Beranda
Nasional
Internasional
Metro
Daerah
Lifestyle
Sports
Ekonomi Bisnis
Teknologi
Sains
Otomotif
Edukasi
Kalam
GenSINDO
Infografis
Video
Foto
Indeks
Waspada Modus Phising Baru Menyamar sebagai Call Centre Bank
loading...
Modus phising terbaru untuk mengakali pengamanan password dan OTP lewat rekayasa sosial yang tepat sedang marak terjadi. Foto: ist
A
A
A
JAKARTA - Modus penipuan bank lewat internet dengan cara phising terus terjadi. Belum lama, seorang nasabah salah satu bank BUMN asal Padang mengaku menderita kerugian hingga ratusan juta setelah dihubungi seseorang yang mengaku dari kantor pusat bank tersebut.
Iming-imingnya ini: menawarkan biaya transfer dari Rp6.500 per transaksi menjadi Rp150 ribu per bulan. Caranya, meminta nasabah membuka link yang dikirim lewat pesan WhatsApp.
Korban lantas mengakses link dan mengisi data yang dibutuhkan. Tiba-tiba muncul notifikasi transaksi lewat SMS. Sadar telah tertipu, ia memblokir rekeningnya. Tapi, transaksi keluar sudah mencapai ratusan juta.
Memalsukan Diri Sebagai Call Centre Bank
Pakar keamanan siber sekaligus pendiri Vaksincom Alfons Tanujaya mengatakan, modus phising terbaru untuk mengakali pengamanan password dan OTP lewat rekayasa sosial yang tepat sedang marak.
”Mereka memalsukan diri sebagai Call Center bank dipadukan dengan situs phising yang tampilannya sama dengan situs bank terbukti efektif mencuri username, password, PIN bahkan kode OTP (One Time Password) yang seharusnya tidak boleh diberikan kepada pihak lain dan hanya dimasukkan ketika melakukan transaksi,” ungkapnya.
Sayangnya, Alfons menilai dalam kasus ini kesalahan tetap berada di pihak korban. ”Secara hukum yang salah dalam kasus fraud ini memang pemilik akunnya. Karena ia memberikan kredensial, PIN dan OTP rekeningnya kepada penipu,” ungkapnya.
”Sesuai peraturan penggunaan aplikasi, setiap pengguna seharusnya melindungi kredensial akunnya dengan sebaik-baiknya dan setiap kerugian karena kredensial yang bocor ini adalah risiko pemilik akun atau pengguna aplikasi,” ia menambahkan.
Beda Platform, Peda Perlindungan
Meski demikian, Alfons sendiri menyadari bahwa pengguna internet banking dan mobil banking mayoritas adalah orang awam. Sehingga pengamanannya harus maksimal dan disesuaikan dengan risiko rekening tersebut.
Apabila risiko finansial secara nominal relatif kecil seperti e-wallet dengan limit maksimal Rp2 juta-Rp10 juta per akun, Alfons menyebut perlindungan dengan PIN dan OTP secara teknis sudah cukup.
”Bahkan kartu e-money tidak memiliki pengamanan kredensial. Siapapun yang memegang kartu e-money tersebut akan langsung bisa menggunakan dana pada tanpa perlu memasukkan kredensial apapun karena alasan kepraktisan, kenyamanan dan kecepatan transaksi lebih diutamakan,” ungkapnya.
Meski demikian, jika risiko finansialnya secara nominal lebih besar seperti rekening koran atau rekening tabungan dengan limit transaksi ratusan juta per hari, Alfons menilai pengamanan mengandalkan password, PIN dan OTP sekalipun masih kurang dan harus ditingkatkan.
”Jika pengamanan e-wallet dapat kita umpamakan pengamanan kandang orang utan, maka pengamanan mobile banking ini dapat di ibaratkan pengamanan kandang harimau. Jelas metode pengamanan kandang harimau harus lebih tinggi dari pengamanan kandang orang utan karena risiko yang lebih tinggi,” katanya.
Mencegah Penipuan lewat Rekayasa Sosial
Lalu, hal apa yang bisa dilakukan oleh pihak bank penyedia layanan mobile banking untuk menambah pengamanan mobile banking atau akun lain yang memiliki limit transaksi tinggi?
1. Akun mobile banking dikaitkan hanya dengan nomor telepon dan perangkat telepon yang sudah didaftarkan. Sehingga sekalipun kredensial mobile banking tersebut bocor, transaksi finansial tidak akan bisa dilakukan karena menggunakan perangkat atau nomor telepon yang berbeda dari yang terdaftar.
2. Penggantian nomor telepon atau perangkat telepon harus melalui verifikasi yang handal dan ketat. Mengandalkan verifikasi OTP saja untuk mengganti perangkat tidak disarankan karena kode OTP ternyata bisa dicuri dari nasabah dengan menggunakan tipu daya rekayasa sosial yang tepat dan situs phishing.
”Meski merepotkan, untuk rekening dengan limit transaksi besar harus melakukan verifikasi terpercaya seperti verifikasi ke Customer Service bank yang bersangkutan atau metode lain yang dapat menjamin keabsahan nasabah sehingga dapat mencegah eksploitasi melalui rekayasa sosial dan phishing,” bebernya.
