Viral Pembobolan M-Banking Akibat Link Phishing: Uang Rp 16,4 Juta Raib

Phishing berhasil membobol M-Banking, bagaimana mitigasinya?

KARAWANG -- Fenomena pembobolan rekening bank memang sering terjadi di Indonesia dan dilakukan dalam berbagai cara. Namun, kini aksi pembobolan bank semakin canggih akibat perkembangan teknologi dan meningkatnya kemampuan para peretas dalam dunia siber. Contoh aksi fenomenal pembobolan ini berupa phishing attack pada akun Mobile Banking milik sahabat pemilik akun Tiktok @callme_syu.

Sebuah video Tiktok unggahan @callme_syu menjadi viral karena memperlihatkan seorang wanita menangis akibat akun Mobile Banking miliknya dibobol dan ia kehilangan uangnya senilai Rp 16,4 juta. (16/05/22) Pemilik akun Tiktok @callme_syu yang merupakan sahabat dari wanita ini menguatkan korban dan mengatakan bahwa kejadian phishing attack harus menjadi pelajaran. Lalu, bagaimana peristiwa phishing attack terjadi? Bagaimana cara mencegahnya?

Pemilik akun @callme_syu menjelaskan aksi pembobolan akun Mobile Banking sahabatnya dimulai sejak korban menerima pesan atau telepon berisi perintah pembaruan biaya tranksasi melalui link phishing dari pelaku yang mengatasnamakan Bank B*I. Lalu, korban meng-klik link dan mengisi beberapa pertanyaan tentang data sensitif. Akibatnya, pelaku berhasil membobol akun Mobile Banking milik korban, sedangkan korban kehilangan uangnya senilai Rp 16,4 juta dalam sekejap. Hal itu diketahuinya ketika ia menerima bukti tranksasi uang. (Suarajogja.id, 17/05/2022)

Berdasarkan contoh kasus tersebut, saya berpandangan bahwa korban tidak menyadari adanya phishing attack yang berakibat pembobolan bank sejak menerima pesan atau telepon dari phisher (pelaku phishing). Korban kurang menaruh rasa kecurigaan terhadap pelaku yang menelepon terkait pembaruan biaya tranksasi hingga memasukkan data sensitif melalui link. Hal ini bisa disebabkan oleh minimnya pengetahuan dan kesadaran korban terkait modus penipuan berupa phishing yang mengatasnamakan bank, serta kurang memahami syarat dan ketentuan transaksi dalam Mobile Banking.

Mobile Banking adalah fasilitas bertransaksi secara online melalui smartphone pribadi nasabah. Penggunaan Mobile Banking yang relatif lebih efisien pastinya menarik minat nasabah untuk menggunakannya. Namun sayangnya, pengetahuan nasabah terkait ancaman penipuan dalam penggunaannya masih minim.

Penggunaan Mobile Banking sebagai bentuk kecanggihan teknologi yang mempunyai sifat borderless, yaitu tidak mengenal batas-batas teritori sebuah negara tetap menjadi tantangan dan ancaman yang diwaspadai bagi nasabah. Pengamat IT, Rudi Adianto pun menjelaskan bahwa pembobolan Mobile Banking yang sudah mempunyai sistem bullet proof atau anti bobol bisa saja terjadi apabila nasabah mudah dimanipulasi (cnbcindonesia.com, 11/01/2020).

Bentuk manipulasi tersebut adalah cyber crime berupa phishing pada Mobile Banking wanita di dalam video. Selain phishing pada Mobile Banking seperti dalam video, cyber crime dengan teknik phishing juga dapat dilakukan dalam bentuk e-mail spoofing, pengiriman berbasis web, pesan instan (chatting), trojan hosts, malware phishing, dan dropbox phishing.

Phishing dan Proses Kerjanya

Phishing adalah contoh kejahatan siber terpopuler yang terjadi di kalangan masyarakat siber. Berdasarkan data Pengelola Nama Domain Internet Indonesia (Pandi), kasus phishing pada Januari-Maret 2022 telah terjadi sebanyak 3.180 kasus, yang di antaranya 50% mengincar lembaga keuangan, 27% mengincar e-commerce, dan 11% mengincar sektor pengelolaan aset kripto. Pada Maret 2022 tercatat ada 1.037 laporan phishing. Jumlah kasus tersebut tergolong besar dan perlu penanganan lebih optimal agar tidak lagi merugikan masyarakat. (Investor.id, 27/03/2022)

Phishing dilakukan phisher (pelaku kriminal phishing) yang menyusup sebagai lembaga terpercaya dengan teknik rekayasa sosial untuk memperoleh informasi sensitif seperti password, username, dan rincian kartu kredit (Radiansyah, I., dkk., 2016:2). Tujuannya adalah untuk mengambil alih akun korban secara ilegal demi keuntungan pribadinya (Parulian, S., dkk. 2021:90).

