TEMPO.CO, Jakarta - Nasabah Bank Syariah Indonesia (BSI) kembali jadi sasaran phishing lewat trik perubahan biaya transaksi menjadi Rp 150.000. Trik phishing atau upaya mendapatkan informasi data seseorang dengan teknik pengelabuan semacam ini menurut pakar keamanan siber dari Vaksincom, Alfons Tanujaya biasa menyasar bank-bank yang belum menerapkan pengamanan akun m-banking dengan baik.
"Dan terlalu mengandalkan pada perlindungan TFA melalui SMS yang rentan eksploitasi dan bisa dibobol dengan mudah melalui metode phishing simpel," kata Alfons lewat keterangan tertulis, Senin, 3 Juni 2024.
Sebetulnya menurut Alfons, penipuan semacam ini bisa diantisipasi kalau ada verifikasi tambahan tiap kali akun m-banking diakses dari gawai atau nomor ponsel yang berbeda. Besar kemungkinan menurut Alfons, para penipu akan menghindari bank-bank yang sudah menerapkan verifikasi tambahan semacam itu.
Alfons menambahkan, kalau proses install atau memasang ulang aplikasi m-banking saat ada pergantian ponsel atau nomor begitu mudah, misal hanya menggunakan SMS OTP, itu mengindikasikan m-banking tidak aman. "Tak menyarankan menggunakan m-banking bank itu,” kata dia.
Sebaliknya, jika nsabah memasang ulang aplikasi karena ada pergantian ponsel atau nomor dan harus menghubungi layanan pelanggan untuk aktivasi ulang, layanan tersebut menurut Alfons cenderung lebih aman. "Dengan catatan jangan sampai kode pergantian ponsel yang anda dapatkan anda berikan kepihak lain dengan alasan apapun."
Kasus Phishing BSI
Saat menjalankan trik penipuan semacam ini, Alfons mengatakan, penipu bakal memalsukan profil bank dengan mencatut profil gedung atau logo bank dan mengirimkan pesan Whatsapp dengan pesan tertentu. Opsi yang ditawarkan dalam pesan tersebut, misal meminta nasabah menyetujui atau menolak tawaran, berikutnya akan diarahkan ke tautan situs phishing yang telah disiapkan.
Dalam kasus phishing BSI baru-baru ini, calon korban akan diarahkan ke situs dengan alamat http://bc.tc/Konfirmasi-tarif-BSI. Jika diklik akan menuju ke situs phising yang telah dipersiapkan di konfirmasi-perubahan-tarif.c1.is/BSI/.
Jika tautan tersebut diklik, situs bakal menunjukkan tampilan serupa milik BSI. Kemudian, korban akan diminta memasukkan nomor rekening dan saldo terakhir tabungan. Lalu, penipu akan mengelabui korban untuk memasukkan angka dari token OTP yang dikirimkan bank. Begitu token ini dimasukkan, penipu bisa mengambilalih akun m-banking korbannya.
Jika nasabah menerima pesan penipuan semacam ini melalui pesan seperti WhatsApp, Alfons menyarankan untuk melaporkan nomor penipu ke https://aduannomor.id/ yang dikelola Kominfo dan melakukan crowdsourcing dengan melabeli nomor penipuan pada aplikasi pengecek nomor seperti Truecaller.