Alfons menyebut, seharusnya institusi finansial menyadari dan selalu belajar dari pengalaman fraud yang terjadi. ”Perlindungan keamanan adalah proses yang tidak berkesudahan. Pengamanan yang selama ini terbukti efektif suatu saat akan dikalahkan dan harus segera disesuaikan dengan ancaman yang selalu berkembang,” ungkapnya.
Iming-imingnya ini: menawarkan biaya transfer dari Rp6.500 per transaksi menjadi Rp150 ribu per bulan. Caranya, meminta nasabah membuka link yang dikirim lewat pesan WhatsApp.
Korban lantas mengakses link dan mengisi data yang dibutuhkan. Tiba-tiba muncul notifikasi transaksi lewat SMS. Sadar telah tertipu, ia memblokir rekeningnya. Tapi, transaksi keluar sudah mencapai ratusan juta.
Memalsukan Diri Sebagai Call Centre Bank
Pakar keamanan siber sekaligus pendiri Vaksincom Alfons Tanujaya mengatakan, modus phising terbaru untuk mengakali pengamanan password dan OTP lewat rekayasa sosial yang tepat sedang marak.
”Mereka memalsukan diri sebagai Call Center bank dipadukan dengan situs phising yang tampilannya sama dengan situs bank terbukti efektif mencuri username, password, PIN bahkan kode OTP (One Time Password) yang seharusnya tidak boleh diberikan kepada pihak lain dan hanya dimasukkan ketika melakukan transaksi,” ungkapnya.
Sayangnya, Alfons menilai dalam kasus ini kesalahan tetap berada di pihak korban. ”Secara hukum yang salah dalam kasus fraud ini memang pemilik akunnya. Karena ia memberikan kredensial, PIN dan OTP rekeningnya kepada penipu,” ungkapnya.
”Sesuai peraturan penggunaan aplikasi, setiap pengguna seharusnya melindungi kredensial akunnya dengan sebaik-baiknya dan setiap kerugian karena kredensial yang bocor ini adalah risiko pemilik akun atau pengguna aplikasi,” ia menambahkan.
Beda Platform, Peda Perlindungan
Meski demikian, Alfons sendiri menyadari bahwa pengguna internet banking dan mobil banking mayoritas adalah orang awam. Sehingga pengamanannya harus maksimal dan disesuaikan dengan risiko rekening tersebut.
Apabila risiko finansial secara nominal relatif kecil seperti e-wallet dengan limit maksimal Rp2 juta-Rp10 juta per akun, Alfons menyebut perlindungan dengan PIN dan OTP secara teknis sudah cukup.
”Bahkan kartu e-money tidak memiliki pengamanan kredensial. Siapapun yang memegang kartu e-money tersebut akan langsung bisa menggunakan dana pada tanpa perlu memasukkan kredensial apapun karena alasan kepraktisan, kenyamanan dan kecepatan transaksi lebih diutamakan,” ungkapnya.
Meski demikian, jika risiko finansialnya secara nominal lebih besar seperti rekening koran atau rekening tabungan dengan limit transaksi ratusan juta per hari, Alfons menilai pengamanan mengandalkan password, PIN dan OTP sekalipun masih kurang dan harus ditingkatkan.
”Jika pengamanan e-wallet dapat kita umpamakan pengamanan kandang orang utan, maka pengamanan mobile banking ini dapat di ibaratkan pengamanan kandang harimau. Jelas metode pengamanan kandang harimau harus lebih tinggi dari pengamanan kandang orang utan karena risiko yang lebih tinggi,” katanya.
Mencegah Penipuan lewat Rekayasa Sosial
Lalu, hal apa yang bisa dilakukan oleh pihak bank penyedia layanan mobile banking untuk menambah pengamanan mobile banking atau akun lain yang memiliki limit transaksi tinggi?
1. Akun mobile banking dikaitkan hanya dengan nomor telepon dan perangkat telepon yang sudah didaftarkan. Sehingga sekalipun kredensial mobile banking tersebut bocor, transaksi finansial tidak akan bisa dilakukan karena menggunakan perangkat atau nomor telepon yang berbeda dari yang terdaftar.
2. Penggantian nomor telepon atau perangkat telepon harus melalui verifikasi yang handal dan ketat. Mengandalkan verifikasi OTP saja untuk mengganti perangkat tidak disarankan karena kode OTP ternyata bisa dicuri dari nasabah dengan menggunakan tipu daya rekayasa sosial yang tepat dan situs phishing.
”Meski merepotkan, untuk rekening dengan limit transaksi besar harus melakukan verifikasi terpercaya seperti verifikasi ke Customer Service bank yang bersangkutan atau metode lain yang dapat menjamin keabsahan nasabah sehingga dapat mencegah eksploitasi melalui rekayasa sosial dan phishing,” bebernya.
Alfons menyebut, seharusnya institusi finansial menyadari dan selalu belajar dari pengalaman fraud yang terjadi. ”Perlindungan keamanan adalah proses yang tidak berkesudahan. Pengamanan yang selama ini terbukti efektif suatu saat akan dikalahkan dan harus segera disesuaikan dengan ancaman yang selalu berkembang,” ungkapnya.
(dan)
Explore More