tirto.id - Rekening wartawan senior Ilham Bintang diduga dibobol oleh orang tak bertanggung jawab melalui penggunaan nomor kartu Subscriber Identity Module (SIM) Indosat Ooredoo miliknya. Akibatnya, Ilham kehilangan ratusan juta rupiah lantaran pelaku melakukan transfer ke hampir 100 rekening berbeda padahal proses itu tak memperoleh persetujuan dirinya.
Usut punya usut, pelaku bisa memakai kartu SIM milik Ilham usai mengajukan permintaan penukaran kartu seluler fisik di gerai Indosat. Ilham pun belakangan telah melaporkan masalah ini kepada polisi pada 7 Januari 2020.
CEO & Chief Digital Forensic Indonesia (DFI) Ruby Alamsyah menjelaskan kalau kejadian yang menimpa Ilham kerap dikenal sebagai “SIM Swap Fraud.” Alih-alih menilai ini adalah kesalahan operator, Ruby mengatakan ada faktor konsumen dan sisi perbankan yang tidak bisa diabaikan.
Setidaknya ada tiga tahapan yang terjadi sampai suatu rekening perbankan bisa dikuasai berbekal Sim Card korban. Pertama, kata Ruby, pelaku akan berupaya memperoleh data korban atau dikenal dengan nama phising melalui telepon, SMS, sampai mengirim link palsu dalam berbagai bentuk.
Ketika pelaku sudah memperoleh sejumlah data pribadi yang diperlukan, kata Ruby, pelaku baru dapat mengelabui operator telekomunikasi seperti mendatangi gerai guna mengganti SIM korban.
Tahapan terakhir, pelaku menggunakan aplikasi mobile banking dengan SIM card korban. Pelaku melakukan aktivitas login dan mereset kata sandi milik korban yang bisa cukup dilakukan melalui OTP.
“Kejahatan ini utamanya membobol rekening bank melalui mobile banking. Kejahatan ini jelas bukan salah petugas operator,” ucap Ruby saat dihubungi reporter Tirto, Selasa (21/1/2020).
Ruby menjelaskan kejahatan “SIM Swap Fraud” yang dialami Ilham ini sebenarnya bukan pertama kali. Kenyataannya kejadian ini sudah sempat menimpa konsumen lain.
Belajar dari beberapa kasus, Ruby menyimpulkan ada beberapa hal yang perlu dilakukan konsumen. Antara lain tidak sembarang mengklik link atau chat yang dkirim orang tak dikenal.
Lalu tidak memberikan atau mengisi informasi terkait data pribadi dan perbankan kepada siapapun melalui media apa pun.
Sampai titik itu, kata Ruby, masyarakat kini berhadapan dengan seberapa andal keamanan layanan perbankan yang mereka nikmati, baik berupa mobile maupun internet banking.
Ia mencontohkan ada beberapa bank sampai saat ini masih menerapkan sistem keamanan yang mengandalkan OTP murni.
Maksudnya, perubahan kata sandi sampai pin dapat dilakukan via SMS. Lalu autentifikasi transaksi juga bisa cukup dilakukan via SMS, padahal menurutnya harus ada tingkat pengamanan lebih dari itu.
Misalnya menggunakan token yang nomornya selalu berubah-ubah setiap transaksi dan hanya bisa dimiliki oleh konsumen. Lalu ada juga opsi penggunaan PIN yang hanya bisa diketahui konsumen dan perubahannya harus melalui operator bank, alih-alih OTP saja.
“Di sini pelaku mencari kelemahan mobile banking yang masih menggunakan OTP,” ucap Ruby.
Menurut Ruby pada titik ini ada tanggung jawab dari perbankan untuk membenahi sistem keamanannya. Pasalnya, kasus “Sim Swap Fraud” sudah terjadi berulang lagi dan munculnya kasus Ilham Bintang berarti ada yang belum dibereskan oleh industri perbankan secara benar.
Tanggung jawab lain juga dimiliki oleh Bank Indonesia dan Otoritas Jasa Keuangan (OJK). Menurut dia, regulator harus memastikan ada standar keamanan yang harus dipenuhi pada layanan mobile/internet banking perbankan.
Menurut dia, kasus Ilham Bintang sepatutnya jadi momentum memperbaiki ini. Bila perlu regulator memberi sanksi bila kasus ini terulang, lantaran sistem keamanan bank nyatanya masih belum cukup aman bagi nasabah.
“Itu mestinya bisa diminimalisir. Kalau pihak regulator tadi berperan aktif membantu memberikan rekomendasi dan sanksi kalau perbankan masih tidak mengamankan kepentingan nasabah mereka,” ucap Ruby.
Direktur Eksekutif ICT Institute Heru Sutadi menambahkan perbankan juga perlu memperketat keamanan data pribadi konsumen agar jangan sampai dimanfaatkan untuk memperoleh akses SIM Card.
Menurut Heru saat mengaktifkan mobile banking misalnya, konsumen masih harus memasukkan data cukup lengkap seperti nomor kartu ATM sampai tanggal lahir.
“Pelaku harus mendapatkan data itu dulu. Jika kemudian bisa dibobol, maka ada kebocoran data pengguna layanan perbankan, yang bisa terjadi di sisi bank itu sendiri atau dari sisi konsumen misal saat mengurus Kredit Tanpa Agunan,” ucap Heru saat dihubungi reporter Tirto, Selasa (21/1/2020).
Sementara itu, Staf Bidang Pengaduan YLKI Aji Warsito menilai pemerintah perlu bergerak cepat mengatasi situasi ini dan menjadikan kasus Ilham Bintang sebagai momentum. Menurut dia, pemerintah perlu segera menyelesaikan RUU perlindungan data pribadi.
Dengan demikian, kata Aji, pelaku usaha maupun infrastrukturnya sudah siap untuk mencegah hal ini berulang. Selebihnya menjadi tanggung jawab otoritas berwenang untuk menjamin sistem di sektor perbankan cukup aman digunakan konsumen.
“Mendorong OJK untuk melakukan investigasi dan penyelidikan secara tuntas,” ucap Aji saat dihubungi reporter Tirto, Selasa (21/1/2020).
Penulis: Vincent Fabian Thomas
Editor: Abdul Aziz