Polisi Ungkap Peretasan Aplikasi Perbankan Bermodus Social Engineering

Pelaku yang berinisial LG sudah menggasak uang sebanyak Rp 509 juta dari rekening korban.

Direktur Kriminal Khusus Polda DIY AKBP Roberto Gomgom Manorang Pasaribu menjelaskan, pelaku berpura-pura sebagai sebagai customer service (CS).

"Pelaku menelpon menyamar sebagai CS dan melakukan bujuk rayu kepada korban. Target secara acak pelaku menduga-duga apakah korban memiliki rekening atau tidak," jelas Roberto di Mapolda DIY, Jumat (5/11/2021).

Pelaku memperdaya korban berinisial PS pada 10 September 2021. PS adalah nasabah salah satu bank swasta yang pada saat itu sedang menemani keluarganya berobat di rumah sakit.

Saat sedang menemani keluarga berobat gawai milik PS berdering, PS ditelepon oelh nomor asing dengan kode +1(501) 2893989.

Saat telepon dijawab PS, orang dalam sambungan telepon itu mengaku sebagai CS bank, dan dengan alibi memberitahukan bahwa aplikasi kepunyaan korban dalam perbaikan.

"Pelaku ini memberitahu PS bahwa aplikasi M-BCA ada perbaikan pada fiturnya dan meminta biaya perbaikan dan top up," kata dia.

Saat mendengar itu korban berencana untuk menutup aplikasi miliknya karena dalam perbaikan diminta biaya senilai Rp 300.000. Korban memiliki tiga rekening.

Pelaku lantas menyampaikan akan membantu korban menutup aplikasi, kemudian tiga nomor rekening milik korban disebutkan.

"Tiba-tiba muncul sms ada one time password (OTP). OTP adalah kode akses yang dimiliki pada aplikasi dimana aplikasi itu bisa diakses atau tidak berdasarkan kode otoritasi," jelasnya.

Setelah dibujuk sebanyak tiga kali, dan korban pada saat itu sedang panik karena mengantar keluarga ke rumah sakit.

Korban lantas mentransfer kode OTP kepada pelaku.

"Tak lama berselang korban mendapatkan pemberitahuan melalui sms bahwa transaksi berhasil. Pelaku sudah mengetahui kelemahan korbankarena sudah mengirimkan OTP," kata dia.

Korban yang sadar telah menjadi korban peretasan lantas melaporkan kejadian yang dialami kepada Polda DIY.

Ditreskimsus Polda DIY bekerja sama dengan Polda Metro Jaya untuk melakukan digital forensik.

Lalu diketahui pelaku peretasan ini berada di Tulung Selapan, Sumatera Selatan.

"Kami melakukan penyelidikan di daerah Tulung Selapandan berhasil menangkap dan mengamankan 1 orang bernisial LG (20) serta ada dua orang lain yang statusnya masih DPO," kata dia.

Roberto menyampaikan LG pada komplotan ini berperan mengeksekusi semua transaksi yang masuk dari rekening korban.

LG bertugas mentransfer kembali ke beberapa rekening yang sudah disiapkan.

"Dua orang masih DPO dan dilakukan pengejaran saat ini. Dua tersangka lain berinisal PD dan DP," kata dia.

PD bertugas sebagai menghubungi korban hingga korban berkenan mengirimkan kode aktivasi.

Lalu pelaku berinisial DP adalah orang yang meneruskan user name dan password ke LG.

Dalam kasus ini Roberto memastikan tidak ada pegawai bank yang terlibat dalam kasus ini.

"Ini murni social engineering, modus dengan cara teknik dan gaya komunikasi hingga korban benar-benar percaya dan melakukan segala hal yang diperintahkan oleh para pelaku melalui sarana komunikasi media elektronik," kata dia.

Roberto mengungkapkan soal kode nomor +1 yang dipakai oleh pelaku, adalah dengan cara memakai aplikasi Fake Caller.

"Ada beberapa aplikasi digital Fake Caller, sedang diberantas mengadakan permintaan pemblokiran," ujar dia.

Sementara itu Executive Vice President Center of Digital BCA Wani Sabu mengungkapkan bahwa call center BCA 1500888 tidak pernah menggunakan nomor kode +1 dan sebagainya.

"Pertama kontak center kita adalah 1500888 tanpa ada plus tanpa kode area. I inditelpon dengan +1 bukan bla bla bukan dari BCA," kata dia.

Wani menambahkan pihak bank tidak pernah meminta data nasabah atau meminta bayaran administrasi sebesar Rp 300.000.

"Masyarakat harus tahu kalau rekening dihack bank akan otomatis memblokir rekening. Tidak meminta data nasabah. Datamu rahasiamu termasuk OTP, password, user id," ungkap dia.

Kabid Humas Polda DIY Kombes Pol Yuliyanto mengungkapkan atas kejadian ini barang bukti yang diamankan petugas adalah 6 buah ponsel, 8 buah ATM, 1 mobil, dan dokumen pendukung.

"Pasal yang disangkakan 46 Jo pasal 30 dan/atau Pasal 48 Jo Pasal 32 dan/atau Pasal 51 Jo Pasal 35 ayat (1) Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik Jo Pasal 55 KUHP dan/atau Pasal 3 dan/atau Pasal 4 dan/atau Pasal 5 UU Nomor 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang," pungkas Yuli.