.webp)
It takes two to tango, dibutuhkan lebih dari satu pihak untuk melakukan suatu kejahatan. Kata pepatah ini cocok menggambarkan penipuan yang marak melanda pemilik akun mobile banking di Indonesia.
Dua pihak yang dimaksud di sini salah satunya tentu adalah si penipu, dan pihak yang kedua itu bisa pemilik rekening, operator telekomunikasi, atau bisa juga pihak bank. Lho kok bisa?
Ya, pemilik rekening, operator telekomunikasi, dan bank bisa menjadi pihak kedua yang berperan dalam penipuan mobile banking di Indonesia. Misalnya pemilik rekening yang kurang berhati-hati sehingga bisa tertipu lewat taktik rekayasa sosial, atau operator telekomunikasi dan bank yang menggunakan sistem keamanan yang kurang ketat.
SCROLL TO CONTINUE WITH CONTENT
Sebenarnya rekayasa sosial yang digunakan secara teknis tidak canggih dan tidak membutuhkan teknologi atau kemampuan teknis yang tinggi. Menurut pengalaman Vaksincom, rekayasa sosial pada umumnya simpel dan tidak mengandalkan teknologi canggih tetapi lebih kepada eksploitasi kelemahan korbannya secara psikologis.
Dalam pelaksanaannya justru memanfaatkan kelemahan sistem dan korbannya yang awam. Kabar buruknya hal ini secara tidak langsung difasilitasi oleh pihak penyedia jasa keuangan dan penyedia layanan seluler sehingga korbannya bisa tertipu. Penyedia jasa layanan keuangan berperan dengan hanya mengandalkan pada kata kunci (PIN/Password) untuk otorisasi transaksi keuangan penting.
Penyedia layanan seluler pun kurang peka dan memberikan layanan value added (nilai tambah), yang ternyata dapat disalahgunakan oleh penipu untuk mengelabui korban untuk memberikan PIN/password otorisasi transaksi, yang seharusnya tak boleh diberikan ke siapa pun termasuk petugas bank.
Hal ini terjadi pada satu layanan Mobile Banking yang cukup populer di Indonesia seperti pada gambar 1 di bawah ini.
 Layanan Mobile Banking yang dieksploitasi memalsukan diri seakan dari bank Foto: Istimewa/Alfons Tanujaya |
Korban ditelepon oleh penipu yang mengaku sebagai petugas dari bank dan mengandalkan fitur yang disediakan oleh operator telekomunikasi dengan nama Pop Call. Si penipu berhasil memberikan kesan seakan-akan nomornya memang dari bank yang bersangkutan (lihat gambar 1).
Jika diperhatikan dengan teliti, kemungkinan besar penerima telepon akan percaya dengan klaim tersebut dan mengira ia melihat 'Caller ID', namun sebenarnya yang dilihat adalah fasilitas Pop Call dan bukan caller ID.
Pop Call
Fitur Pop Call ini sebenarnya sudah melakukan pencegahan agar tak disalahgunakan untuk penipuan, yaitu dengan menggunakan metode blacklist. Dengan metode ini, kata atau kalimat yang sering digunakan untuk melakukan penipuan sudah diblokir dan tidak bisa digunakan karena sering digunakan untuk menipu.
Namun karena metode yang digunakan adalah metode blacklist seperti yang digunakan pada blokir email spam dan terbukti metode ini memiliki bnayak kelemahan dan mudah di-bypass. Penipu tinggal mencari kata yang tidak di-blacklist dan menggunakan kata tersebut sehingga pop up kalimat tersebut muncul dan dikira sebagai caller ID oleh penerima telepon, padahal hanya tampilan Pop Call.
 Analisa pemblokiran yang gagal oleh program Pop Call, diambil dari Twitter @hantsutomo Foto: Istimewa/Alfons Tanujaya |
Kelihatannya sistem Pop Call sudah memblokir kata "Center", namun dalam kasus ini penipu juga tidak kalah cerdik. Kata Center di blokir, maka digunakan kata "Centerr" dan terbukti Pop Call meloloskan teks "Call Centerr JENIUS" dan yang lolos dari blokir sistem dan akan tampil di layar ponsel penerima telepon yang kemungkinan besar akan mengira ia menerima telepon dengan Caller ID "Call Centerr JENIUS".
Banyak cara yang bisa digunakan untuk mengakali blacklist seperti mengganti huruf l (L kecil) dengan angka 1 sehingga akan muncul Ca11 atau menambahkan pemisah atau spasi. Karena itu metode blokir blacklist disarankan untuk tidak digunakan dan sebaiknya menggunakan metode Whitelist atau pilihan terbatas untuk kalimat Pop Call atau persetujuan manual untuk setiap teks Pop Call baru yang ingin ditampilkan.
Pop Call juga sudah memberikan hukuman bagi penyalahgunaan dimana jika mencapai jumlah tertentu percobaan pesan yang dilarang, maka layanan Pop Call akan diblokir. Namun hal ini jelas tidak akan efektif memblokir usaha penipuan menggunakan Pop Call karena penipu tinggal membeli banyak nomor prabayar.
Celah penyalahgunaan layanan Pop Call ini dimanfaatkan dengan baik oleh penipu dan dengan menyamar sebagai petugas bank dan teknik menakut-nakuti korbannya misalnya akun akan diblokir jika tidak melakukan penggantian password dan berpura-pura menanyakan PIN untuk membantu nasabah.
Namun tujuan sebenarnya adalah mendapatkan PIN otorisasi transaksi untuk menguras dana nasabah tersebut. Hal ini dapat terjadi karena perlindungan transaksi finansial Mobile Banking hanya mengandalkan PIN dan PIN ini dapat digunakan berulang-ulang untuk otorisasi transaksi transfer dana.
Secara hukum kesalahan memang ada di pihak nasabah, mengapa sampai bisa tertipu memberikan PIN otorisasi transaksi atau tidak melindungi PIN otorisasi transaksi dengan baik, namun tidak dapat disangkal bahwa pengamanan otorisasi transaksi yang lemah dan fitur Pop Call sangat berperan pada keberhasilan aksi penipuan ini.
*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.
(asj/afr)
