Ahli teknologi informasi (IT) mengungkapkan adanya tren penipuan di bank dengan modus pengumuman biaya administrasi palsu. Pelaku membuat nasabah BRI khawatir akan tambahan biaya.
Modus itu dikenal dengan rekayasa sosial atau social engineering (soceng).
Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya menyampaikan, ada banyak penipu yang menggunakan modus pengumuman biaya administrasi. Sebab, hal ini menjadi perhatian para nasabah bank.
"Kekhawatiran nasabah dikenakan tarif administrasi yang tinggi ini dieksploitasi sedemikian rupa oleh penipu," ujar Alfons dalam keterangan pers, Minggu (26/6).
Ia pun mengungkapkan tahapan pelaku menipu korban dengan modus biaya administrasi, sebagai berikut:
- Pelaku biasanya menyebarkan pengumuman biaya administrasi palsu melalui pesan WhatsApp
- Pelaku mengaktifkan akun bisnis WhatsApp untuk mengelabui korban
- Mereka menggunakan nama dan foto profil palsu, seperti yang terjadi pada kasus penipuan mengatasnamakan BRI
- Pelaku juga meniru kop surat bank
- Pelaku menginformasikan tahapan apabila nasabah tidak ingin dikenakan biaya administrasi. Salah satunya meminta calon korban mengeklik situs palsu yang dibuat seolah-olah milik BRI, padahal zyrosite.
- Calon korban yang sudah masuk ke situs web palsu itu akan diminta mengisi formulir berisi data kredensial, seperti nomor identitas, password hingga PIN mobile banking.
- Pelaku penipuan langsung menggunakan data-data itu untuk mengaktivasi pengiriman one time password (OTP) ke nomor ponsel korban.
- Kemudian mereka meminta korban memasukkan kode OTP tersebut di situs palsu.
- Saat calon korban memasukkan kode OTP tersebut, lalu mengeklik tombol biru atau ‘benar’, pelaku bisa masuk ke akun rekening
- Mereka pun dapat membawa kabur uang korban yang ada di bank.
"Rekening korban akan diproses oleh penipu untuk diambilalih dan dikuras dananya," kata Alfons.
Ia menjelaskan, pelaku sebenarnya tidak otomatis bisa menggasak rekening korban hanya berbekal data diri, password, PIN, dan OTP. Akan ada proses lanjutan yang harus melibatkan pihak bank guna mengotorisasi proses dan transaksi.
Alhasil, keterbukaan bank dan kerja sama dari pihak yang berwenang untuk mengungkapkan modus penipu sangat dibutuhkan. "Ke depannya, dapat dibuat sistem dan prosedur yang lebih baik dan bisa mengantisipasi aksi rekayasa sosial memalsukan petugas bank ini," ujar Alfons.
Ia juga menyarankan pihak berwenang seperti kepolisian untuk menindaklanjuti pelaku dan membuka modusnya dengan jelas.
Pihak pengawas seperti Otoritas Jasa Keuangan (OJK) juga perlu melakukan tindakan yang cepat dan tepat dalam menganalisis letak kelemahan sistem dan prosedur yang dilakukan bank. Ini untuk mencegah aksi penipuan meluas, karena sudah berjalan cukup lama dan banyak memakan korban.
Sebelumnya, sempat viral potongan rekaman warga di Padang, Pariaman yang mendatangi unit kerja BRI karena menjadi korban penipuan. Dia memberikan ID user, password, dan OTP kepada pihak lain melalui tautan maupun jejaring pesan singkat.
BRI mengatakan telah berkoordinasi dengan aparat penegak hukum untuk segera menindak dan menangkap pelaku kejahatan perbankan tersebut, dengan melacak IP address para pelaku.
“Kami juga berkoordinasi dengan pihak-pihak terkait, khususnya aparat penegak hukum untuk terus memantau, menyelidiki, dan menangkap pelaku kejahatan perbankan yang meresahkan masyarakat dan perbankan,” kata Corporate Secretary BRI Aestika Oryza Gunarto.
BRI juga menegaskan, tidak ada perubahan biaya administrasi ATM. Pengumuman yang beredar di media sosial itu palsu.
Ia mengatakan, atas maraknya upaya penipuan tersebut, BRI terus mengimbau masyarakat, khususnya nasabah untuk senantiasa berhati-hati dan waspada terhadap berbagai tindak penipuan kejahatan perbankan, termasuk yang mengatasnamakan perusahaan.
BRI juga meminta nasabah tidak terburu-buru percaya dengan ajakan pesan dari sumber yang tak terverifikasi. Nasabah diminta untuk tidak menginformasikan kerahasiaan data pribadi dan data perbankan kepada orang lain, termasuk pihak yang mengatasnamakan BRI.
Nasabah dilarang memberi tahu informasi data pribadi maupun data perbankan seperti nomor rekening, nomor kartu, PIN, ID user, password, OTP, dan lainnya melalui saluran, tautan atau situs dengan sumber tidak resmi dan tak dapat dipertanggungjawabkan kebenarannya.