Penipuan Melalui Mobile Banking Merupakan Kesalahan Pengguna, Operator Atau Bank?
It takes two tango, dibutuhkan lebih dari satu pihak untuk melakukan suatu kejahatan, kata pepatah ini cocok menggambarkan penipuan yang marak melanda pemilik akun mobile banking di Indonesia.
Dua pihak yang dimaksud di sini salah satunya tentu adalah si penipu, dan pihak yang kedua itu bisa pemilik rekening, operator telekomunikasi, atau bisa juga pihak bank, loh kok bisa?
Ya, pemilik rekening, operator telekomunikasi, dan bank bisa menjadi pihak kedua yang berperan dalam penipuan mobile banking di Indonesia, misalnya pemilik rekening yang kurang berhati-hati sehingga bisa tertipu lewat taktik rekayasa sosial, atau operator telekomunikasi dan bank yang menggunakan sistem keamanan yang kurang ketat.
Sebenarnya rekayasa sosial yang digunakan secara teknik tidak canggih dan tidak membutuhkan teknologi atau kemampuan teknis yang tinggi, menurut pengalaman Vaksincom, rekayasa sosial pada umumnya simpel dan tidak mengandalkan teknologi canggih tetapi lebih kepada eksploitasi kelemahan korbannya secara psikologis.
Dalam pelaksanaannya justru memanfaatkan kelemahan sistem dan korbannya yang awam, kabar buruknya hal ini secara tidak langsung difasilitasi oleh pihak penyedia jasa keuangan dan penyedia layanan seluler sehingga korbannya bisa tertipu, penyedia jasa layanan keuangan berperan dengan hanya mengandalkan pada kata kunci (PIN/Password) untuk otoritasi transaksi keuangan penting.
Penyedia layanan seluler pun kurang peka dan memberikan layanan value added (nilai tambah), yang ternyata dapat disalahgunakan oleh penipu untuk mengelabui korban untuk memberikan PIN/Password otorisasi transaksi, yang seharusnya tak boleh diberikan ke siapa pun termasuk petugas bank.
Hal ini terjadi pada suatu layanan Mobile Banking yang cukup populer di Indonesia, seperti gambar di bawah ini.
Korban ditelepon oleh penipu yang mengaku sebagai petugas dari bank dan mengandalkan fitur yang disediakan oleh operator telekomunikasi dengan nama Pop Call, si penipu berhasil memberikan kesan seakan-akan nomornya memang dari bank yang bersangkutan.
Jika diperhatikan dengan baik, kemungkinan besar penerima telepon akan percaya dengan klaim tersebut dan mengira ia melihat 'Caller ID' namun sebenarnya yang dilihat adalah fasilitas Pop Call dan bukan caller ID.
Pop Call
Fitur Pop Call ini sebenarnya sudah melakukan pencegahan agar tak disalahgunakan untuk penipuan, yaitu dengan menggunakan metode blacklist, dengan metode ini, kata atau kalimat yang sering digunakan untuk melakukan penipuan sudah diblokir dan tidak bisa digunakan karena sering digunakan untuk menipu.
Namun karena metode yang digunakan adalah metode blacklist seperti yang digunakan pada blokir email spam dan terbukti metode ini memiliki banyak kelemahan dan mudah di-bypass, penipu tinggal mencari kata yang tidak di-blacklist dan menggunakan kata tersebut sehingga pop up kalimat tersebut muncul dan dikira sebagai caller ID oleh penerima telepon, padahal hanya tampilan Pop Call.
Kelihatannya sistem Pop Call sudah memblokir kata "Center" ,namun dalam kasus ini penipu juga tidak kalah pintar, kata Center di blokir, maka digunakan kata "Centerr" dan terbukti Pop Call meloloskan teks "Call Centerr JENIUS" dan yang lolos dari blokir sistem dan akan tampil di layar ponsel penerima telepon yang kemungkinan besar akan mengira ia menerima telepon dengan Called ID "Call Centerr JENIUS"
Banyak cara yang bisa digunakan untuk mengakali blacklist seperti mengganti huruf l (L kecil) dengan angka 1 sehingga akan muncul Ca11 atau menambahkan pemisah atau spasi, karena itu metode blokir blacklist disarankan untuk tidak digunakan dan sebaiknya menggunakan metode Whitelist atau pilihan terbatas untuk kalimat Pop Call atau persetujuan manual untuk setiap teks Pop Call baru yang ingin ditampilkan.
Pop Call juga sudah memberikan hukuman bagi penyalahgunaan dimana jika mencapai jumlah tertentu percobaan pesan yang dilarang, maka layanan Pop Call akan diblokir, namun hal ini jelas tidak akan efektif memblokir usaha penipuan menggunakan Pop Call karena penipuan tinggal membeli banyak nomor prabayar.
Celah penyalahgunaan layanan Pop Call ini dimanfaatkan dengan baik oleh pnipu dan dengan menyamar sebagai petugas bank dan teknik menakut-nakuti korbannya misalnya akun akan diblokir jika tidak melakukan penggantian password dan berpura-pura menanyakan PIN untuk membantu nasabah.
Namun tujuan sebenarnya adalah mendapatkan PIN Otoritas transaksi untuk menguras dana nasabah tersebut, hal ini dapat terjadi karena perlindungan transaksi finansial Mobile Banking hanya mengandalkan PIN dan PIN ini dapat digunakan berulang-ulang untuk otoritas transaksi trasnfer dana.
Secara hukum kesalahan memang ada di pihak nasabah, mengapa sampai bisa tertipu memberikan PIN otoritas transaksi atau tidak melindungi PIN otoritas transaksi dengan baik, namun tidak dapat disangkal bahwa pengamanan otorisasi transaksi yang lemah dan fitur Pop Call sangat berperan pada keberhasilan aksi penipuan ini.
0 coment�rios: