Dua kasus siber dikatakan telah menimpa Bank of Central Asia (BCA) dalam satu minggu terakhir, meski semuanya dibantah keras. Di bawah ini adalah rincian dari setiap kasus tersebut.
Selama bulan Juli, selain insiden BCA, setidaknya ada dua insiden serangan siber besar berupa kebocoran data. Khususnya, data paspor di Departemen Umum Imigrasi dan data di Departemen Umum Kependudukan dan Kependudukan (Dukcapil) Kementerian Dalam Negeri (Kemendagri).
Yang satu membenarkan dan yang lain selalu menyangkal. President CISSReC Cybersecurity Research Institute Pratama Persadha mengungkapkan, kebocoran data masih terjadi karena belum adanya Personal Data Protection Authority (PDP).
Menurutnya, kehadiran instansi ini akan berimplikasi pada perhatian pengelola data terhadap keamanan data pribadi.
Sekarang, ada dua kasus serangan siber lagi terhadap BCA. Bank swasta terbesar di Indonesia itu dikabarkan diretas akibat kebocoran data dan dugaan virus. Berikut detailnya:
Diduga data bocor berjumlah 6,4 juta data
Hingga 6,4 juta data pengguna kartu kredit BCA bocor pada 22 Juli dan dijual ke forum hacker. Data ini meliputi alamat, nomor ponsel dan data lainnya.
"Seorang pengguna di forum hacker mengaku menjual database pengguna kartu kredit BankBCA. Sampel yang disediakan berisi alamat, email, nomor telepon, dan lain-lain," kata akun Twitter @FalconFeedsio hari ini, Senin (24/7).
Tangkapan layar yang dia unggah menunjukkan data yang dijual ke BreachForums, sebuah forum di seluruh dunia bagi para peretas untuk memperdagangkan atau membocorkan data yang diretas secara gratis.
Menanggapi kejadian tersebut, EVP Corporate Communications & Social Responsibility BCA Hera F. Harry membantah. BCA pun melakukan pengecekan untuk memastikan.
"Sehubungan dengan informasi yang beredar yang diklaim sebagai data kartu kredit dari BCA, dapat kami sampaikan bahwa kami telah melakukan pengecekan, dan data yang diklaim beredar tersebut berbeda dengan data yang dimiliki oleh BCA," ujarnya dalam keterangan resmi.
Hera memastikan BCA selalu melindungi data dengan menerapkan kebijakan dan standar keamanan berlapis, serta mitigasi risiko yang diperlukan untuk menjaga keamanan data dan teknis transaksi nasabah.
Ia menambahkan, seluruh strategi dan penerapan standar keamanan dievaluasi dan dimutakhirkan secara berkala terkait dengan evolusi keamanan siber dan transaksi digital.
"Hal ini merupakan bentuk komitmen BCA untuk senantiasa memberikan keamanan dan kenyamanan bagi nasabah BCA dalam memanfaatkan fasilitas perbankan BCA," kata Hera.
Virus mencurigakan di aplikasi
Modus penipuan terbaru di aplikasi BCA Mobile hadir dalam bentuk pesan pop-up yang disebut-sebut dapat menguras isi rekening viral di media sosial.
"Ditemukan 1 virus. Mohon segera dihapus (ditemukan 1 virus, mohon segera dihapus)", begitu bunyi pernyataan yang muncul saat membuka BCA mobile pada gambar yang diunggah akun @rusuhKoRn yang diunggah pada 24 Juli lalu.
Pop up itu juga menunjukkan opsi untuk menghapus atau keluar dari tampilan aplikasi.
Pesan pop-up tersebut menjelaskan bahwa virus yang masuk ke smartphone pengguna adalah Trojan melalui aplikasi Picsart. Virus ini dapat membuat perangkat dapat diakses oleh aplikasi jarak jauh tanpa izin.
"Jika M-Banking kamu muncul seperti ini, jangan sekali-kali diklik untuk hapus virus, karna saldo kamu akan terkuras. Biarkan sehari atau 2 hari kemudian tampilan virus nya akan hilang dg sendirinya dan M-Banking akan bisa dibuka kembali," akun itu men-tweet.
Akun Twitter tersebut kemudian mengkonfirmasi dugaan skema penipuan tersebut ke Bank BCA. Akun resmi BCA juga menanggapi dan menyarankan agar tidak mengklik apa pun ketika pesan seperti itu muncul.
"Kami mengimbau nasabah untuk tidak mengklik apapun yang muncul di pesan tersebut," kata BCA melalui akun Twitternya.
Jika terlanjur klik, BCA sarankan untuk segera uninstall aplikasi BCA Mobile dan hubungi Halo BCA melalui 1500888 atau aplikasi haloBCA.
Sementara itu, Executive Chairman PT Bank Central Asia Tbk Jahja Setiaatmadja mengatakan, pihaknya belum menerima laporan adanya nasabah yang hilang akibat pop-up notifikasi tersebut.
Ia pun menilai masalah tersebut direkayasa, yakni hoaks yang diposting di media sosial.
"Saya pikir itu adalah kreasi media sosial, menakut-nakuti pelanggan dan membuat mereka pusing," Jahja dikutip Antara.
Namun, pakar keamanan siber Yudhi Kukuh dari AwanPintar.id mengungkapkan bahwa potensi mode phishing di aplikasi BCA Mobile mirip dengan mode Android Package Kit (APK, format file .apk).
"Informasi yang saya terima kemungkinan besar surat undangan pernikahan [dikirim via Whatsapp]," ujarnya di Jakarta, Selasa (25/7).
Yudhi menjelaskan, hacker mengincar informasi login (username dan password) data keuangan dengan misi menguasai rekening bank target.
Jika pop-up muncul dan diklik, itu menandakan bahwa apk akan diinstal secara otomatis dan ponsel pengguna telah terinfeksi malware. Terakhir, data pengguna dapat menjadi milik peretas.
"Itu kalau dulu mirip dengan kita pernah browsing ke tempat tertentu tiba-tiba ada pop-up. Zaman dahulu pas diklik kita disuruh install game atau install apa,," kesaksiannya.
Agar pengguna tidak menjadi korban malware jenis ini, Yudhi menyarankan untuk tidak mengklik notifikasi yang tiba-tiba muncul di ponsel.
"Pokoknya kalau muncul jangan sekali-kali mengklik tombol keluar sekalipun. Langsung close saja aplikasinya," kata dia.
Jika pengguna mengklik tombol apa pun, termasuk tombol keluar, "kemungkinan peretas memasang malware di perangkat yang ditargetkan."
