3 Langkah Hacker Bajak Nomor HP dan Bobol Rekening Ilham Bintang

Perbesar

Ilham Bintang baru-baru ini menjadi korban pembobolan rekening bank. Wartawan senior itu bercerita di Facebook, Sabtu (18/1), kasus yang membuatnya rugi ratusan juta rupiah ini dicurigai berawal dari dibajaknya nomor seluler miliknya dengan metode ganti SIM card oleh pelaku.

Kasus ini mendapat tanggapan dari Ruby Alamsyah, seorang pakar digital forensik. Menurutnya, kasus pembobolan akun bank Ilham Bintang tidak dimulai ketika akses SIM card-nya berhasil berpindah tangan. Jauh sebelum itu, insiden ini bermula dari berhasilnya pelaku mendapat data korban melalui phishing.

"SIM swap fraud, tindak kejahatan melalui pergantian SIM. Istilahnya itu karena eye-catching, masyarakat umum ngertinya itu," kata Ruby, saat dihubungi kumparan, Selasa (21/1).

"Tapi sebenarnya, teknik atau langkah-langkah yang dilakukan pelaku itu ada tiga langkah. Langkah pertama itu pelaku mengirimkan phishing ke random target," ungkapnya.

Metode phishing pada umumnya adalah upaya pelaku untuk mendapatkan data pribadi korban dari e-mail yang menyertakan tautan atau link menuju form data pribadi yang tidak resmi. Menurut Ruby, pelaku pertama-tama berhasil mendapatkan data akun bank dan KTP Ilham Bintang melalui metode ini.

Informasi data pribadi ini membuat pelaku dapat mencetak KTP palsu. Ia kemudian dapat dengan leluasa datang ke gerai Indosat Ooredoo, provider nomor seluler yang dipakai Ilham, dan meminta pergantian kartu SIM

"Nah, (langkah) nomor 1 sudah berhasil ada yang respons. Begitu ada yang respons, biasanya dicek sama pelaku, korban yang respons bener enggak nih data-datanya," jelas Ruby.

"Misalnya valid, langsung dia buat fotokopi ID card (korban) yang dikirim tadi, ataupun pembuatan KTP asli yang palsu. Dengan data-data dari (langkah) nomor 1, dia berani datang ke gerai," sambungnya.

Datang ke gerai Indosat di Bintaro Jaya Xchange, Tangerang, untuk ganti kartu SIM menjadi tahap kedua yang dilakukan pelaku. Pendiri PT. Digital Forensic Indonesia (DFI) itu menjelaskan, operator seluler akan meminta verifikasi data pengguna, jika ada orang yang ingin menukar kartu SIM. Langkah tersebut merupakan bagian dari sistem know your customer (KYC) perusahaan untuk mencegah penipuan.

Patokan verifikasi tiap operator punya penerapan yang beragam, kata Ruby, tetapi minimal orang yang ingin mengganti kartu SIM perlu menunjukkan identitasnya melalui KTP. Selain meminta kartu identitas, operator juga biasanya akan memverifikasi pengguna berdasarkan berbagai informasi pribadi yang tercatat oleh mereka.

Dalam kasus Ilham Bintang, pelaku dapat melalui verifikasi ini dengan mudah. Sebab, dia diduga telah memiliki salinan identitas pribadi milik korban, seperti salinan KTP, yang dapat meyakinkan operator.

Sumber internal Indosat juga telah mengakui bahwa pelaku datang dengan identitas Ilham Bintang berupa KTP. Namun, KTP palsu itu berhasil membuat petugas yang melayani terkecoh bahwa pelaku adalah pengguna sebenarnya.

Data pribadi yang telah diketahui melalui phishing pun bisa menjadi modal untuk pelaku menjawab berbagai pertanyaan pribadi yang diajukan oleh operator untuk verifikasi.

Sementara Indosat Ooredoo sendiri mengakui ada kelalaian dalam hal verifikasi pergantian kartu SIM yang dimiliki oleh Ilham Bintang. Menurut Turina Farouk, SVP Head of Corporate Communications Indosat Ooredoo, ada kekurangan dalam prosedur yang dilakukan saat seseorang meminta pergantian kartu SIM di gerai Indosat.

"Kami mengakui dan menyayangkan, ada orang yang datang mengatasnamakan Pak Ilham Bintang. Dan kami mengakui ada kekurangan dalam proses verifikasi," katanya saat dihubungi kumparan, Senin (20/1).

Langkah terakhir yang ditempuh pelaku adalah login akun bank di aplikasi mobile banking. Dalam kasus Ilham Bintang, ia adalah nasabah Commonwealth Bank dan BNI.

