ini semua...
