Nabasah BRI atau Bank Rakyat Indonesia kehilangan ratusan juta rupiah karena ditipu oleh penipu berkedok kurir J&T Express. Ahli informasi dan teknologi alias IT mengungkapkan modus penipuan online ini dan bagaimana cara mengatasinya.
Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya mengatakan, penipu tersebut menggunakan aplikasi SMS to Telegram untuk menipu nasabah BRI . SMS to Telegram bertujuan membantu pengguna membaca SMS melalui aplikasi Telegram.
Aplikasi tersebut bisa diunduh gratis di Google Play Store maupun disebarluaskan melalui GitHub.
“Yang menjadi masalah, SMS pada dasarnya merupakan sarana komunikasi ‘zaman baheula’ yang kurang aman, tidak dienkripsi, dan mudah disadap,” kata Alfons dalam keterangan pers, Kamis (1/12).
“Ketika pengguna mobile bangking mulai sadar akan pentingnya menjaga kode OTP yang dikirimkan melalui SMS dan tidak membagikannya, penipu mencari cara lain untuk mendapatkan kode OTP,” tambah dia.
Salah satu sarananya yaki aplikasi SMS to Telegram. Namun, penipu harus membujuk calon korban untuk mengunduh aplikasi tersebut.
Alfons pun memerinci modus pelaku menipu nasabah BRI menggunakan aplikasi SMS to Telegram, sebagai berikut:
- Pelaku mengaku sebagai kurir J&T
- Ia menghubungi calon korban menggunakan WhatsApp
- Penipu mengirimkan tautan (link) dengan alasan untuk mengecek detail paket yang dibeli secara online. Padahal, link ini mengarahkan calon korban untuk otomatis mengunduh aplikasi SMS to Telegram.
- Penipu meminta calon korban untuk mengeklik tombol ‘izinkan’ ketika aplikasi sudah diunduh. Padahal, notifikasi izin ini terkait boleh tidaknya aplikasi membaca SMS di ponsel.
- Ketika calon korban sudah mengunduh aplikasi SMS to Telegram dan memberikan izin, maka pelaku bisa membaca SMS di ponsel korban
- Penipu akan berusaha masuk ke mobile banking korban menggunakan nomor ponsel yang sejak awal sudah mereka perolah
- Ketika proses masuk dimulai, korban akan menerima SMS kode OTP. Penipu pun bisa mengetahui kode OTP ini, meski korban tidak memberikannya. Sebab, mereka bisa membaca SMS di ponsel korban melalui Telegram
Alfons pun membagikan cara untuk mengantisipasi modus penipuan online seperti itu, yakni:
1. Nasabah pengguna Mobile Banking diharapkan tidak mengunduh aplikasi apapun yang tidak diketahui keamanannya
“Aplikasi dari Play Store saja yang pada awalnya aman ketika melakukan update bisa disusupi program jahat. Apalagi aplikasi di luar Play Store yang tidak diawasi oleh Google,” kata Alfons
2. Mengunakan nomor ponsel berbeda untuk mobile banking
Jika sering menggunakan Mobile Banking dan saldo signifikan di bank, Alfons menganjurkan untuk menggunakan handphone terpisah untuk Mobile Banking
Ponsel tersebut harus menggunakan nomor telepon yang tidak disebar untuk umum. Gawai ini juga tidak mengunduh aplikasi sembarangan atau hanya beberapa yang diunduh.
3. Pastikan penyedia Mobile Banking yang digunakan memiliki pengamanan transaksi mumpuni
“Jika sistem dan prosedur pengamanan Mobile Banking yang baik diterapkan, akun Mobile Banking tetap aman meski Username, PIN transaksi dan OTP berhasil dikuasai oleh penipu,” kata Alfons.
Alasannya karena untuk perpindahan akun Mobile Banking ke perangkat lain harus melewati verifikasi sangat ketat. Ini bisa mencegah penipu mengambil alih akun Mobile Banking.
Alfons juga menyarankan kepada BRI untuk menambahkan sistem dan prosedur pengamanan, supaya sekalipun data kredensial mobile banking dan OTP nasabah bocor, pihak lain tidak bisa mengakses menggunakan ponsel lain.
“Hak akses mobile banking ke gawai harus diberikan oleh costumer services bank atau paling sedikit nasabah harus sadar akan adanya hal ini misalnya, dia harus mengambil kredensial mobile banking untuk gadget di mesin ATM,” katanya.
Corporate Secretary BRI Aestika Oryza Gunarto menyampaikan, perusahaan terus proaktif berkoordinasi dengan pihak kepolisian untuk mengungkap dan menangkap berbagai tindakan kejahatan perbankan yang merugikan nasabah dan masyarakat.
Namun dia juga mengimbau nasabah tidak sembarang mengunduh aplikasi dengan sumber yang tidak resmi dan tak dapat dipertanggung jawabkan. "Data atau informasi dapat dicuri oleh para fraudster," kata Aestika kepada Katadata.co.id, Selasa (29/11).
Nasabah juga diimbau menjaga kerahasiaan data pribadi dan perbankan dari orang lain atau pihak yang mengatasnamakan BRI. "Kami selalu menjaga data kerahasiaan nasabah, dan tidak pernah menghubungi nasabah untuk meminta data rahasia seperti username, password, PIN, maupun kode OTP dan lainnya," kata dia.
BRI hanya menggunakan saluran resmi baik website maupun media sosial terverifikasi, sebagai media komunikasi yang dapat diakses oleh masyarakat, di antaranya:
- Website:www.bri.co.id
- Instagram: @bankbri_id
- Twitter: @bankbri_id, @kontakbri, @promo_BRI
- Facebook: Bank BRI
- Youtube: Bank BRI
- Tiktok: @bankbri_id
- Contact BRI 14017/1500017