Modus pembobolan mobile banking melalui nomor ponsel kini menjadi perbincangan hangat di internet. Oleh karena itu, pengguna diwajibkan berhati-hati dan harus kreatif dalam melindungi data pribadi.
Dalam transaksi perbankan terutama internet banking dan mobile banking, perbankan biasanya mengirimkan password khusus ke nomor ponsel yang dimiliki nasabah yang disebut OTP (One Time Password) sebagai alat verifikasi.
“Otentikasi yang umum dipakai saat ini melalui nomor ponsel. Nantinya OTP dikirimnya ke HP, misalkan bank juga kalau ada [informasi] transaksi yang mencurigakan dikirimnya ke HP,” ujar Rudi dalam kepada CNBC Indonesia, seperti dikutip Kamis (6/2/2020).
Rudi juga menjelaskan bahwa kesadaran masyarakat akan pentingnya keamanan nomor ponsel masih sangat kurang, padahal modus pencurian rekening bank melalui nomor ponsel telah merajalela saat ini.
“Para pelaku saat ini mengincar nomor ponsel. jika dia sudah bisa mengambil alih nomor ponsel atau bisa mengalihkan panggilan serta SMS. Kemudian habis sudah, mereka dapat mengakses banyak akun,” tutur Rudi.
Ada dua skema yang dipakai pencuri membobol rekening bank via nomor ponsel dengan rekayasa sosial, sebagai berikut :
1. Call Forwarding
Executive Director Indonesia ICT Institute, Heru Sutadi, menjelaskan bahwa call forwarding adalah pengalihan komunikasi telepon dari suatu nomor ponsel ke nomor ponsel lainnya.
Jadi nantinya, ketika fitur Call Forward dipakai semua panggilan yang tertuju ke nomor ponsel kita akan dialihkan ke nomor yang dituju. Oleh karena itu, pelaku memakai modus ini untuk mengambil alih nomor korban dengan tujuan membajak akun mobile banking atau yang lainnya.
Nomor ponsel saat ini memiliki peran penting dalam proses mobile banking maupun mobile payment. Karena setiap konfirmasi data pribadi pastinya perusahaan akan mengirimkan password khusus melalui nomor ponsel yang disebut OTP (One Time Password).
“Kemungkinan besar masalah terjadi karena adanya OTP yang diminta ke korban langsung melalui voice atau SMS ke nomor ponsel ponsel korban Karena kan bisa kita daftar dengan aplikasi di ponsel baru dengan memasukkan nomor dan nomor itu akan dikirimi OTP,” ujar Heru kepada CNBC.
Selain itu, Analisis Keamanan Vaksin.com, Alfons Tanujaya, menjelaskan betapa bahayanya bila kita sembarang memakai fitur Call Forward kepada orang lain.
“Kalau berhasil mengelabui korban untuk lakukan call forward atau SMS forward yah sama saja berhasil menguasai perangkat. Itu sama saja menguasai akun-akun yang diamankan dengan TFA (two factor authentication),” kata Alfons.
“Akun seperti Gopay, OVO, Tokped dan sejenisnya, internet banking, otorisasi kartu kredit itu semua akan dikuasai. Termasuk akun internet email, sosmed, Whatsapp dan lainnya yang menggunakan otorisasi lewat OTP.”
Cara mengaktifkan fitur Call Forward sendiri sebenarnya sangat sederhana, yakni dengan menekan *21* (dilanjutkan dengan nomor ponsel tujuan forward)#. Jika ada orang asing dengan iming-iming manis kepada kita untuk menekan hal tersebut, jangan pernah anda lakukan!
2. SIM Swap Fraud
CEO & Chief Digital Forensic Indonesia, Ruby Alamsyah mengungkapkan modus pembobolan mobile banking bisa dilakukan dengan cara ‘sim swap fraud’. Di mana pelaku mengaku simcard korban sebagai miliknya dan meminta operator membuatkan simcard dengan nomor yang sama.
“Kejahatan ‘SIM swap fraud’ ini utamanya membobol rekening bank korban lewat aplikasi mobile banking,” kata Ruby kepada CNBC Indonesia.
Ruby menjelaskan bahwa sebelum pelaku akhirnya berhasil membobol rekening seseorang, ada tiga tahap yang dilakukan oleh pelaku:
Pertama, pelaku melakukan pendekatan ke korban yang dinamakan “phising” atau mengelabui korban untuk mendapatkan data-data pribadi.
Modus “phising” dapat dilakukan melalui telepon menghubungi korban, SMS, maupun mengirim link palsu. Perlu diketahui, korban “phising” ini bisa secara acak atau orang tertentu yang dikejar.
“Phising ini misalnya saya sebagai pelaku mengaku dari operator bank, menelepon korban untuk verifikasi, bilang ada transaksi mencurigakan sehingga perlu tahu ‘username’ mobile banking korban,” kata Ruby.
Kedua setelah mendapatkan username tersebut, pelaku mendatangi gerai operator tertentu dan berpura-pura telah kehilangan SIM. Dengan sudah berbekal data di tahap pertama, pelaku dapat mengisi formulir untuk mendapatkan kartu SIM nomor korban.
Ketiga, setelah mendapatkan SIM, pelaku mendownload aplikasi mobile banking yang digunakan korban, menggunakan username dan password untuk login ke aplikasi tersebut. Pelaku juga bisa melakukan reset password yang nantinya kode verifikasi dikirimkan lewat SMS.
Setelah berhasil mendapatkan username dan password, pelaku hanya tinggal mendapatkan kode PIN untuk transaksi perbankan di mobile banking.
“Sudah dapat semuanya sehingga akun berhasil dikuasai. Dan ternyata setiap transaksi di bank tersebut hanya perlu OTP (one time password) saja. Saat korban sedang di luar negeri atau dalam jangkauan yang jauh dan sulit untuk bertindak cepat, saat itulah dilakukan transaksi-transaksi yang tidak diketahui korban,” jelasnya.
Dengan demikian, di tahap pertama (phishing), celahnya ada di pengguna atau nasabah. Sedangkan di tahap kedua, operator dikelabui dengan data-data yang didapat pelaku dari phishing. Di tahap terakhir, ada celah dari aplikasi yang dibobol.