Dua mata pisau teknologi digital jasa keuangan

Hilda Nurhalida (44) tak ambil pusing saat ada pesan singkat nyasar masuk ke ponselnya. Berisi aksara Thailand dan angka-angka, SMS itu tak digubrisnya. Selang beberapa waktu, ia menerima pesan WhatsApp dari orang yang mengaku sebagai kasir sebuah mini market.

"Dia bilang mohon maaf saya salah kirim ke nomer anda, tolong forward SMS itu ya bu," kisah Hilda saat berbincang dengan Alinea.id, Senin (18/10).

Ibu dua anak ini mengaku tidak mempunyai kecurigaan sama sekali dan langsung meneruskan pesan SMS yang disebutkan sebagai voucher game itu. Di tengah kesibukannya mengurus rumah, Hilda pun tak sadar bahwa penerusan kode yang sebenarnya one time password (OTP) itu telah membuat akun WA-nya diretas.

Pelaku peretasan langsung bergerilya mengirim pesan ke kontak-kontak yang ada di akun WA-nya. Isi pesannya, meminjam uang untuk keperluan darurat dan akan segera diganti dalam waktu dekat. Lucunya, hacker juga mengirim pesan kepada suami Hilda yang berada di kantor. Saat itulah, ia baru menyadari WA-nya telah diretas. Ia pun tak bisa mengakses WA di ponselnya.

Dibantu sang suami, Hilda langsung menyebarkan pesan bahwa WA-nya telah di hack sehingga tidak ada kerabatnya yang menjadi korban penipuan. Beruntung, akun WA-nya bisa dipulihkan dalam hitungan hari. 

Berbeda dengan Hilda, nasib apes dialami Ilham Bintang pada awal tahun 2020 bersamaan dengan datangnya pandemi. Korban peretasan ini telah kehilangan uang hingga Rp300 juta di rekening Commonwealth Bank. Kasus tersebut pun masuk ranah pidana, para pelaku pembobolan rekening yang tertangkap telah divonis hukuman dua sampai empat tahun penjara.

"Kalau yang perdata ke Commonwealth Bank belum selesai, masih tahap kesimpulan-kesimpulan, mungkin November selesai," katanya kepada Alinea.id, Rabu (20/10).

Kasus Ilham Bintang menyeruak ke publik pada awal 2020, saat ia memposting kronologi pembobolan akun banknya di sosial media Facebook. Akhir 2019, ia berpergian ke Australia untuk mengunjungi anaknya. Namun, pada awal Januari 2020, jurnalis senior ini tidak bisa bertransaksi mobile banking. Sinyal ponselnya juga tertera SOS, padahal ia sudah mengaktifkan paket roaming ke provider Indosat agar ponselnya bisa dipakai di negeri kangguru itu.

Ternyata, saat sinyal ponsel SOS itulah, para sindikat beraksi merebut nomor kartu Indosatnya. Apesnya lagi, pembobolan akun bank dalam aplikasi mobile juga berlangsung mulus. Saldo di rekeningnya langsung terkuras dan tersisa hanya US$20 dolar di Commonwealth Bank. Tidak hanya itu, pelaku juga membobol kartu kredit BNI, BCA, dan Citibank hingga ratusan juta.

"Kecanggihan mereka walaupun lulusan SD bisa akses kemana-mana. Tapi saya 'beruntung' karena cara mereka manual dengan modus-modus lama, dia datang dengan mengaku sebagai Ilham Bintang terus minta kartu baru," kisahnya. 

Cara manual itulah yang membuat pihak kepolisian mudah melacak keberadaan pelaku. Berbekal bukti CCTV di gerai Indosat Bintaro X Change, Tangsel, komplotan asal Sumatera Selatan ini bisa diringkus.

"Tapi disitu juga persoalannya kenapa dengan cara jadul pun lembaga Indosat ini enggak punya alat menangkal ini yang menyebabkan kerugian," cetusnya.

Ilham mengaku kecewa dengan provider Indosat yang dinilainya abai karena dengan mudahnya memberi ganti SIM card tanpa verifikasi terlebih dahulu. Begitu juga dengan Commonwealth Bank sebagai penyedia jasa layanan keuangan yang dititipi dana nasabah.

Meski Indosat pada akhirnya memberikan uang kepada Ilham namun ia menolak uang tersebut. "Mereka menggunakan istilah uang kerohiman atau ex gratia (demi kebaikan), bukan karena kerugian saya. Saya enggak mau karena abu-abu, dia perusahaan terbuka kalau ada apa-apa saya bisa dianggap terima suap," tuturnya.

Ilham menjadi salah satu dari ribuan korban kasus kejahatan siber. Meski uangnya tidak kembali, namun dalam waktu singkat pelaku kejahatan bisa terlacak dan dihukum. Kasus yang menimpa Ilham bahkan dinyatakan menjadi preseden untuk mempercepat penggodokan Rancangan Undang-undang (RUU) Data Pribadi.

"Masalah besar kita data pribadi kita bocor, setiap hari kita nerima SMS, karena data pribadi disebarluaskan," imbuhnya.

