Cyberthreat.id -  Executive Vice Presiden Center of Digital Bank Central Asia (BCA), Wani Sabu mengatakan modus penipuan daring berkedok akun HaloBCA di Twitter itu memang pernah terjadi tetapi kini sudah jarang.

Wani pun mengatakan setiap bulan pihaknya menemukan belasan akun palsu yang mengatasnamakan HaloBCA. Akun-akun palsu itu pun, diklaim Wani selalu diproses untuk ditutup atau takedown. Hanya saja, cara itu tidak membuat penipu berhenti.

"Selalu muncul terus, karena sangat mudah bikin akun sosmed. Tapi BCA selalu laporkan untuk di-takedown," ujarnya, kepada Cyberthreat.id, Senin (22 Februari 2021).

Setiap bulan, kata Wani, pihaknya menemukan sekitar 20 akun palsu dan ditindaklanjuti untuk diblokir.

Tak hanya itu, Wani mengatakan sebagiannya ditindaklanjuti ke ranah hukum pidana. Saat ini prosesnya sudah di kejaksaan. Tetapi dirinya tidak memastikan ada berapa akun palsu yang telah atau sedang ditangani. Wani mengaku lupa apakah pelaku yang dilaporkan itu sudah dipenjara atau belum.

Wani menuturkan bahwa penipu itu tidak hanya membuat akun palsu mengatasnamakan BCA untuk menargetkan nasabah bank BCA, tetapi juga menggunakan modus serupa untuk menargetkan institusi lain.

"Satu pelaku bisa bikin ratusan account," kata Wani. "Hanya BCA sih yang follow up, rasanya bank lain tidak follow up," tambahnya.

Wani menilai bahwa modus ini sama seperti rekayasa sosial atau social engineering yang tidak ada habis-habisnya.

Selain itu, kata Wani, dari BCA ada tim yang memantau akun palsu ini, yakni  dari fraud banking, IT security dan marketing communication.

Mengenai para nasabah yang mengalami hal ini, Wani menyebut jarang-jarang yang terjebak, atau tidak banyak. Terkait nominal kerugian nasabah yang terperangkap tipuan akun bodong ini, Wani mengatakan kecil nominalnya.

"Tidak besar, cuman sering dibikin viral. Kecil-kecil," ujarnya.

Yang biasanya nominal besar, kata Wani, jika ambil alih kartu atau rekening. Saat ditanya apakah jika jatuh pada perangkap penipu BCA mengganti uang nasabah, Wani memastikan BCA tidak menggantinya.

Wani pun mengklaim pihaknya juga sering melakukan edukasi terkait ini. "Kalau tidak diedukasi mungkin tiap hari ada ratusan atau ribuan," katanya.

Salah satu contoh edukasi dikirimkan kepada Cyberthreat.id yakni melalui media sosial Instagram @goodlifebca. Di sana, BCA mengunggah sebuah video yang ditujukan untuk admin akun palsu yang mengaku dari Bank BCA. 

"Dear, para admin akun palsu yang ngaku Bank BCA....Video ini dibuat untuk kalian. Ingat ya akun resmi BCA sudah verified dan ada centang birunya . Share ke teman-teman yang lain, supaya mereka terhindar dari modus akun palsu ini," tulis @goodlifebca.

Di situs resminya, BCA juga menyoroti akun palsu HaloBCA, yang disebut BCA sebagai akun-akun 'aspal' (asli tapi palsu) yang menggunakan nama Halo BCA disertai tetapi nama penggunanya dimirip-miripkan dengan nama pengguna akun HaloBCA resmi. Pembedanya antara akun asli dan palsu yakni pada centang birunya, BCA mengatakan akun Twitter resmi bank BCA asli adalah nama Halo BCA dan nama penggunanya @HaloBCA.

Pembedanya antara akun asli dan palsu adalah akun asli memiliki centang biru atau Twitter's verification badge yang terletak di sebelah nama pengguna.

Akun Twitter asli Halo BCA ditandai dengan tanda centang biru di sebelah nama akun

Bank BCA pun mengaku tidak akan meminta data pribadi perbankan milik nasabah, sehingga data pribadi seperti nomor kartu ATM, kode OTP, user ID, PIN, nomor CVV kartu kredit dan data perbankan lainnya tidak boleh diberikan kepada siapa pun.

