Polda DIY Tangkap Pembobol M-Banking
Rep: Wahyu Suryana/ Red: Fernan Rahadi
M-Banking (ilustrasi) | Foto: BRI
REPUBLIKA.CO.ID, SLEMAN -- Ditreskrimsus Polda DIY mengungkap kasus peretasan aplikasi perbankan dengan modus social engineering. Aksi pelaku ini mampu membobol m-banking salah satu koban, perempuan inisial PW, yang kehilangan uang senilai Rp 509 juta.
Dirreskrimsus Polda DIY, AKBP Roberto Gomgom Manorang mengatakan, kasus ini sebenarnya sering ditemukan dan kali ini cukup besar jumlah kerugiannya. Pelaku mengaku sebagai customer service bank atau dikenal sebagai social engineering.
"Pelaku mencoba melakukan bujuk rayu, intinya bujuk rayu, menyamar, kemudian menelepon korban, targetnya dilakukan secara acak. Jadi, pelaku hanya menduga ini punya rekening atau tidak dan sebagainya," kata Gomgom, Jumat (5/11).
Setelah data didapatkan pada 10 September 2021, korban PW yang sedang mengantar keluarganya berobat ke RS JIH menerima telepon dari +1501 2893 989. Jadi, angka depan pelaku bukan +62 atau menggunakan kode yang biasa digunakan perbankan.
Pelaku mengaku sebagai CS dari BCA dan menanyakan apakah memiliki rekening BCA. Pelaku menerangkan ada perubahan fitur dalam aplikasi My BCA, yang mana dalam penambahan fitur tersebut ada biaya administrasi ke korban sebesar Rp 300 ribu.
Jika ada lebih dari satu rekening tinggal ditambahkan untuk total per bulannya. Kemudian, korban menyatakan akan memikirkan dulu dan menjawab akan menutup aplikasi tersebut, dan pelaku menawarkan bantuan dan diminta menyebutkan ketiga rekening milik korban.
Tidak lama, masuk pesan WhatsApp dari nomor telfon pelaku yang seakan berisi nomor untuk aktivasi dan mengingatkan agar pesan tidak dibaca orang lain. Usai korban mendapatkan kode tersebut, pelaku meminta meneruskan lewat SMS ke 69888.
Korban mendapatkan balasan anda baru saja melakukan aktivasi aplikasi BCA, diminta kembali ke aplikasi untuk melanjutkan. Selang beberapa menit, korban mendapat WA dari pelaku untuk mengirim SMS ke 69888 seakan kode aktivasi yang diberikan.
Suami korban yang merasa aneh, merebut ponsel dan didapati email pemberitahuan perpindahan device aplikasi My BCA. Ada pemberitahuan rekening korban telah pindah ke beberapa rekening sampai dana tiga rekening korban sudah habis.
"Korban karena memang situasi sedang panik, yang bersangkutan sedang mengantar keluarga ke RS, ditransfer pesan itu (kode) ke ponsel pelaku yang satu, tidak lama kemudian terjadi pemberitahuan kalau transaksi keuangan sudah berhasil," ujar Gomgom.
Setelah menerima laporan, Polda DIY melakukan penyelidikan dan menangkap satu tersangka berinisial LP (20) di Riding Pangkalan Lampam, Ogan Komering Ilir, Sumsel. Selain LP, Polisi masih mencari rekan-rekan tersangka lain DP dan PD.
Peran LP bukan orang yang menelepon, tetapi mengeksekusi seluruh transaksi yang sudah masuk dari rekening korban. Mengirim ke beberapa rekening dan melakukan pemotongan honor yang diterima dari dua tersangka lain yang kini masih dicari.
Polisi mengamankan barang bukti enam ponsel yang dipakai tersangka yang dipakai menjalankan transaksi kejahatan. Lalu, delapan kartu ATM termasuk rekening atas nama LG, satu mobil hasil peretasan, dan dokumen-dokumen pendukung tersangka.
Pelaku dijerat Pasal 46 Jo Pasal 30/Pasal 48 jo Pasal 32/Pasal 51 Jo Pasal 35 (1) UU 19/2016 tentang Perubahan UU 11/2008 tentang ITE jo Pasal 55 KUHP dan/ Pasal 3, Pasal 4, Pasal 5 UU 8/2010 tentang Tindak Pidana Pencucian Uang.
Executive Vice President Center of Digital BCA, Wani Sabu mengingatkan, ketika memutuskan untuk menggunakan produk-produk bank masyarakat harus tahu contact center. Harus diingat bank tidak pernah menelepon nasabah meminta data-data.
Selain itu, ia mengingatkan, kode PIN, user ID atau password tidak boleh sama. Menurut Wani, masyarakat harus membiasakan jika menggunakan produk-produk bank sebaiknya membedakan kode-kode yang dipakai untuk PIN, user ID, atau password.
"Kalau terjadi hal-hal yang mencurigakan segera hubungi bank, telepon ke contact center, kemudian lapor Polisi," kata Wani.