.webp)
Pernahkah Anda memperoleh pesan singkat (SMS) yang berisikan tautan? Kelihatannya pembaca detikINET akan menjawab setidaknya pernah, atau bahkan sering. Maka, waspadalah!
Ini adalah gelombang terbaru serangan siber yang dikenal sebagai smishing. Smishing adalah bentuk rekayasa sosial yang bertujuan menipu korban melalui SMS untuk kemudian diminta memasukkan informasi rahasia seperti username, password, dan PIN perbankan.
Penyerang biasanya menyamar sebagai institusi resmi dan menyampaikan korban perlu memperbarui data guna mencegah pemblokiran akun. Yang membuat serangan ini semakin canggih adalah terkait perangkat pemancar palsu atau Fake Base Transceiver Station (Fake BTS). Perangkat ini meniru sinyal dari menara seluler asli dan mampu menarik ponsel di sekitarnya untuk terhubung otomatis.
SCROLL TO CONTINUE WITH CONTENT
Bila sebuah ponsel terhubung Fake BTS, maka sambungan bisa diturunkan dari jaringan 4G atau 5G ke 2G yang memiliki enkripsi lemah. Inilah celah yang dimanfaatkan pelaku untuk mengirim SMS palsu sekaligus menyadap komunikasi korban.
Bahayanya, Fake BTS saat ini tidak selalu berbentuk menara besar, melainkan bisa berupa antena kecil yang dipasang di kendaraan dan bergerak mendekati target. Setelah koneksi berhasil dibajak, pelaku dapat mengirimkan pesan smishing ke banyak nomor sekaligus atau dikenal sebagai SMS blast. Selain mengirim pesan, pelaku juga dapat membaca isi SMS korban termasuk kode OTP yang dikirimkan pihak bank. Hal ini memungkinkan pelaku tidak hanya mendapatkan akses ke akun perbankan korban, namun juga melakukan transaksi atas nama korban secara real time.
Meskipun pada awal 2025, pihak kepolisian, Kementerian Komunikasi dan Digital, BSSN, serta operator seluler berhasil menangkap pelaku kejahatan menggunakan Fake BTS, namun serangan serupa masih terus terjadi.
Setidaknya terdapat tiga alasan utama mengapa serangan ini terus berulang. Pertama, harga perangkat Fake BTS kini relatif murah, perangkat berbasis USRP (Universal Software Radio Peripheral) dan open-source dapat dirakit dengan biaya sekitar Rp 3.000.000 hingga Rp 10.000.000, tergantung spesifikasi. Sudah murah, tersedia bebas di forum daring. Kedua, efisiensi serangan tinggi karena perangkat dapat menarget puluhan korban dalam satu waktu. Ketiga, potensi keuntungan finansial dari pengurasan rekening menjadikan motif ekonomi sangat kuat.
Karenanya, untuk mengurangi risiko, dibutuhkan pendekatan mitigasi berlapis. Salah satunya perbaikan sistem autentikasi pada aplikasi mobile banking. Saat ini, sebagian besar layanan hanya mengandalkan kombinasi username, password, dan PIN yang semuanya termasuk dalam kategori apa yang diketahui pengguna. OTP yang dikirim melalui SMS memang menambah lapisan keamanan, tetapi tetap berisiko jika jalur SMS sudah dibajak. Maka, dibutuhkan faktor autentikasi tambahan yang lebih aman.
Opsi Mitigasi Teknologi
ATM dikombinasikan NFC
Beberapa pendekatan mitigasi autentikasi dapat dipertimbangkan. Pertama adalah penggunaan kartu ATM atau debit yang dilengkapi teknologi Near Field Communication (NFC). Dalam skema ini, pengguna perlu mendekatkan kartu debit ke ponsel saat instalasi aplikasi mobile banking. Jika kartu tersebut sah dan terdaftar atas nama nasabah, maka instalasi dapat dilanjutkan. Solusi ini dinilai aman karena kartu fisik terisolasi dari sistem digital dan tidak mudah diretas. Namun, tantangannya adalah tidak semua perangkat memiliki fitur pembaca NFC.
