Kalau penipu di Indonesia punya motto, maka itu adalah selalu berinovasi biar enggak ketinggalan zaman. Penipuan baru ini misalnya, dengan luwes menunggangi kebiasaan hidup orang sekarang. Modusnya, penipu mengirim file ke WhatsApp korban dan memerintahkan supaya file segera dibuka.
Bagaimana cara memerintahnya tergantung kedok yang dipakai. Modus penipu yang sudah terungkap sejauh ini: berpura-pura menjadi kurir yang mengirim file resi pengiriman atau foto paket, berpura-pura sedang komplain, dan berpura-pura pengirim undangan pernikahan.
Videos by VICE
Jika jeli, penipu justru mengirim file android package kit (APK) atau tautan mencurigakan ketika seharusnya mengirim file gambar ataupun PDF. Ketika korban membuka file APK, aplikasi itu akan mengakses data SMA di ponsel korban. Tujuan akhirnya: menerobos aplikasi mobile banking untuk membobol rekening.
Sejak korban membuka aplikasi hingga saldo raib, semua bisa terjadi dalam hitungan menit saja. Seramnya lagi, penipuan dan pencurian ini sudah makan ratusan korban. Dan ini angka yang terungkap polisi saja.
Menurut penjelasan Bareskrim Polri, sejak Desember 2022 hingga Januari 2023, sudah masuk 29 laporan mengenai pembobolan rekening dengan modus ini. Hasilnya, polisi menangkap komplotan terdiri dari 13 tersangka yang telah menipu 493 korban dari seluruh Indonesia, dan menguras uang senilai Rp12 miliar.
“Para pelaku memodifikasi APK untuk mendapatkan akses ke inbox SMS perangkat korban, untuk mendapatkan kode OTP yang diterima korban, terutama kode OTP dari aplikasi mobile banking dan e-wallet,” ujar Direktur Tindak Pidana Siber Brigjen Adi Vivid Agustiadi Bachtiar saat ekspose, dilansir Rakyat Sulsel.
Adi menyebut mayoritas korban adalah nasabah bank. Para pelaku bekerja sama dengan cara berbagi peran. “Kemudian ada juga pelaku social engineering dan penguras rekening, dan terakhir ada pelaku yang melakukan penarikan uang. Ini mereka sudah sedemikian canggihnya memiliki peran masing-masing,” ujar Adi dikutip Kompas.
Polisi mulai turun tangan ketika menangkap pelaku berinisial RR yang tinggal di Sulsel, Desember lalu. Ia adalah otak di balik penipuan kurir ini. Namun sebelum polisi bergerak, seorang praktisi keamanan jaringan bernama Nikko Enggaliano lebih dulu mengurai modus ini sekaligus melacak pelaku gara-gara penipuan jenis baru tersebut bikin resah warganet. Aksi detektif partikelir Nikko ia dokumentasikan di blognya.
Walau pelaku penipuan kurir di Sulsel ditangkap polisi pada Desember lalu, penipuan kurir masih terus dilaporkan netizen, termasuk kepada konsultan keamanan siber Teguh Aprianto. Teguh kemudian ikut memburu pelaku lain, yang berhasil membobol rekening BRI seorang korban di Yogyakarta dan melarikan uang Rp95,9 juta. Sebelum diadukan kepada Teguh, korban sempat lapor polisi, namun hingga sebulan berlalu kasusnya malah mangkrak.
Dalam dokumentasi di blognya, Teguh berhasil menelusuri cara penipuan beserta identitas si penipu yang berinisial AI. Ia kini sudah ditahan polisi.
“Kalau untuk kasus ini lebih tepat disebut SMS stealer,” kata Teguh saat dihubungi VICE. “Pak Maryono [korban] menerima SMS yang berisi kode OTP sebanyak 6 kali dan hanya 2 kode OTP yang berhasil didapatkan oleh pelaku untuk melakukan 2 transaksi. Transaksi yang pertama sebesar Rp20 juta dan yang kedua sebesar Rp75,9 juta. Total uang milik Pak Maryono yang digondol oleh pelaku sebesar Rp95,9 juta.”
Berdasarkan keterangan BRI, setelah uang Maryono dikirim ke salah satu rekening, penipu kemudian mentransfernya lagi ke beberapa rekening lain, dengan jumlah bervariasi.
Menurut Teguh di tulisannya, sebelum beraksi, pelaku sudah berbekal identitas pribadi korban berupa NIK, nomor rekening, tanggal lahir, dan nama ibu kandung. Maka begitu ia berhasil mengakses inbox SMS, pelaku dengan mudah bisa me-reset aplikasi mobile banking.
Dengan kata lain, modus penipuan ini bisa terjadi karena sudah didahului dengan kebocoran data pribadi. Kasus ini menambah deretan kriminalitas karena kebocoran data yang pernah kami list tahun lalu.
Teguh mengatakan, dalam kasus siber seperti ini, baik kepolisian, Kominfo, dan Badan Siber dan Sandi Negara (BSSN) sering kali tidak punya inisiatif. Justru inisiatif datangnya dari publik.
“Setelah ramai baru ada tindakan. Viral based policy ini udah sangat mengganggu sekali sebenarnya. Karena mereka ini baru mau bekerja ketika suatu kasus udah viral. Sedihnya uang pajak kita digunakan untuk membayar dan memfasilitasi orang-orang ini,” kata Teguh.
Tahun lalu, serangkaian pencurian data membuat Polri, BIN, Kominfo, dan BSSN memburu peretas dengan nama panggung Bjorka. Menko Polhukam Mahfud MD bahkan sesumbar pemerintah hanya tinggal menangkap Bjorka. Klaim itu tak terbukti hingga hari ini, dan bahkan sampai terjadi skandal salah tangkap yang dikritik keras publik.
Tapi dengan segala inkompetensi itu, DPR justru menyetujui anggaran BSSN naik Rp70 miliar, total menjadi lebih dari setengah triliun. Alasan DPR, kenaikan anggaran ini demi memperkuat ketahanan siber Indonesia.