Pelopor jurnalistik entertainment ini pun mengakui risiko perkembangan di sektor digital sejalan dengan perkembangan teknologi yang ada. Namun, ia menyoroti peran provider yang dengan mudahnya memberikan izin atas pengajuan SIM card baru.

"Nomor-nomor cantik itu juga masih diperdagangkan padahal peraturan menteri Kominfo kalau mau  aktivasi nomer ponsel harus berikan KTP, itu enggak sembarangan dikasih," tandasnya.

Serangan siber meningkat

Ilham Bintang dan Hilda menjadi salah dua dari banyak kasus serangan siber yang menimpa masyarakat Indonesia. Direktur Tindak Pidana Ekonomi Khusus Kabareskrim Polri Brigjen Pol. Helmy Santika menyebutkan transformasi industri jasa keuangan ke arah digital semakin cepat dengan datangnya pandemi. Praktis, hampir semua pelaku jasa keuangan menyediakan layanan digital demi memenuhi kebutuhan pelanggan.

"Pandemi jadi pemicu laju digitalisasi perbankan dengan pembatasan aktivitas fisik. Di satu sisi mempermudah masyarakat dalam bertransaksi cukup pakai HP, di sisi lain ada peningkatan kejahatan siber dalam aktivitas perbankan," ujarnya dalam Virtual Seminar LPPI, Mengelola Risiko Siber Dalam Industri Digital beberapa waktu lalu.

Bareskrim Polri mencatat dalam kurun waktu 2017 sampai September 2021, ada 7.789 laporan terkait kejahatan siber di aktivitas perbankan, 6.655 kasus penipuan online, dan 1.134 terkait akses ilegal.

"Sasaran kejahatan siber perbankan ada 3 jenis: kejahatan yang menyasar data nasabah, verifikasi real time, kejahatan infrastruktur IT, dan cyber fraud," paparnya.

Direktur Keamanan Siber dan Sandi Keuangan, Perdagangan, dan Pariwisata Badan Siber dan Sandi Negara Edit Prima menambahkan sepanjang tahun 2020 insiden siber yang paling sering terjadi adalah serangan siber berupa malware, phising, pencurian data, DDOS (Distributed Denial of Service), skimming terhadap pengunaan kartu, jackpotting dan adanya bug atau kelemahan pada sistem perbankan.
  
"Selama tahun 2021, sektor keuangan merupakan kedua tertingi yang mengalami serangan siber, terjadi kebocoran data akibat malware 21,8%. Kedua setelah sektor pemerintahan yang sebesar 45,5%. Salah satu faktor diakibatkan serangan malware, virus dan trojan," paparnya dalam kesempatan yang sama.

BSSN mencatat terjadi 927.130.649 anomali trafik atau serangan siber dari bulan Januari sampai September 2021. Adapun sebaran sektor kasus peretasan di Indonesia yakni 40,1% menyasar bidang akademik, 22,8% swasta, 16,4% pemerintah daerah, 10,07% pemerintah pusat, 4,1% hukum, dan 2,7% personal.

Untuk itu, dia menyarankan kepada para penyelenggara jasa keuangan untuk meningkatkan keamanan. Diantaranya dengan mengintegrasikan data nasabah dengan data Ditjen Kependudukan dan Pencatatan Sipil (Dukcapil) Kementerian Dalam Negeri secara real time. Kemudian, menerapkan pengamanan dengan pengamanan two factor verification, KTP, wajah dan sidik jari secara ketat.

Kelemahan pengguna

Pengamat Digital Arief Rama Syarif menilai tingginya kejahatan siber di sektor jasa keuangan khususnya perbankan tidak semata-mata karena rendahnya keamanan penyedia jasa. Kelemahan terbesar, menurutnya, justru berasal dari sisi pengguna jasa itu sendiri.

"Kondisi bank sudah siap beberapa lapis keamanan dan canggih. Sebelum launching ada tes-tes pada server-server yang mereka miliki, apalagi back up data transaksi itu paling penting. Tantangan paling besar ada di user," katanya kepada Alinea.id, Selasa (19/10).

Dia memaparkan banyak pengguna jasa keuangan digital yang belum teredukasi. Misalnya, menggunakan password tanggal lahir maupun nama anak dengan alasan mudah diingat. Padahal, hal itu justru memperbesar peluang peretasan. Selain itu, banyak pula pengguna teknologi digital yang menyimpan dokumen penting seperti KTP di galeri ponsel.
  
Padahal, beberapa aplikasi mobile yang terpasang di ponsel bisa menembus data di galeri hingga daftar kontak. Seperti halnya terjadi pada pengguna jasa financial technology (fintech) ilegal.

"Bayangkan umpama sudah buka rekening bank dan lihat iklan pinjol, begitu pinjol di download di HP, sebenarnya secara teknologi mobile aplikasi itu mengontrol seluruh perangkat kita," ujar Staf Ahli bidang IT di PT Prima Armada Raya ini.