Fingerprint
Pendekatan kedua adalah penggunaan sidik jari (fingerprint) sebagai autentikasi biometrik. Proses ini melibatkan pendaftaran sidik jari saat instalasi awal aplikasi, dan akan digunakan sebagai referensi untuk proses instalasi ulang di kemudian hari. Keunggulan metode ini sulit dipalsukan dan sifatnya melekat pada individu. Namun demikian, tidak semua ponsel memiliki pemindai sidik jari dan ketergantungannya pada perangkat tertentu menjadi batasan tersendiri.
Face Recognition
Alternatif ketiga yang lebih universal adalah penggunaan pengenalan wajah (face recognition). Berbeda dengan fingerprint, fitur kamera hampir selalu tersedia di setiap smartphone modern. Dalam proses autentikasi ini, sistem akan merekam wajah pengguna saat instalasi awal dan membandingkannya kembali di instalasi berikutnya. Kelemahannya terletak pada faktor pencahayaan, kualitas kamera, dan kebutuhan komputasi tinggi. Akurasinya pun bisa dipengaruhi oleh sudut pengambilan gambar.
Mitigasi ini tidak hanya soal teknologi, namun juga menyangkut kebijakan dan tanggung jawab penyelenggara layanan. Untuk menekan frekuensi serangan, pemerintah perlu melarang penggunaan Fake BTS di luar kepentingan riset dan penegakan hukum. Kementerian Komunikasi dan Digital bersama BSSN dapat menetapkan regulasi ketat dan sistem pengawasan efektif. Simultan, penindakan penyebaran perangkat ini di pasar gelap juga harus dilakukan secara aktif.
Selain itu, deteksi dini menjadi kunci. Bank perlu bekerja sama dengan operator seluler dan penegak hukum untuk memonitor area-area rawan. Deteksi SMS blast dan keberadaan sinyal palsu dapat membantu mencegah serangan lebih awal sebelum mencapai nasabah.
Jika serangan sudah terjadi, upaya meminimalkan dampak menjadi prioritas. Bank harus memiliki sistem pendeteksi aktivitas tidak wajar berbasis analitik perilaku. Sistem ini dapat mengidentifikasi transaksi mencurigakan dan segera memblokir akun. Respons cepat terhadap laporan nasabah juga sangat penting, termasuk memberikan panduan pemulihan dan pengajuan ganti rugi. Dalam kasus kerugian, bank sebaiknya tidak langsung menganggap nasabah lalai, melainkan meninjau kembali apakah sistem autentikasi yang diterapkan sudah benar-benar aman.
Akhirnya, kasus pembajakan akun mobile banking melalui skenario smishing dan Fake BTS ini, seharusnya tidak sepenuhnya dibebankan ke nasabah. Fakta bahwa kredensial berhasil dicuri menandakan kegagalan pada sistem autentikasi dua faktor. OTP yang dikirim lewat SMS tidak memiliki pengamanan end-to-end dan sangat rentan disadap. Dalam skenario ini, faktor pengaman tambahan berbasis perangkat atau biometrik seharusnya menjadi standar.
Selain itu, industri perbankan dan keuangan digital juga harus mampu merespons dengan pendekatan berbasis dampak. Artinya, ketika serangan sudah terjadi, nasabah tidak boleh dibiarkan sendiri. Resolusi seperti investigasi cepat, pemblokiran transaksi mencurigakan, serta upaya pengembalian dana, perlu dilakukan untuk menjaga kepercayaan publik. Penyedia layanan tidak dapat mengabaikan kontribusinya terhadap terjadinya serangan.
Kegagalan membangun sistem autentikasi dua faktor yang aman adalah celah nyata yang dapat dimanfaatkan penyerang. Oleh karena itu, pengembalian kerugian bukan semata bentuk tanggung jawab moral, tetapi juga bagian perbaikan sistemik untuk menjamin keamanan dan keberlanjutan layanan perbankan digital. Mari bersama ciptakan ekosistem yang menjamin keamanan layanan, karena memang keselamatan transaksi digital tidak hanya ditentukan pengguna saja.
*Dr Budi Sulistyo, ST, MT adalah Senior Consultant Lembaga Sharing Telematika Sharing Vision di Bandung.