Januari 2021 lalu, Cyberthreat.id sempat menanyakan terkait adanya akun-akun palsu menyerupai customer services perbankan di media sosial dalam wawancara bersama Wani dalam kapasitasnya sebagai Kepala Komite Kerja Cyber Security. Saat itu Wani mengaku sulit menghilangkan akun sampai nihil karena penipu mudah membuat akun-akun palsu.

"Terpenting, nasabah paham dan tidak memberikan data apapun ke fraudster [penipu]," katanya. (Lihat: Ketua Komite Kerja Cyber Security di Perbankan, Wani Sabu: Social Engineering Modus Utama Serangan ke Nasabah Bank).

Sebelum itu, pada 11 November 2020, dalam webinar "Perlindungan Konsumen dalam Bertransaksi Online", Wani juga mengaku bahwa ada modus penipuan berbekal akun palsu mengatasnamakan HaloBCA, yang bertujuan mendapatkan data nasabah.

Wani mengatakan melalui akun palsu itu penipu membaca komplain-komplain nasabah yang ditanyakan ke akun asli HaloBCA, dan ketika mengetahui komplain itu, penipu melalui akun palsu ini menanyakan kepada nasabah yang komplain.Saat itu, Wani mengatakan bahwa memang ada saja nasabah yang terpedaya dengan penipu ini sehingga data 16 angka nomor kartu, 3 angka dibelakang kartu, serta tanggal masa kadaluarsa kartunya pun diberikan nasabah kepada penipu itu.

Ini persis sama dengan temuan pakar IT Vaksincom, Alfons Tanujaya baru-baru ini yakni penipuan daring berkedok Call Center BCA atau "HaloBCA palsu" di media sosial.

"Para penipu sudah sangat piawai dalam menggali data dari media sosial dan memalsukan dirinya seakan-akan call center bank yang siap membantu Anda," kata Alfons dalam keterangan yang diterima oleh Cyberthreat.id, Sabtu (20 Februari 2021).

Alfons menjelaskan cara utama penipu dalam menjaring korban adalah dengan memonitor tweet yang diarahkan pengguna ke akun resmi HaloBCA di Twitter (@HaloBCA).

Pengguna Twitter seringkali mengeluhkan masalah layanan bank dengan mengirimkan tweet disertai menyebut akun resmi. Para pengguna inilah, kata Alfons, yang menjadi target penipuan.

Berbekal akun Twitter “HaloBCA palsu”, para penipu menanggapi tweet pengguna tersebut. Tindakan ini cukup terorganisasi dengan “tingkat keberhasilan cukup tinggi karena terlihat banyak akun penipu yang berlomba-lomba memberikan tanggapannya.”

Menurut Alfons, akun-akun palsu itu memiliki nama pengguna bermacam-macam, semuanya menyertakan kata “HaloBCA” dalam nama pengguna, diikuti dengan foto profil “logo BCA”.

Bunyi tweet yang dikirimkan akun “HaloBCA palsu” itu mengikuti kata-kata yang acap kali dituliskan oleh akun resmi ketika membalas tweet pengguna. Bedanya, kata Alfons, akun palsu ini disertai “nomor WhatsApp atau tautan ke akun WhatsApp yang dipersiapkan untuk menipu korbannya.”

Jika pengguna menulis nomor telepon saat menyebut HaloBCA di Twitter, mereka biasanya akan dihubungi oleh para penipu ini melalui WhatsApp, tutur Alfons.

Penipu menggunakan logo BCA di foto profil WhatsApp, bahkan ada yang membuat akun versi bisnis guna menyakinkan calon korban. Dari komunikasi ini, penipu meminta korban untuk mengisi data melalui tautan yang diberikan. Tautan ini halaman situs web phishing yang seakan-akan dari BCA.

"Jika diklik akan menampilkan halaman untuk meminta nomor kartu ATM dan PIN mobile banking," ujarnya. Dari situlah, mereka menggaruk data-data pribadi korban.Terlebih, untuk mengakses m-banking BCA, nasabah hanya butuh password dan PIN. Ini berbeda dengan internet banking  BCA yang memerlukan One-Time-Password (OTP) dari token yang hanya dimiliki pemilik akun sehingga akan lebih sulit dieksploitasi. (Baca juga: Hati-hati Penipuan Daring Berkedok Akun HaloBCA di Twitter).[]

Editor: Yuswardi A. Suud