Menuju konten utama

Transaksi Siluman di Rekening Jenius Bermodus Phishing?

Keamanan produk bank digital kembali dipertanyakan, serentetan kasus pembobolan pun masih terjadi hingga sekarang.

Transaksi Siluman di Rekening Jenius Bermodus Phishing?
Ilustrasi serangan cyber. REUTERS/Kacper Pempel

tirto.id - Jagad Twitter kembali diramaikan dengan cuitan-cuitan soal pembayaran siluman atau transaksi pembayaran misterius di Jenius, aplikasi perbankan digital milik Bank BTPN. Tahun lalu hal ini menimpa influencer @WisnuKumoro.

Akun Twitter @nisrinaicca juga pernah mengunggah pengalaman serupa. Awalnya dia mengaku kesulitan mentransfer uang. Pada 6 Juni, pukul 10:01, dia memindahkan Rp4.172.400 ke BCA dari BTPN. "Tiba-tiba rekening BTPN berkurang sebanyak Rp5,2 juta. Di keterangan ada transaksi top up wallet Linkaja. Transaksi pertama Rp1,5 juta, kedua Rp1,5 juta, ketiga Rp1,5 juta, dan transaksi keempat Rp700 ribu. Saya pernah tidak melakukan transaksi tersebut," akunya.

Setelah @WisnuKumoro dan @nisrinaicca, kali ini hal serupa dialami oleh pemilik akun @tantrides. Ia berbagi cerita beberapa hari lalu.

Tantri Desyanti, 25 tahun, mengatakan baru bangun tidur ketika mendapati akun Jeniusnya telah melakukan sejumlah transaksi dengan total Rp3,2 juta. Ia heran karena pertama, tidak merasa melakukan transaksi apa pun; kedua, setiap sebelum tidur selalu mengaktifkan mode pesawat di ponsel. Artinya, tidak ada keluar-masuk sinyal meski ponsel menyala. Selain itu, sebelum tidur ia masih mengecek aplikasi Jenius. Tidak ada keanehan, nominal saldo tak berubah.

"Tiba-tiba muncul notifikasi. Saya pikir eror, soalnya sama sekali enggak ada transaksi apa pun semalam," katanya.

Ketika dihubungi reporter Tirto, Kamis (11/6/2020), Tantri mengaku ada transaksi "pukul 02.00-04.00" atau ketika ia sedang tidur. Empat transaksi terjadi pada 8 Juni, dengan rincian Rp689.158 dan Rp694.673 via PayPal Fanatical; Rp961.832 melalui PayPal Korsit BV; dan Rp886.814 via PayPal cdkeys.com. Tiga transaksi pertama menggunakan nilai tukar dolar AS dan satu lainnya bernilai tukar pound sterling. Total transaksi Rp3.232.477. "Padahal saya tidak pernah menghubungkan kartu Jenius dengan PayPal," katanya.

Lantas dia menghubungi pihak Jenius, menceritakan kejadian dan membikin laporan. Tantri yang menggunakan Jenius setahun terakhir harus menunggu 14 hari kerja untuk mengetahui investigasi internal aplikasi perbankan digital itu. "Jenius sudah bertanggung jawab dan sedang menginvestigasi kasus saya," katanya.

Jika ada unsur pencurian, kata Tantri menirukan pernyataan perwakilan Jenius, maka saldo yang hilang itu bisa dikembalikan. Saldo yang terkuras yakni saldo aktif. Sementara saldo dalam fitur tabungan di Jenius bernama 'Save It' aman-aman saja, tak berkurang atau lenyap.

Usai pembobolan itu Tantri mengganti PIN akun Jenius serta memblokir kartu m-card dan e-card.

Dia belum berniat melaporkan peristiwa ini ke kepolisian atau Otoritas Jasa Keuangan (OJK) karena masih mau menunggu hasil penyelidikan Jenius. "Kalau tak ada kejelasan, saya akan lapor ke pihak berwenang lain," kata Tantri, lalu mengatakan per 11 Juni lalu uang yang raib itu telah dikembalikan.

Tantri mengira hal serupa dialami oleh pengguna Jenius lain. Karena itu dia berharap Jenius dapat memperbaiki sistem keamanan agar tak terjadi lagi peristiwa serupa.

Corporate Communications Head PT Bank BTPN Tbk. Andrie Darusman mengaku jajarannya masih menginvestigasi perkara Tantri. "Masalah ini sudah menjadi perhatian kami dan sedang dalam tahap investigasi. Sementara ini belum ada yang bisa kami sampaikan," katanya, Rabu (10/6/2020). Andrie menegaskan kenyamanan dan keamanan nasabah selalu menjadi prioritas perusahaan.

Modus Phishing?

Founder, CEO & Chief Digital Forensic dari PT Digital Forensic Indonesia Ruby Alamsyah mengatakan pelaku kemungkinan menggunakan teknik phishing.

Dalam makalah berjudul The State of Phishing Attacks, Jason Hong mengataka phishing bekerja dalam tiga tahap. Pertama, calon korban menerima umpan; kemudian ia mengambil tindakan yang disarankan dalam pesan umpan itu, biasanya pergi ke situs palsu atau memasang malware secara tak sadar atau membalas pesan dengan menyertakan informasi sensitif; dan yang terakhir adalah pelaku memonetisasi informasi yang dicuri.

"Modus phishing atau sejenisnya pasti terjadi hanya berselang satu-dua hari sebelum dia menjadi korban," kata Ruby ketika dihubungi reporter Tirto, Jumat (12/6/2020).

Ada beberapa teknik licik yang memungkinkan calon korban mengikuti umpan tersebut. Misalnya dalam kasus phishing Apple ID, yang dua-tiga bulan belakangan terjadi, isi surel kurang lebih pembatalan transaksi yang tidak pernah dilakukan korban. "Pelaku minta korban masukkan nomor kartu yang digunakan untuk pembayaran, karena panik (korban) masukkan data tersebut," katanya.

Ruby melanjutkan, karena yang dibutuhkan hanya nomor kartu dan CVV (tiga atau empat digit terakhir yang tertera di balik kartu kredit), maka pelaku tidak perlu mengakses aplikasi Jenius korban. "Alias pelaku tidak memerlukan autentikasi apa pun seperti yang dibutuhkan saat pengguna menggunakan aplikasi Jenius."

Baca juga artikel terkait JENIUS atau tulisan lainnya dari Adi Briantika

tirto.id - Teknologi
Reporter: Adi Briantika
Penulis: Adi Briantika
Editor: Reja Hidayat