Kaspersky menjelaskan bahwa phisher membuat pemberitahuan palsu dalam bentuk salinan seperti pesan yang sesungguhnya. Isi pesan tersebut tidak beraturan dari penggunaan bahasanya dan logika yang terlihat meragukan. Selain itu, phisher sering menggunakan imajinasinya demi mengakses sistem internal. (JawaPos.com, 15/03/2022)

Keberhasilan aksi phisher dijelaskan oleh Jason Hong dalam karyanya yang berjudul "The State of Phishing Attacks". Pertama, calon korban menerima pesan umpan. Kedua, korban bertindak sesuai pesan dan bergerak ke situs web palsu, install malware secara tidak sadar, atau membalas pesan dengan informasi data sensitif. Ketiga, phisher berhasil memonetisasi informasi yang dicuri. (Tirto.id, 21/04/2019)

Mengapa Korban Terjerat Phishing? 

Phishing adalah cyber crime terpopuler yang memanipulasi psikologis korban agar korban membocorkan informasi. Phishing umumnya menyerang ketidaktelitian korbannya dengan cara membuat korban merasa was-was. (Tirto.id, 21/04/2019)

Selain itu, korban dapat dianggap lalai, mengabaikan edukasi peraturan oleh pihak terkait, dan minim pengetahuan akan pentingnya menjaga keamanan data. Dhamija, dkk. (2006) menyatakan bahwa korban dianggap kurang mampu membedakan domain yang resmi dan palsu (Radiansyah, I., dkk., 2016:4).

Mohammad, dkk. (2015) menegaskan bahwa korban tidak mempunyai strategi yang baik dalam mengidentifikasi phishing attack, hanya terfokus pada konten dibandingkan indikator pada website, dan tidak mengetahui prosedur layanan online yang digunakan oleh pihak terkait sehingga terjebak oleh pesan umpan palsu dari phisher (Radiansyah, I., dkk., 2016:5). Sifat naif dan terlalu tergiur dengan pesan umpan dari phisher juga menjadi titik terlemah bagi korban.

Bagaimana Cara Mencegah Terjerat Kasus Phishing?

Untuk mencegah hal ini terjadi, pengguna, pihak terkait seperti bank, dan pemerintah harus turut andil dalam melakukan berbagai mitigasi.

Pencegahan oleh Pengguna 

• Lebih waspada dengan tidak sembarangan membuka link. (Tirto.id, 21/04/2019)
• Jangan sembarangan membagikan sandi atau kode rahasia terkait akun pribadi Anda. (Tirto.id, 21/04/2019)
• Abaikan pesan umpan yang berisi proses transaksi dan perubahan password apabila tidak merasa melakukannya. (Tirto.id, 21/04/2019)
• Giat mencari informasi terbaru terkait kasus cyber crime dan domain resmi atau palsu.
• Sering mengubah dan menggunakan password yang berbeda di setiap akun.
• Gunakan perangkat lunak anti-phishing untuk mendeteksi situs palsu pada perangkat keras.
• Identifikasi awal setiap informasi dalam akun dengan memastikannya di akun resmi. Pastikan alamat website yang diakses menggunakan https bukan http. Jika https maka alamat website tersebut aman, namun tetap pastikan nama website yang dituju benar, resmi, dan tidak ada typo, serta domain website yang dipakai secara umum dan legal menggunakan "com, edu" atau "go.id" bagi negara Indonesia (Kusnadi, S. A., 2021 dalam Parulian, S., dkk. 2021:90)
• Jangan abai untuk membaca syarat dan ketentuan setiap login akun ataupun situs.
• Jangan ragu untuk menghubungi pihak terkait dan berwenang apabila ada kecurigaan phishing attack.

Pencegahan oleh Pihak Terkait Seperti Bank

• Memberikan edukasi terkait ancaman merugikan bagi pengguna.
• Meningkatkan sistem keamanan pada produk atau jasa layanan konsumen.
• Gunakan sistem one time password.
• Memperkuat manajemen risiko dalam pemanfaatan layanan digital.

