Pernahkah Anda memperoleh pesan singkat (SMS) yang berisikan tautan? Kelihatannya pembaca detikINET akan menjawab setidaknya pernah, atau bahkan sering. Maka, waspadalah!
Ini adalah gelombang terbaru serangan siber yang dikenal sebagai smishing. Smishing adalah bentuk rekayasa sosial yang bertujuan menipu korban melalui SMS untuk kemudian diminta memasukkan informasi rahasia seperti username, password, dan PIN perbankan.
Penyerang biasanya menyamar sebagai institusi resmi dan menyampaikan korban perlu memperbarui data guna mencegah pemblokiran akun. Yang membuat serangan ini semakin canggih adalah terkait perangkat pemancar palsu atau Fake Base Transceiver Station (Fake BTS). Perangkat ini meniru sinyal dari menara seluler asli dan mampu menarik ponsel di sekitarnya untuk terhubung otomatis.
Bila sebuah ponsel terhubung Fake BTS, maka sambungan bisa diturunkan dari jaringan 4G atau 5G ke 2G yang memiliki enkripsi lemah. Inilah celah yang dimanfaatkan pelaku untuk mengirim SMS palsu sekaligus menyadap komunikasi korban.
Bahayanya, Fake BTS saat ini tidak selalu berbentuk menara besar, melainkan bisa berupa antena kecil yang dipasang di kendaraan dan bergerak mendekati target. Setelah koneksi berhasil dibajak, pelaku dapat mengirimkan pesan smishing ke banyak nomor sekaligus atau dikenal sebagai SMS blast. Selain mengirim pesan, pelaku juga dapat membaca isi SMS korban termasuk kode OTP yang dikirimkan pihak bank. Hal ini memungkinkan pelaku tidak hanya mendapatkan akses ke akun perbankan korban, namun juga melakukan transaksi atas nama korban secara real time.
Meskipun pada awal 2025, pihak kepolisian, Kementerian Komunikasi dan Digital, BSSN, serta operator seluler berhasil menangkap pelaku kejahatan menggunakan Fake BTS, namun serangan serupa masih terus terjadi.
Setidaknya terdapat tiga alasan utama mengapa serangan ini terus berulang. Pertama, harga perangkat Fake BTS kini relatif murah, perangkat berbasis USRP (Universal Software Radio Peripheral) dan open-source dapat dirakit dengan biaya sekitar Rp 3.000.000 hingga Rp 10.000.000, tergantung spesifikasi. Sudah murah, tersedia bebas di forum daring. Kedua, efisiensi serangan tinggi karena perangkat dapat menarget puluhan korban dalam satu waktu. Ketiga, potensi keuntungan finansial dari pengurasan rekening menjadikan motif ekonomi sangat kuat.
Karenanya, untuk mengurangi risiko, dibutuhkan pendekatan mitigasi berlapis. Salah satunya perbaikan sistem autentikasi pada aplikasi mobile banking. Saat ini, sebagian besar layanan hanya mengandalkan kombinasi username, password, dan PIN yang semuanya termasuk dalam kategori apa yang diketahui pengguna. OTP yang dikirim melalui SMS memang menambah lapisan keamanan, tetapi tetap berisiko jika jalur SMS sudah dibajak. Maka, dibutuhkan faktor autentikasi tambahan yang lebih aman.
(fay/fyk)