Penipuan Pesan Tarif Transfer dan BEC

Pada 20 Januari 2023, aplikasi Whatsapp telepon seluler (ponsel) memberi notifikasi sebuah pesan masuk. Setelah melihat isi pesan dari nomor  08127273584xx yang tidak tercatat di nomor kontak itu berisi surat pengumuman berkop Bank Rakyat Indonesia (BRI) dengan nomor surat 0311/BRI/VI/2023 perihal perubahan tarif transfer antarbank.

Surat itu antara lain berisi mengenai perubahan tarif transfer antarbank dari Rp6.500 per transaksi menjadi Rp150 ribu per bulan. Perubahan akan berlaku nanti malam saat pergantian tanggal, tepatnya pada pukul 00.00 WIB. Meskipun, pengumuman tersebut tidak mencantumkan tanggal surat.

Tarif itu, lanjut pengumuman tersebut, dipungut dengan cara autodebit dari rekening tabungan.

Baca juga: BRI Proaktif Sokong Polri Ungkap Kejahatan Perbankan

Lalu, nasabah penerima pengumuman itu dikesankan ditanyakan apakah menyetujui tarif baru yang berlaku secara unlimited transaksi atau ingin tetap berdasarkan tarif lama Rp6.500 per transaksi.

Jika tidak ada konfirmasi, akan dianggap menyetujui tarif baru. Untuk perubahan skema tarif dalam percobaan selama enam bulan ke depan.

"Jika nasabah Bank BRI tidak setujuh dengan Tarif yang baru. Silahkan Klik opsi Tarif Lama," sebagaimana tulis pengumuman itu.

Meskipun curiga atas informasi itu, di hari yang sama, saya pun berinisiatif menghubungi Senior Manager Corporate Communications BRI Natalia Christanto melalui Whatsapp.

Natalia pun memastikan pesan itu adalah hoaks alias palsu. Dia pun mengingatkan untuk waspada dan tidak usah merespons pesan tersebut.

Dan pada 21 Januari pukul 09.44 WIB, pengumuman dari BRI palsu itu kembali masuk ke aplikasi Whatsapp dari nomor 0821963073xx.

Corporate Secretary BRI Aestika Oryza Gunarto pada September 2022 juga telah memastikan kepalsuan surat serupa yang beredar pada saat itu.

Dia menegaskan BRI hanya menggunakan saluran resmi website dan social media resmi (verified/centang biru) sebagai media komunikasi.

Di antaranya, laman www.bri.co.id, Instagram @bankbri_id, Twitter bankbri_id, kontak bri, promo_bri, Facebook Bank BRI, dan Youtube Bank BRI.

Baca juga: Rekening di Bank Raib Rp40 Juta Gegara Klik WA Aplikasi APK

BRI mengimbau agar nasabah lebih berhati-hati dan tidak menginformasikan kerahasiaan data pribadi serta data perbankan seperti nomor rekening, nomor kartu, PIN, dan password internet banking, OTP, dan sebagainya kepada orang lain. Termasuk yang mengatasnamakan BRI baik melalui tautan, website, maupun pesan singkat dari sumber tidak resmi yang tidak dapat dipertanggungjawabkan.

Sebab dikhawatirkan informasi tersebut merupakan modus penipuan social engineering. Jika nasabah terjebak kerugian nasabah dianggap sebagai kelalaian yang memberikan data rahasia sehingga BRI tidak akan bertanggung jawab. Lain cerita jika kerugian terjadi karena sistem perbankan.

Aksi penyebaran pengumuman palsu itu jelas tidak semata penyebaran kabar bohong atau penipuan. Bahkan, tabungan seorang nasabah BRI Rizka Bella Tri Kartika nyaris terkuras lantaran menerima pengumuman palsu serupa.

Bella menjadi korban aksi penipuan social engineering dengan modus pengumuman perubahan tarif transaksi bank. Ia terbujuk mengakses tautan atau link yang dikirimkan pelaku. Seusai mengakses tautan tersebut, saldo tabungan sebesar Rp99,5 juta yang rencananya akan digunakan sebagai modal usaha itu pun hilang.

"Jika diabaikan, saya dianggap setuju dengan pilihan pertama. Makanya saya langsung ikuti perintah yang disampaikan," ujar Bella.

Semula, korban tidak menanggapi pesan singkat karena sedang berada di sekolah anak. Pelaku kemudian menghubungi korban dengan mengaku sebagai pegawai BRI yang membutuhkan kepastian.