Bahkan aplikasi selain pinjol ilegal pun, kata dia, banyak yang menguasai perangkat ponsel pengguna. Misalnya, bisa melacak keberadaan pengguna, menelusuri hobi dengan teknologi Artificial Inteligence (AI), riwayat transaksi hingga memegang data pribadi pengguna.

Karena itu, Arief menekankan kendali untuk meredam risiko kejahatan siber ada di tangan pengguna. Salah satunya, dengan tidak over sharing di media sosial. Ia menyoroti kebiasaan para pengguna medsos yang mencantumkan tanggal lahir agar bisa mendapatkan ucapan selamat. 

"Bodohnya lagi posting foto dengan lilin yang menunjukkan umur, itu semua adalah data," cetusnya.

Hal yang paling aman, menurutnya, adalah tidak mempunyai media sosial dan menggunakan layanan perbankan secara konvensional. "Karena teknologi itu seperti pisau bermata dua," ulasnya.

Dia menyebutkan pencurian data pribadi dewasa ini jangan dipahami seperti halnya data Badan Pusat Statistik (BPS). Cara berjoget, makanan kesukaan, umur, keluarga, dan lain-lain yang terunggah di media sosial adalah data yang bisa diolah pelaku kejahatan siber.

"Meskipun kita menghapus postingan di medsos, bukan berarti data hilang sama sekali, itu masih tersimpan di server media sosialnya," ingatnya.

Karenanya, Arief yang membuka kelas gratis soal kegiatan digital kepada masyarakat grass root ini selalu mengingatkan agar masyarakat bijak bermedia sosial. Hal senada juga diungkapkan Direktur Center of Economic and Law Studies (Celios) Bhima Yudhistira. 

Dia menjelaskan kerugian perbankan secara global dari serangan siber mencapai US$100 miliar berdasarkan survei IMF (Dana Moneter Internasional). Untuk Indonesia, data spesifik PWC tahun 2018 sebanyak 14% responden mendapat kerugian US$1 juta.

"Perbankan berisiko 3 kali lipat menjadi target serangan siber dibanding sektor lainnya," katanya kepada Alinea.id, Jumat (24/9).

Dia menambahkan tanpa disadari, pencurian data pribadi sudah terjadi dalam keseharian. Ia menyebutkan ada pencurian data (identity theft) yang berujung pada pengambilan alih akun (account takeover), phising, dan lain-lain menjadi risiko perkembangan teknologi digital.

"Ada yang manipulasi panggilan atau SMS meminta nomor yang masuk ke ponsel ternyata itu membagikan OTP, itu banyak kasusnya, kartu kredit misalnya," sebutnya.

Menurutnya, modus-modus tersebut sebenarnya bisa dicegah oleh stakeholder berwenang seperti Kementerian Kominfo maupun OJK. Namun sayang, sejauh ini langkahnya masih lambat, ego sektoral, dan memiliki banyak alur birokrasi. 

Karenanya, Bhima memandang perlu ada sinergi dan koordinasi antara para stakeholder untuk menuntaskan kejahatan-kejahatan digital. Di sisi penyedia jasa layanan, lanjutnya, juga harus terus memperbaharui sistem keamanan.

"Intinya penjahat selalu dua langkah lebih cepat dibandingkan regulator maka harus terus di update sistem keamanan secara berkala sehingga bisa menyamai modus-modus kejahatan digital yang terus berkembang," sebutnya.

Bhima dalam webinar bertajuk Digital Banking Experience: Antara Kenyamanan dan Keamanan Bertransaksi menyarankan agar nasabah bank berhati-hati ketika menggunakan fasilitas wi-fi publik. "Usahakan jangan akses wi-fi untuk aktivitas mobile banking," tegasnya.

Dia juga menyebutkan banyak kasus penipuan juga bermula dari nasabah yang melaporkan permasalahannya ke ranah media sosial. Hal ini memicu kasus penipuan melalui customer service suatu layanan perbankan yang palsu.

"Misalnya enggak transaksi tapi saldo terpotong dan posting di medsos, itu jadi sasaran empuk pihak-pihak enggak bertanggungjawab, mereka jadi CS palsu dan chat langsung nasabah, seolah-lah CS resmi. Meminta user name, PIN, nama ibu, tanggal lahir dan informasi-informasi data pribadi," bebernya.

Modus kejahatan lain yang juga sering terjadi, tambahnya, adalah spoofing yaitu hacker membentuk website URL yang sama persis dengan website asli. Modus ini kerap menjebak nasabah mengisi data pribadi di website palsu tersebut.

Ada pula penipuan yang dilakukan melalui short message service (SMS). Para penipu menawarkan layanan terbaru dengan meminta penerima pesan mengklik link yang disebar. "Ketika di klik link, data kita di HP bisa berpindah tangan sampai galeri, kontak, dan lain-lain," sebutnya.

Karena itu, ia menyarankan masyarakat waspada pada modus-modus tersebut. Selain itu, Bhima juga mengingatkan agar orang tua selalu memisahkan smartphone yang berisi akun bank digital dengan smartphone yang digunakan anak-anak. Pasalnya, seringkali terjadi beberapa aplikasi berkedok gim untuk anak-anak meminta data-data pribadi.