Pencegahan oleh Pemerintah

• Memperkuat aturan perundang-undangan tentang pencurian data pribadi. (Parulian, S., dkk. 2021:91)
• Meningkatkan kerja sama, baik bilateral maupun multilateral terkait keamanan siber. Kerja sama antara pemerintah dengan pihak swasta diharapkan dapat meningkatkan pertumbuhan ekonomi dan teknologi keamanan siber. (Parulian, S., dkk. 2021:91)
• Meningkatkan anggaran guna peningkatan cyber security maupun penanganan tindak pidana siber. (Christianingrum, R. & Ade N. A. 2021:11)
• Edukasi sejak dini mengenai kesadaran cyber security dan membentuk etika pengubahan kata sandi ketika terjadi kebocoran data. (Christianingrum, R. & Ade N. A. 2021:11)
• Mempercepat pengaturan regulasi keamanan siber. (Christianingrum, R. & Ade N. A. 2021:11)
• Mengajak kerja sama universitas dalam melahirkan sumber daya manusia yang berkompetensi dan unggul terutama dalam bidang siber. (Christianingrum, R. & Ade N. A. 2021:11)
• Mendorong start up untuk melahirkan perangkat teknologi bidang keamanan siber dalam negeri. (Christianingrum, R. & Ade N. A. 2021:11)
• Meningkatkan sinergitas antar kominfo dan kepolisian dalam penanganan tindak pidana siber. (Christianingrum, R. & Ade N. A. 2021:11)

Dengan demikian, phishing attack yang berakibat kerentanan peretasan sistem, data, jaringan, dan program (software), serta kerugian finansial dan data privasi pengguna merupakan masalah pokok yang tidak boleh diabaikan. Oleh karena itu, setiap pengguna, pihak terkait seperti bank, dan pemerintah wajib selalu waspada phishing attack dan melakukan pencegahan demi menjaga keutuhan data dan mencegah data disalahgunakan oleh phisher.

Daftar Pustaka

Budiansyah, A. 2020. Ini Tips Agar Mobile Banking Aman, Tak Dibobol Via Nomor HP. Cnbcindonesia.com. https://www.cnbcindonesia.com/tech/20200122100853-37-131807/ini-tips-agar-mobile-banking-aman-tak-dibobol-via-nomor-hp

Christianingrum, R. & Ade N. A. 2021. Tantangan Penguatan Keamanan Siber dalam Menjaga Stabilitas Keamanan Nasional. Puskajianggaran.dpr.go.id. https://puskajianggaran.dpr.go.id/produk/detail-analisis-apbn/id/65   

Investor Daily. 2022. Kuartal I-2022, Ada Lebih dari 3.000 Serangan Phising di Indonesia. Investor.id. https://investor.id/it-and-telecommunication/288425/kuartal-i2022-ada-lebih-dari-3000-serangan-phishing-di-indonesia

JawaPos.com. 2022. Waspada Phising Notifikasi Palsu, Kenali Ciri-Cirinya. JawaPos.com. https://www.jawapos.com/oto-dan-tekno/teknologi/15/03/2022/waspada-phising-notifikasi-palsu-kenali-ciri-cirinya/

Parulian, S., dkk. 2021. Ancaman dan Solusi Serangan Siber di Indonesia. TELNECT: Telecommunications, Networks, Electronics, and Computer Technologies, 1(2). 85-92. 

Priatmojo, G. 2022. Akun M-Banking Wanita Ini Dibobol Penipu, Uang Rp 16,4 Juta Raib dalam Sekejap. Suarajogja.id. https://jogja.suara.com/amp/read/2022/05/17/173421/akun-m-banking-wanita-ini-dibobol-penipu-uang-rp164-juta-raib-dalam-sekejap

Radiansyah, I., dkk. 2016. Analisis Ancaman Phishing dalam Layanan Online Banking. Ekonomika-Bisnis, 7(1), 1-14.

Tiktok. 2022. https://vt.tiktok.com/ZSdXn7CSU/?k=1 

Zaenudin, A. 2019. Phising, Penipuan yang Mengancam Semua Akun Digital. Tirto.id. https://tirto.id/phishing-penipuan-yang-mengancam-semua-akun-digital-dmcS

Penulis: Ni Luh Putu Kintania Marsha Diva/Mahasiswa Universitas Singaperbangsa Karawang

Dokpri