"Katanya terkait besaran tarif transfer. Jadi saya harus memilih apakah akan mengggunakan tarif sebesar Rp150.000 per bulan unlimited transaksi atau tarif semula sebesar Rp6.500 per transaksi," kata Bella.

Setelah sadar tertipu, Bella langsung menghubungi BRI untuk melaporkan peristiwa yang menimpanya dan mendapatkan penjelasan dari BRI bahwa ia telah menjadi korban penipuan berkedok social engineering. BRI menyarankan untuk pemblokiran rekening dan nasabah menyetujuinya. Kemudian, Bella juga melapor ke kepolisian.

Di kasus berbeda, Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri pada 19 Januari 2023 mengungkap sindikat penipuan dengan modus modifikasi Android Package Kit (APK) dan link phishing dengan menangkap 13 orang tersangka.

Kepala Biro Penerangan Masyarakat (Karopenmas) Divisi Humas Polri Brigjen Ahmad Ramadhan menyebut, jumlah masyarakat yang menjadi korban dalam kasus tersebut sebanyak 483 orang dengan kerugian ditaksir mencapai Rp12 miliar.

Modus operasi, para pelaku kejahatan secara kolektif dengan peran berbeda-beda. Pelaku ada yang berperan membuat APK atau pengembang APK. Kemudian ada juga berperan sebagai pengumpul database calon korban nasabah bank, pengguna ponsel yang memiliki aplikasi mobile banking).

"Ada juga pelaku social engineering (rekayasa sosial), penguras rekening, dan terakhir ada pelaku yang melakukan penarikan uang. Ini mereka sudah sedemikian canggih memiliki peran masing-masing," katanya.

Vivid juga mengingatkan perbankan memperketat sistem keamanannya, melindungi data nasabah agar tidak mudah dibobol pelaku kejahatan, salah satunya lewat penipuan modifikasi APK dan link phishing.

Vivid menjelaskan, modus pelaku melakukan kejahatan dengan memodifikasi aplikasi (APK), salah satunya aplikasi paket pengiriman, kemudian ada juga paket dalam perbankan dan Facebook live yang dikirimkan kepada korban yakni nasabah salah satu perbankan.

Para korban tentunya nasabah yang memiliki aplikasi mobile banking di ponsel. Kemudian dengan tujuan mengelabui para korban, pelaku mengirimkan link terkait pengiriman paket. Sehingga masyarakat (calon korban) yang sehari-hari sering belanja secara daring, begitu menerima pesan WhatsApp terkait pengiriman paket, otomatis langsung mengklik link tersebut yang sudah dimodifikasi oleh pelaku untuk melakukan ilegal akses mengkloning data nasabah.

"Jadi setelah mereka (korban) klik, otomatis mereka (pelaku) ini selalu mendapatkan informasi lebih lanjut tentang OTP dan segala macam data nasabah," kata Vivid.

Ia menyebut, pihaknya masih mendalami dari mana para pelaku bisa mendapatkan data pengguna (username) beserta sandi atau password mobile banking para korban. Dari pengungkapan ini diketahui para korban merupakan nasabah bank milik pemerintah.

Untuk mengetahui hal itu, kata Vivid pula, pihaknya akan melakukan asesmen terhadap jasa perbankan supaya lebih perhatian lagi dengan keamanan data perbankan yang dimiliki. "Terbukti dari kasus ini pelaku bisa menjebol data perbankan terkait dari username, password, dan sebagainya," kata Vivid.

Selain itu, penyidik Dittipidsiber Bareskrim Polri masih menyelidiki dari mana para tersangka mendapatkan data nasabah perbankan hingga bisa menguras uang dari rekening nasabah.

Soceng

Seperti disitat dari cisco.com, soceng bukanlah serangan dunia maya melainkan terkait psikologi tentang persuasi. Para penipu akan berupaya mendapatkan kepercayaan dari target sehingga menurunkan kewaspadaan mereka dan kemudian mendorong mereka untuk mengambil tindakan yang tidak aman seperti membocorkan informasi pribadi atau mengklik tautan web atau membuka lampiran yang mungkin berbahaya.

Berdasarkan IBM.com, pelaku kejahatan soceng kerap menyamar menjadi merek tepercaya. Lalu mereka meniru tindakan yang kerap dijalankan oleh korporasi terkenal tersebut. Sehingga, target akan mengikuti arahan aksi penipuan itu.

