Waspada! Begini Modus Pembobol M-Banking Kuasai Akun Rekening

Tersangka pembobol m-banking yang diringkus Polda Kepri.

Batam - Kepolisian Daerah Kepulauan Riau membongkar praktik kejahatan siber berupa pembobolan mobile banking. Komplotan yang terdiri dari tiga orang berhasil diringkus di Sumatera Selatan.

Modus sindikat penguras rekening ini ternyata sangat sederhana dan tak perlu menggunakan software canggih.

Menurut Wakil Direktur Reserse Kriminal Khusus Polda Kepri, AKBP Nugroho Agus Setiawan, modus yang dilakukan oleh tersangka adalah dengan cara melaporkan dengan kuasa palsu kepada provider telepon.

Mereka mengaku bahwa handphone yang digunakannya telah hilang dan nomor handphone tersebut akan dihidupkan kembali. Dimana data yang didapatkan oleh tersangka berdasarkan data acak atau random.

“Setelah nomor handphone dikuasai dan dapat dihidupkan kembali, segala bentuk akses dapat dioperasikan termasuk dengan akses Internet Banking milik korbannya,” ujar Nugroho saat konferensi pers di Mapolda Kepri, Selasa (30/6/2020).

Setelah menguasai segala akses, kemudian tersangka mengoperasikan Internet Banking milik korban berinisal J dengan cara mentransfer uang yang ada di rekening pemilik kepada beberapa rekening milik tersangka. 

"Para tersangka ini merupakan pemain lama yang tergabung didalam sindikat ini. Kerugian yang dialami korban mencapai Rp. 415.596.464,” kata Nugroho.

Dua Modus Pembobolan Rekening

 

Sementara itu, mengutip cnbcindonesia, setidaknya ada dua cara yang bisa dilakukan para pelaku pembobolan rekening.

Executive Director Indonesia ICT Institute, Heru Sutadi, menjelaskan cara pertama yang dilakukan call forwarding. Metode ini adalah pengalihan komunikasi telepon dari suatu nomor ponsel ke nomor ponsel lainnya.

Jadi nantinya, ketika fitur Call Forward dipakai semua panggilan yang tertuju ke nomor ponsel kita akan dialihkan ke nomor yang dituju. Oleh karena itu, pelaku memakai modus ini untuk mengambil alih nomor korban dengan tujuan membajak akun mobile banking atau yang lainnya.

Seperti yang telah diketahui, nomor ponsel saat ini memiliki peran penting dalam proses mobile banking maupun mobile payment. Karena setiap konfirmasi data pribadi pastinya perusahaan akan mengirimkan password khusus melalui nomor ponsel yang disebut OTP (One Time Password).

"Kemungkinan besar masalah terjadi karena adanya OTP yang diminta ke korban langsung melalui voice atau SMS ke nomor ponsel ponsel korban Karena kan bisa kita daftar dengan aplikasi di ponsel baru dengan memasukkan nomor dan nomor itu akan dikirimi OTP," ujar Heru.

Sedangkan cara kedua seperti dilakukan oleh komplotan yang diringkus Polda Kepri yakni metode SIM swap fraud yakni mengaku Simcard korban sebagai miliknya dan meminta operator membuatkan simcard dengan nomor yang sama.

Modus Phising

 

CEO & Chief Digital Forensic Indonesia, Ruby Alamsyah menjelaskan bahwa sebelum pelaku akhirnya berhasil membobol rekening seseorang, ada tiga tahap yang dilakukan oleh pelaku :

Pertama, pelaku melakukan pendekatan ke korban yang dinamakan "phising" atau mengelabui korban untuk mendapatkan data-data pribadi.

Modus "phising" dapat dilakukan melalui telepon menghubungi korban, SMS, maupun mengirim link palsu. Perlu diketahui, korban "phising" ini bisa secara acak atau orang tertentu yang dikejar. Dalam kasus Ilham Bintang ini, modus tersebut belum bisa dipastikan.

"Phising ini misalnya saya sebagai pelaku mengaku dari operator bank, menelepon korban untuk verifikasi, bilang ada transaksi mencurigakan sehingga perlu tahu 'username' mobile banking korban," kata Ruby.

Kedua setelah mendapatkan username tersebut, pelaku mendatangi gerai operator tertentu dan berpura-pura telah kehilangan SIM. Dengan sudah berbekal data di tahap pertama, pelaku dapat mengisi formulir untuk mendapatkan kartu SIM nomor korban.

Ketiga, setelah mendapatkan SIM, pelaku mendownload aplikasi mobile banking yang digunakan korban, menggunakan username dan password untuk login ke aplikasi tersebut. Pelaku juga bisa melakukan reset password yang nantinya kode verifikasi dikirimkan lewat SMS.

Setelah berhasil mendapatkan username dan password, pelaku hanya tinggal mendapatkan kode PIN untuk transaksi perbankan di mobile banking.

"Sudah dapat semuanya sehingga akun berhasil dikuasai. Dan ternyata setiap transaksi di bank tersebut hanya perlu OTP (one time password) saja. Saat korban sedang di luar negeri atau dalam jangkauan yang jauh dan sulit untuk bertindak cepat, saat itulah dilakukan transaksi-transaksi yang tidak diketahui korban," terangnya.

Dengan demikian, di tahap pertama (phising), celahnya ada di pengguna atau nasabah. Sedangkan di tahap kedua, operator dikelabui dengan data-data yang didapat pelaku dari phising. Di tahap terakhir, ada celah dari aplikasi yang dibobol.

(ude)