Penipuan Melonjak Jelang Lebaran: Pinjol Ilegal hingga Hacker Sadap SMS Bank

OJK atau Otoritas Jasa Keuangan mencatat laporan penipuan melonjak saat Ramadan atau menjelang Lebaran, salah satunya pinjol ilegal. Ahli IT juga mengungkapkan adanya penipuan dengan modus hacker menyadap teknologi di balik SMS bank.

“Saat Ramadan, OJK mengimbau masyarakat untuk lebih berhati-hati. Ada peningkatan aduan terkait penipuan atau aktivitas transaksi ilegal,” kata Kepala Eksekutif Pengawas Perilaku Pelaku Usaha Jasa Keuangan, Edukasi, dan Pelindungan Konsumen atau KE PEPK OJK Friderica Widyasari Dewi dalam konferensi pers hasil Rapat Dewan Komisioner Bulanan OJK Februari 2025, Selasa (4/2). 

Laporan terkait penipuan yang masuk ke Satgas Pasti dan layanan konsumen OJK naik dari 379 pada Januari menjadi 409 pada Februari. Pengaduan ke layanan konsumen OJK terkait fraud eksternal atau social engineering mencapai 1.512 selama dua minggu terakhir Februari.

Friderica menyoroti lonjakan pengaduan penipuan jelang Lebaran merujuk pada tren tahun lalu yakni dari 1.530 pada Februari 2024 menjadi 1.998 pada Maret 2024.

"Salah satu yang paling sering terjadi yakni pinjol ilegal. Dalam kondisi mendesak, masyarakat cenderung mencari pinjaman dengan proses cepat, meskipun tanpa verifikasi ketat," katanya. 

OJK mencatat sejumlah modus operandi yang sering digunakan oleh pelaku penipuan meliputi:

1. Pinjaman online ilegal: Menawarkan pinjaman dengan proses cepat tanpa verifikasi ketat, namun dengan bunga tinggi dan metode penagihan yang tidak sesuai aturan.
2. Penawaran kerja palsu: Pelaku mengiming-imingi pekerjaan dengan gaji tinggi, namun meminta pembayaran di awal untuk alasan administrasi.
3. Investasi ilegal: Menjanjikan keuntungan besar dalam waktu singkat tanpa risiko, padahal skema ini sering kali berujung pada penipuan.
4. Penipuan transaksi online: Meliputi teknik fake call atau telepon penipuan yang mengaku dari lembaga resmi, serta penipuan hadiah palsu yang meminta korban mentransfer sejumlah uang.
5. Impersonation: Pelaku menyamar sebagai OJK atau lembaga resmi lainnya untuk meyakinkan korban dan mendapatkan informasi pribadi.
6. Penipuan berkedok paket Lebaran: Modus ini sering menggunakan tautan palsu yang dikirim melalui pesan singkat atau media sosial untuk mencuri data pribadi korban.

Ahli IT juga mengungkapkan peretas atau hacker kini bisa mengakses SMS yang dikirim oleh bank resmi sebelum diterima oleh nasabah. Oknum bisa mengubah pesan ini dan meneruskannya ke konsumen dengan versi yang telah diubah. Dengan modus ini, oknum bisa membobol rekening dalam hitungan detik.

Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya menjelaskan pelaku bisa mengakses SMS yang dikirim oleh bank resmi, menggunakan teknik pemalsuan Base Transceiver Stations atau BTS.

BTS adalah infrastruktur telekomunikasi yang memfasilitasi komunikasi nirkabel antara perangkat komunikasi dan jaringan operator.

Cara itu disebut Man-in-the-Middle Attack alias MITM. “Teknik itu memungkinkan pelaku mengintersepsi komunikasi antara ponsel pengguna dan BTS asli,” kata Alfons kepada Katadata.co.id, Senin (3/3).  

MITM adalah serangan siber yang memungkinkan hacker menyusup ke percakapan antara dua pihak, sehingga dapat menyadap semua transaksi SMS. Bahkan, mereka bisa membaca, mengedit, dan mengirim ulang pesan tanpa sepengetahuan korban.

Menurut Alfons, hal itu bisa terjadi karena proses pengiriman SMS menggunakan teknologi Signaling System 7 atau SS7. Dikutip dari Tech Target, SS7 adalah standar protokol telekomunikasi internasional yang mendefinisikan bagaimana elemen jaringan dalam jaringan telepon umum bertukar informasi dan sinyal kontrol.

Kode dalam jaringan SS7 disebut titik pensinyalan. Sistem ini mengendalikan bagaimana panggilan telepon dirutekan dan ditagih, dan mengaktifkan fitur panggilan lanjutan dan SMS.

SS7 pertama kali diadopsi sebagai standar internasional pada tahun 1988, dan revisi terakhir dilakukan pada 1993. Standar ini masih berlaku hingga saat ini untuk panggilan telepon dan digunakan baik untuk layanan telepon rumah maupun seluler.

“Teknologi yang dipakai jadul yakni SS7, yang tidak terenkripsi,” kata Alfons. “Secara umum, SMS di dunia ini memang tidak aman, karena itu teknologi jadul dan bisa disadap.” 

Serangan ini memanipulasi jaringan telepon untuk mengalihkan pesan korban ke peretas. Saat bank mengirim SMS OTP atau notifikasi transaksi, pesan tersebut terlebih dahulu masuk ke tangan peretas sebelum akhirnya diteruskan ke penerima yang seharusnya. 

Dengan cara ini, mereka dapat mencuri kode OTP atau bahkan memodifikasi isi pesan sebelum diteruskan ke korban.

Jika OTP diambil oleh penipu, maka saldo di rekening korban bisa hilang dalam hitungan detik.

Indonesia bukan satu-satunya negara yang menghadapi ancaman ini. Kelompok riset dari Universitas Toronto Citizen Lab mendokumentasikan bahwa perusahaan pengawasan Circles telah mengeksploitasi SS7 dalam operasi pengawasan global, termasuk di Indonesia. Teknologi ini digunakan bersama spyware Pegasus untuk melacak target tertentu.

Spyware Pegasus adalah perangkat lunak mata-mata yang dapat menginstal diri pada perangkat iOS dan Android. Spyware ini dapat melacak lokasi, membaca pesan teks, mengumpulkan kata sandi, dan melacak panggilan. 

Selain Indonesia, Thailand mengalami kasus penyalahgunaan teknologi SS7 dalam aksi penipuan. Seorang warga negara Cina ditangkap di Bangkok setelah menggunakan sinyal AIS alias penyedia layanan telekomunikasi utama di Thailand, untuk mengirim lebih dari sejuta SMS penipuan dalam tiga hari. Akibat aksi ini, Thailand mengalami kerugian hingga 19 miliar Baht atau Rp 9,1 triliun (kurs Rp 481 per THB) dalam setahun.