Tri Andriyanto dalam karya tulis Komunikasi Termediasi Penipuan dengan Modus Business Email yang diterbitkan di Jurnal Riset Komunikasi Jurkom Volume 5 Nomor 2 menyebutkan, dari keseluruhan bentuk kejahatan siber, muncul salah satu modus yang dikenal dengan business email compromise (BEC), yang dikenal juga dengan “CEO fraud”. Model BEC biasanya menggunakan menggunakan mode komunikasi yang umum.

Dalam konteks Indonesia, BEC tercatat sudah terjadi sejak 2020 dan kecenderungannya semakin meningkat akibat pandemi.

Pelaku kejahatan dalam bentuk BEC memanfaatkan suasana kecemasan dan ketidakpastian yang ditimbulkan oleh krisis yang terjadi akibat pandemi Covid-19.

Biro Investigasi Federal Amerika Serikat  (FBI) secara umum menjelaskan tahapan terjadinya BEC. Di mana, komunikasi di dalam BEC dibangun setelah proses pengumpulan informasi, manipulasi digital (hacking, phishing, malware), dan penentuan target telah selesai dilaksanakan.

Awal komunikasi dibangun dengan bentuk impersonal karena terkait dengan proyek pekerjaan, sebelum bergeser ke tahapan interpersonal dan hiperpersonal. Proses persuasi dijalankan setelah komunikasi hiperpersonal terjalin dengan upaya untuk mengarahkan pada rute periferal.

Proses kognitif dalam rute sentral bersifat kompleks, mencakup banyak informasi, pelibatan argumen rasional, serta pembuktian untuk mendukung kesimpulan tertentu. Pelaku BEC akan membangun argumentasi yang kuat kepada korbannya.

Di sisi lain, rute periferal merupakan proses jalan pintas bagi mental yang menerima atau menolak pesan berdasarkan sejumlah isyarat.

Bila persuasi yang memakan waktu beberapa hari atau beberapa minggu masih gagal mengubah persepsi korban, pelaku akan kembali menjalankan komunikasinya sejak awal hingga tercapainya tujuan yang ditetapkan.

Bila kembali ke kasus yang dialami Bella Tri Kartika, pelaku sudah menargetkan untuk menyamar menjadi pihak yang mewakili Bank BRI. Mereka mengirimkan pesan kepada Bella yang tidak mengenal pengirim pesan. Korban Bella yang awalnya mengabaikan pesan yang dikirim pelaku, akhirnya menghubungi nomor pengirim pesan atau sudah terbentuk komunikasi interpersonal.

Teperdaya oleh tawaran oleh pelaku, yakni pemberlakuan tarif lama, korban kemudian mengklik tautan yang dikirim pelaku. Dan akhirnya, saldo tabungan milik korban sempat raib.

Adu pesan

Dalam Penipuan Digital di Indonesia: Modus, Medium, dan Rekomendasi (2022), penulis Novi Kurnia et al antara lain menemukan dari seluruh korban penipuan digital yang berjumlah 1.132 responden, respons atau tindakan terbanyak yang mereka lakukan adalah menceritakan kepada keluarga atau teman (48,3%), tidak melakukan apa- apa (37,9%), menceritakan kepada warganet (5,3%), melaporkan kepada media sosial atau platform digital lainnya (5%), dan melaporkan kepada kepolisian (1,8%).

Sehingga, hanya sebagian kecil responden memilih untuk melaporkan kejahatan yang mereka alami ke kepolisian. Sehingga, bisa saja jumlah korban penipuan digital yang ada di data kepolisian masihlah menjadi fenomena gunung es. Masih banyak warga yang memilih tidak melaporkan ke aparat penegak hukum.

Dalam menghadapi kejahatan soceng memang lebih mengedepankan perlunya kewaspadaan dari warga atau nasabah. Sebab, pelaku soceng akan berusaha menunggu kesadaran lemah warga. Pesan resmi dari bank tidak pernah meminta data pribadi atau data perbankan.

Bisa dikatakan, perang komunikasi sedang terjadi antara pelaku soceng dan perbankan serta aparat penegak hukum. Pelaku soceng berusaha menyampaikan pesan untuk mencari kelemahan kesadaran nasabah. Di sisi lain, perbankan dan kepolisian harus secara rutin memberikan pendidikan dan peringatan kepada publik secara reguler tentang bahaya kejahatan perbankan. Nasabah jangan mudah percaya pesan dari orang yang tidak dikenal tanpa melakukan verifikasi, jangan terburu mengambil keputusan, dan segera menutup informasi yang mencurigakan. Pendidikan secara rutin harus dilakukan karena penipuan oleh para pelaku soceng juga berlangsung secara rutin. (Ant)