Baca berita dengan sedikit iklan, klik disini
TEMPO.CO, Jakarta - Pakar keamanan siber dari Communication and Information System Security Research Center (CISSReC) Pratama Persadha merespons kasus nasabah PT Bank Central Asia Tbk (BCA) yang mengaku kehilangan uang senilai Rp 68,5 juta dari rekening tabungannya. Duit nasabah itu hilang melalui transaksi Quick Response Code Indonesian Standard (QRIS) di mobile banking atau m-banking BCA.
Baca berita dengan sedikit iklan, klik disini
“Jika menilik kronologi yang diceritakan oleh korban, terdapat beberapa keanehan pada kasus yang terjadi saat ini,” ujar Pratama saat dihubungi pada Selasa, 14 November 2023.
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik disini
Menurut dia, pembobolan rekening bank yang sering terjadi selama ini menggunakan modus remote exploitation melalui celah keamanan yang terdapat di perangkat korban. Misalnya, peretas atau hacker mengirimkan file apk yang disamarkan atau melalui metode kloning simcard untuk mengakses aplikasi m-banking seperti yang pernah terjadi pada nasabah Bank Commonwealth Ilham Bintang.
Namun pada kasus nasabah BCA itu, korban menyatakan bahwa perangkat yang digunakan untuk m-banking adalah perangkat yang baru dibeli. Bahkan ponsel tersebut hanya di-install aplikasi m-banking dan untuk kegiatan finansial melalui mobile banking, tidak digunakan untuk kegiatan lain dan tidak diinstall aplikasi lainnya pula. Sehingga cukup kecil kemungkinan untuk terkena remote exploitation.
Ditambah lagi, pembobol rekening melalui transaksi berulang melalui QRIS yang biasanya membutuhkan akses langsung ke perangkat untuk memindai kode QR dari merchant. “Sedangkan pada saat terjadi transaksi perangkat milik korban sedang tidak dapat digunakan karena tidak ada sinyal pada saat naik gunung,” tutur Pratama.
Kemungkinan lain yang terjadi, dia berujar, pembobol menggunakan metode kloning simcard. Namun hal ini lebih sulit dilakukan, karena pelaku perlu memalsukan kartu identitas korban untuk dapat mengurus kartu simcard baru ke gerai selular. Peretas perlu memastikan perangkat korban dengan simcard lama dengan nomor yang sama juga dalam kondisi mati saat peretas melakukan aksi pembobolan rekening.
Biasanya, kata Pratama, hal itu dilakukan dengan cara menghubungi korban dan mengaku sebagai pihak operator atau aparat kepolisian yang meminta ponsel dimatikan. Sementara karena sedang dilakukan investigasi, jika simcard lama masih aktif maka simcard baru yang berhasil didapatkan peretas tidak dapat digunakan.
“Dalam kasus ini terdapat keanehan, seolah-olah pelaku mengetahui kapan ponsel korban dalam keadaan mati karena naik gunung,” ucap Pratama.
Selain itu peretas juga perlu memiliki kredensial untuk login ke aplikasi m-banking. Untuk mendapatkan data ini, pelaku harus melakukan phising atau social engineering kepada korban terlebih dulu. Setelah semua hal tadi dapat dipenuhi, baru pelaku bisa membobol rekening korban.
Selanjutnya: Namun, Pratama mengatakan, untuk saat ini semua...
Namun, Pratama mengatakan, untuk saat ini semua pihak hanya bisa menunggu hasil investigasi resmi dari pihak BCA. Karena jika pembobolan dilakukan melalui aplikasi m-banking, data yang diperlukan untuk melakukan investigasi seharusnya cukup banyak. Ia menyebut seharusnya ada data lokasi pada saat aplikasi m-banking dipergunakan.
“Selain itu juga seharusnya terdapat data-data lainya seperti perangkat apa yang dipergunakan, IMEI (International Mobile Equipment Identity), MSISDN (Mobile Subscriber Integrated Services Digital Network Number), dan sebagainya, yang akan memudahkan pihak BCA untuk melakukan investigasi,” kata Pratama.
Sebelumnya, salah satu nasabah BCA bernama Evita menceritakan pengalamannya kehilangan uang senilai Rp 68,5 juta dari rekening tabungannya. Laporan kehilangan ini pertama kali dibagikan oleh seorang YouTuber, yakni Mr Bert.
Dalam video itu, Evita membeberkan transaksi janggal telah dilakukan sejak 23 September hingga 26 September 2023 melalui QR Code. Transaksi ini dilakukan secara berulang dengan nominal tiap kali transaksi Rp 1 juta. Data tersebut baru diketahui Evita usai menghubungi BCA.
“Saya tuh kehilangan saldo di bank BCA melalui mbanking BCA sebesar Rp 68,5 juta. Saya tahunya 26 September malam, mau transfer lewat mbanking itu saldo saya kurang. Terus saya cek saldo ternyata tinggal Rp 10 juta sekian,” ujarnya melalui unggahan Youtube Mr Bert, dikutip Tempo, Senin, 13 November 2023.
Kemudian, wanita asal Jawa Tengah itu mengaku langsung menghubungi pihak perbankan bersangkutan, HaloBCA. Ia menghubungi HaloBCA untuk meminta pemblokiran rekening dengan alasan terkena pembajakan.
Sementara itu, BCA mengatakan pihaknya sedang melakukan penelusuran lebih lanjut terkait kasus ini. “Sehubungan dengan kejadian yang menimpa salah satu nasabah di Salatiga, dapat kami sampaikan bahwa saat ini kami masih melakukan investigasi lebih lanjut,” ujar Hera ketika dihubungi kemarin.
MOH KHORY ALFARIZI | DEFARA DHANYA PARAMITHA
Foto 