Setelah mengganti kartu SIM dan mendapatkan akses seluler Ilham Bintang, pelaku memiliki kuasa untuk mendapatkan kode OTP bank milik korban. Kode ini diperlukan untuk mendapatkan akses akun bank milik Ilham yang tak diketahui password-nya oleh pelaku.

Hal itu tak menjadi masalah, karena pelaku telah memiliki informasi username atau nomor rekening serta seluler korban. Dengan mengaktifkan fitur 'forget password', yang biasanya terdapat di aplikasi mobile untuk mengakomodir pengguna yang lupa dengan password-nya, pelaku berhasil mendapatkan password sementara milik Ilham Bintang.

"Dia (pelaku) download (aplikasi bank). Dia login, dia username sudah ada, terus password dari mana? Dia bisa reset dari aplikasi atau browser, terus dia dikasih password sementara," jelas Ruby yang juga anggota High Technology Crime Investigation Association (HTCIA).

Commonwealth Bank sudah buka suara tentang pembobolan rekening milik wartawan senior Ilham Bintang. Bank asal Australia tersebut membeberkan soal proses transaksi yang dilakukan.

Menurut SVP Corporate Communications & Financial Inclusion PT Bank Commonwealth, Bayu Irawan, transaksi mobile dan internet banking telah dilakukan dengan user id dan password yang benar. Sebelum transaksi dijalankan, bank selalu mengirimkan konfirmasi.

Commonwealth Bank disebutnya selalu mengirimkan OTP (One Time Password) untuk konfirmasi transaksi baik melalui mobile banking maupun internet banking sesuai dengan prosedur bank.

"Sesudah transaksi dijalankan sesuai dengan prosedur Bank, kata Batu, akan dikirimkan notifikasi melalui sms dan email," katanya, Senin (20/1).

Bank dan Operator Perlu Tingkatkan Keamanan Penggunanya

Kasus pembobolan akun bank yang dialami Ilham Bintang, kata Ruby, sebenarnya adalah kasus yang umum. Dia juga menganggap bahwa aksi ini telah dipikirkan secara matang oleh pelaku.

"Tahapannya begini, (langkah) nomor dua (SIM swap) enggak akan berhasil, kalau nomor satu (phishing) enggak berhasil. Nomor tiga (login akun bank) juga enggak akan terjadi, kalau SIM swap-nya itu gak berhasil," papar Ruby.

Kasus Ilham Bintang ini membuktikan bahwa sistem keamanan perbankan perlu ditingkatkan lagi. Dia menganggap bahwa sistem keamanan yang ada sekarang tidak mencukupi dalam membendung metode peretasan model baru.

Ruby menjelaskan, keamanan perbankan perlu menggunakan sistem keamanan yang bersifat 'what you have', sebuah istilah keamanan IT di mana informasi verifikasi didasari oleh data yang dimiliki oleh pengguna semata.

Saat ini, sistem keamanan bank masih berkutat pada sistem keamanan 'what you know', seperti kode OTP dan TFA. Padahal, sistem keamanan tersebut dapat mudah dibobol, jika pihak tak bertanggungjawab mengetahui password seseorang.

"Kalau what you know, itu masih ada celah untuk pelaku bisa membobol," tegas Ruby.

"Tapi, bayangkan, kalau rekening korban telah menggunakan teknologi keamanan yang lebih tinggi, seperti token. Walaupun (korban) telah kena langkah satu, juga bobol di kedua, langkah ketiga enggak akan berhasil," imbuhnya.

Melalui sistem keamanan token, dana yang dimiliki korban tak akan bisa dipindah oleh pelaku. Ini karena pelaku tak memiliki akses token korban untuk menjalankan transaksi, meski telah memiliki akses ke akun bank korban.

Selain mengevaluasi sistem keamanan bank, Ruby juga menyarankan operator seluler untuk meningkatkan sistem keamanan pengguna.

Menurut Ruby, saat ini sistem KYC operator masih manual dan sangat mudah untuk dikelabui. Contoh yang paling jelas adalah ketika pelaku dapat mengakali sistem KYC Indosat.

Oleh karena itu, operator perlu meningkatkan verifikasi pelanggan. Ruby menyerukan bahwa pemerintah dan operator perlu bersinergi untuk mengatasi penipuan melalui metode e-KYC. Metode ini akan memverifikasi identitas pengguna berdasarkan data kependudukan (Dukcapil) yang dihimpun oleh pemerintah.

"Sementara ini proses pengecekan (KYC) masih manual. Customer service lihat identitasnya benar enggak nih. Tapi kan belum tentu customer service itu tahu KTP palsu yang mana, KTP asli yang mana," pungkasnya. "Tapi kalau pakai teknologi e-KTP reader dan tersinkronisasi dengan server Dukcapil, itu bisa. Jadi KYC-nya lebih proper."