.webp)
Ketika kita sedang kesusahan dan membutuhkan bantuan, tentunya kita akan bersyukur jika ada pihak yang langsung menghubungi, mendengarkan dan bersedia membantu. Namun bukannya dibantu, kita malah jadi korban penipuan dan dihadapkan dengan masalah baru seperti pencurian dana dan pengambilalihan akun.
Celakanya, pihak penyedia layanan seperti call center bank yang menjadi sasaran pemalsuan terkesan tutup mata dan kurang pro aktif melakukan tindakan pencegahan yang banyak mengincar masyarakat awam.
Sangat sedikit usaha untuk mengedukasi dan menginformasikan kepada masyarakat agar berhati-hati jangan sampai menjadi korban pemalsuan call center ini. Padahal, penipuan ini dilakukan di depan mata penyedia layanan dengan cara memonitor akun media sosial layanan keuangan yang bersangkutan.
SCROLL TO CONTINUE WITH CONTENT
Sebagai pengguna layanan di era digital, dibutuhkan kehati-hatian jangan sampai mengumbar data seperti nomor telepon yang bisa berakibat fatal. Para penipu sudah sangat piawai dalam menggali data dari media sosial dan memalsukan dirinya seakan-akan call center bank yang siap membantu Anda.
Namun tujuan akhirnya sebenarnya ingin menguras isi akun bank Anda dengan meminta nomor OTP yang sebenarnya tidak boleh diberikan kepada siapapun.
Menggunakan logo resmi bank dan akun bisnis
Penipu juga sangat cerdik dan menggunakan beberapa trik simpel sehingga korbannya akan langsung percaya bahwa ia dihubungi oleh call center yang bersangkutan.
Lalu setelah curhat masalah, Anda akan diarahkan untuk memberikan data seperti nomor akun, nomor kartu ATM yang kemudian akan digiring untuk memberikan OTP guna menguras dana yang ada di rekening.
Untuk meyakinkan korbannya, penipu akan memalsukan foto profilnya di WhatsApp dengan logo bank yang dipalsukannya dan bahkan ada yang membuat akun bisnis sehingga ketika di klik profilnya maka akan muncul informasi "Official Business Account" sehingga akan makin meningkatkan kepercayaan korbannya. (Lihat gambar 1)
 Gambar 1. Penipu menggunakan logo institusi dan akun bisnis. |
Cara utama penipu menjaring korbannya adalah memantau akun resmi institusi yang diincarnya. Ketika ada pelanggan bank yang membutuhkan bantuan dan mengirimkan mention kepada akun tersebut, korban akan langsung masuk radar untuk dijadikan sasaran penipuan. Kelihatannya tindakan ini dilakukan cukup terorganisir dengan tingkat keberhasilan cukup tinggi karena terlihat banyak akun penipu yang berlomba-lomba langsung memberikan tanggapan ketika akun resmi di-mention oleh pelanggan yang mengalami masalah. (lihat gambar 2)
 Gambar 2. Penipu berlomba menghubungi nasabah yang mention akun official call center. |
Selanjutnya: Modus penipuan...
Modus
Penipu memiliki keahlian tinggi untuk mendapatkan data korbannya. Jika pada akun media sosial yang melakukan mention pernah memberikan informasi nomor telepon, maka nomor telepon tersebut akan langsung dihubungi oleh akun WhatsApp yang sudah lengkap dengan logo bank dan mengarahkan korbannya untuk memasukkan data konfidensial. (lihat gambar 3)
 Gambar 3. Nomor WhatsApp dengan profil palsu sudah dipersiapkan untuk menipu korban. |
Situs phishing yang dirancang sedemikian rupa juga sudah dipersiapkan oleh penipu dan dibuat seakan-akan dari BCA. Jika di-klik, akan menampilkan halaman untuk meminta nomor kartu ATM dan PIN Mobile Banking. (lihat gambar 4)
 Gambar 4. Situs phishing yang mengincar nomor kartu ATM dan PIN m-BCA. |
Secara teknis, akun internet banking yang dilindungi oleh token akan lebih sulit dieksploitasi karena adanya one time password (OTP) dari token yang hanya dimiliki pemilik akun. Sementara itu, akun m-banking yang hanya mengandalkan password dan PIN cukup rentan menjadi korban eksploitasi.
Antisipasi
Untuk mengatasi hal ini, ada beberapa hal yang harus dilakukan. Pertama, pihak institusi yang menjadi sasaran penipuan sebaiknya aktif melakukan penyuluhan dan memberikan informasi kepada pelanggan atau nasabahnya untuk berhati-hati terhadap penipuan.
Kalau perlu, siapkan satu tim khusus yang menangani akun-akun penipu ini karena memang sudah meresahkan dan merusak nama baik institusi. Memang ada centang biru pada akun yang bisa membedakan antara akun resmi dengan akun palsu di Twitter. Namun, hanya kalangan tertentu saja yang mengetahui hal ini dan masyarakat awam banyak yang tidak mengerti sehingga rentan menjadi korban penipuan.
Selain itu, penipu juga nerusaha menjalankan aksinya dengan menghubungi korbannya melalui WhatsApp berbekal foto profil dan akun bisnis WhatsApp yang secara tampilan cukup meyakinkan.
Institusi yang menjadi korban pemalsuan sebaiknya juga jangan tinggal diam dan hanya melakukan pelaporan untuk memblokir akun penipuan karena penipu tinggal membuat akun baru dengan nama lain setiap kali akunnya diblokir.
Ada baiknya institusi yang call centernya sering disalahgunakan untuk penipuan secara proaktif membuat wadah bersama dan menggandeng pihak berwenang untuk mengidentifikasi dan menangkap para pelaku penipuan ini, supaya ada efek jera dan tidak melakukan hal yang melanggar hukum.
Sedangkan para pemilik akun bank, disarankan untuk selalu berhati-hati dan jangan pernah mengumbar data seperti nomor telepon di media sosial, karena bisa digunakan sebagai database untuk mengeksploitasi. Jangan pernah memberikan data sensitif seperti nomor kartu ATM, NIK KTP/KK apalagi PIN OTP yang dikirimkan ke SMS Anda dengan alasan apapun.
Jika Anda menjadi korban penipuan, bank tidak akan mengganti uang Anda karena ini adalah kesalahan Anda sebagai nasabah dan kode OTP, PIN dan nomor katu ATM memang tidak boleh diberikan kepada siapapun. Sekalipun mengaku sebagai petugas bank.
*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.
