Cyberthreat.id – Banyak orang bertanya-tanya: bagaimana skenario pembobolan saldo rekening bank korban ketika aplikasi “J&T Express” palsu terinstal di ponsel Android?
Sebab, pencurian melalui m-banking atau internet banking bukanlah hal mudah. Butuh user ID dan password untuk masuk ke aplikasi dan eksekusi terakhir, perlu kode sandi sekali pakai (one-time password/OTP) sebagai verifikasi transaksi.
Sumber Cyberthreat.id yang mengetahui perkembangan kasus tersebut pada Rabu (1 Februari 2023) mengatakan, sumber utamanya adalah data pribadi.
“Mereka telah memiliki data pribadi orang-orang yang akan ditargetkan,” kata sumber yang identitasnya tak ingin diungkap lantaran penyidikan masih berlangsung di kepolisian.
Orang-orang di balik penipuan itu telah memiliki informasi perbankan dari orang yang ditargetkan. Mereka tidak melakukan serangan secara random, tapi sangat tertarget. “Ada orang yang menyuplai data ke para eksekutor (serangan),” ujar sumber.
Informasi perbankan yang dimaksud tersebut tak sekadar nama pribadi, NIK, atau nomor rekening, tapi sudah termasuk user ID dan password untuk mengakses layanan internet banking bank terkait. “Makanya, mereka itu hanya butuh kode OTP,” sumber itu menjelaskan.
Dari mana mereka mendapatkannya? “Entahlah,” ujarnya. “Yang pasti, mereka berhubungan dengan seseorang yang menyuplai data.” Menurut kepolisian, penyuplai data tersebut saat ini masih buron.
Ke-13 tersangka yang telah ditahan sejak 19 Januari lalu, Kepolisian Republik Indonesia menyebutkan, masing-masing orang memiliki peran berbeda-beda—ada yang menjadi eksekutor (menyerang dengan mendistribusikan malware), pembuat malware, penampung data OTP, dan penampung uang.
Berita Terkait:
Jual beli data pribadi nasabah perbankan sejak beberapa tahun terakhir sudah dikeluhkan karena saking mudah dijumpai di forum-forum internet, seperti Breached Forum hingga darkweb—bahkan di saluran media sosial.
Kebocoran data kependudukan juga perbankan selama lima tahun terakhir marak terjadi, lebih-lebih di masa percepatan digital ketika pandemi Covid-19. Peralihan aktivitas warga ke ruang digital, tak dibarengi dengan kemampuan untuk memahami keamanan menggunakan perangkat dan internet. Masih banyak orang yang terjebak dari serangan phishing yang menargetkan data pribadi atau informasi kredensial untuk login ke aplikasi perbankan.
Di sisi lain, tak jarang penjualan data pribadi nasabah justru dilakukan oleh orang dalam. Ini pernah terjadi dalam kasus serangan SIM swap dan pembobolan akun rekening bank milik wartawan senior juga Ketua Dewan Kehormatan PWI Pusat Ilham Bintang. Salah satu tersangka dalam kasus tersebut yaitu pegawai bagian TI di Bank Bintara Pratama Sejahtera. Tersangka bisa mengakses data Sistem Layanan Informasi Keuangan (SLIK) milik Otoritas Jasa Keuangan. (Baca: Terungkap, Modus Sindikat SIM Swap Kuras Uang Ilham Bintang)
Dalam kasus malware “J&T Express” ini, kebanyakan korban yang diidentifikasi adalah nasabah BRI. Cyberthreat.id beberapa waktu lalu juga mewawancarai nasabah BRI sekaligus pengguna m-banking BRImo yang menjadi korban instalasi malware. Dua nasabah tersebut masing-masing merugi Rp35 juta dan Rp98 juta. Dari penuturan salah satu korban, di daerahnya di Pati, Jawa Tengah, sejumlah nasabah BRI juga mengalami kejadian serupa dengan dirinya. (Baca: Hilang Saldo Bank Usai Instal File APK ‘J&T Express’)
Pernyataan sumber Cyberthreat.id terkait skenario pembobolan rekening itu memiliki kecocokan dengan pernyataan pers Bank Rakyat Indonesia pada 19 Januari lalu.
BRI mengatakan bahwa berdasarkan investigasi Polri, terdapat empak kelompok di balik serangan siber tersebut, yaitu pengumpul data nasabah berupa rekening, username, password, nomor HP, dan lain-lain; developer aplikasi palsu; penyebar aplikasi ke calon korban, dan penarik saldo bank.
“Pelaku kemudian mengambil alih internet banking dan melakukan transaksi pemindahan saldo ke beberapa rekening penampungan atau berbagai akun e-commerce sampai akhirnya dilakukan penarikan dana,” ujar BRI.
Menanggapi hal itu, Direktur Manajemen Risiko BRI Agus Sudiarto, mengatakan, BRI secara proaktif terus berkordinasi dan menjalin komunikasi bersama kepolisian guna mendukung proses pengungkapan dan penangkapan kejahatan perbankan.
“Pengungkapan ini menjadi momentum bagi kita semua untuk terus berhati-hati atas berbagai modus penipuan yang saat ini kian marak terjadi di masyarakat. Sekaligus, ini menjadi penanda atas keseriusan BRI untuk menangani kasus ini bersama para pihak terkait,” jelasnya.
Namun, BRI tak memberikan penjelasan bagaimana bisa data-data nasabahnya tersebut bisa sampai ke tangan aktor-aktor penipuan.
Dikirim ke e-wallet
Usai mengeruk saldo bank, para tersangka memanfaatkan aplikasi e-wallet (DANA, OVO), rekening bank, dan rekening virtual account sebagai penampungan dana curian. Selanjutnya, mereka mencairkan dana tersebut melalui penadah yang menjadi agen BRI Link, bahkan ada yang dipakai untuk membeli emas, ujar sumber Cyberthreat.id.
Uang hasil curian dibagi antara penyuplai data dan eksekutor sesuai dengan perjanjian persentase di awal kerja sama.
Dalam rilisnya, Kepolisian menyebutkan ada 495 korban yang uang dikuras. Total kerugian mencapai Rp11,9 miliar. Rata-rata para korban tersebut berasal dari Jakarta dan sekitarnya, meski ada yang berasal dari Jawa Tengah, Kalimantan, Sulawesi Selatan, Sumatera Utara, Nusa Tenggara Timur, dan Maluku.
Saat mengeruk uang nasabah, para eksekutor tak pandang bulu; berapa pun saldo yang tersisa, diambil oleh mereka. “Bahkan, ada saldo berisi Rp100 ribu juga diambil,” sumber itu memberitahu.
Apakah para eksekutor ini orang-orang berpendidikan tinggi? Sungguh mencengangkan, “Mereka rata-rata berpendidikan hanya sekolah dasar, bahkan tak sampai lulus. Ada juga yang tak bisa membaca,” ujar sumber itu.[]
