Cyberthreat.id - Bagi Anda nasabah perbankan Bank Central Asia (BCA) berhati-hatilah jika mendapatkan telepon masuk dari nomor yang mirip dengan nomor resmi HaloBCA.

Baru-baru ini, seorang nasabah BCA membagikan pengalamannya mendapat telepon dari nomor +1500888. Sekilas, itu mirip dengan nomor resmi HaloBCA dengan nomor 1500888. Bedanya hanya pada tanda (+). Tampaknya itu adalah nomor Amerika Serikat dan Kanada yang menggunakan kode negara +1.

"Nyaris kena tipu scam halobca hadeh.  Ada otp masuk tapi gue gak transaksi. Lalu tiba2 dapet call dari nomor : +1500888. Itu penipunya sempet ngomong sekitar 10 menitan, lalu gue close karena lalu jebak2 minta otp or cvv (tiga angka di belakang kartu kredit). Yang asli yg gak ada + nya sama sekali," tulis pemilik akun @JetVeetlev di Twitter yang unggahannya telah dicuit ulang oleh lebih dari 2 ribu pengguna Twitter lainnya.

Awalnya, kata Jet, ada One-Time-Password (OTP) yang masuk lewat SMS ke ponselnya. Padahal, dia tidak melakukan transaksi digital apa pun.

Saat dikonfirmasi oleh Cyberthreat.id, @JetVeetlev bilang OTP itu berasal dari BCA. Kode OTP itu untuk mengonfirmasi sebuah tranksaksi di marketplace Blibli yang menggunakan kartu kredit BCA dari MasterCard atas namanya. Sementara @JetVeetlev saat itu tidak melakukan transaksi apa pun di sana.

Setelah  menerima OTP itulah Jet mendapat panggilan telepon dari +1500888. Dari tangkapan layar yang diunggah Jet Veetlev, panggilan masuk itu sekitar pukul 21.48.

Namun, Jet menolak panggilan yang masuk itu karena terlihat dari nomor Amerika Serikat. Meski panggilannya ditutup, penipu kembali menghubungi nomor Jet melalui nomor berbeda, menggunakan kode areanya Indonesia: +6282111144421.

"Dia call lagi dengan nomor CS lain dan bilang kalau tolong jangan di-reject karena itu benar nomor BCA. Sounds convincing kan. Ya udah dia call lagi tuh pake yg +1," kata Jet, dikutip dari utasnya di Twitter, Jumat (26 Februari 2021).

Karena merasa penipu itu meyakinkan, Jet pun mengangkat telepon yang masuk kembali dari nomor +1500888. Saat itu, Jet mengaku melanjutkan pembicaraan karena begitu mulai panggilan "ada suara rekaman gitu kayak resmi bilang 'This phone call is recorded'" tuturnya.

Dalam pembicaraan itu, penipu menanyakan ke Jet apakah dia sedang melakukan transaksi atau tidak, lalu menyebutkan limit kartu kreditnya,serta alamat komplek rumah. Jet Veetlev mengatakan tidak sedang bertransaksi, namun semua data yang disebutkan oleh penipu itu benar adanya. Diduga penipu telah mendapatkan data nomor kartu kreditnya dari sumber lain.

Karena Jet mengaku bukan dia yang bertransaksi, penipu pun berpura-pura akan membantu Jet Veetlev untuk memblokir kartu kreditnya, tetapi transaksi yang diklaim penipu "berhasil", akan dibatalkan. Kemudian, penipu meminta Jet mendatangi kantor BCA terdekat.

"Besok disuruh ke BCA terdekat untuk ambil kartu kredit baru baru. Dikasih nomor laporan," kata Jet.

Penipu pun berlaku seolah-olah sebagai customer service (CS) resmi. Jet yang tidak tahu itu penipu kemudian menanyakan mengapa bisa ada transaksi yang berhasil. Padahal dia tidak mengonfirmasi tranksasi apa pun. Penipu menjawab, "transaksi itu dilakukan dari nomor lain yang tercatat sebagai nomor kedua Jet."

Seperti CS pada umumnya, penipu pun menawarkan untuk menghapus nomor itu karena Jet mengaku tidak mengetahui nomor tersebut.

"Dia sebutin. Gw bilang lah gak tau nomor siapa itu. Dia bilang 'ok berarti kena phising or cloning nih data bapak. Kami bantu apus yah'" kata Jet. Karena tidak curiga, Jet pun menyetujui omongan penipu itu. "Gue ok".

Sampai tahap itu, Jet mengaku penipu itu terdengar meyakinkan. Jet pun masih mengikuti arahan dari penipu, sampai akhirnya si penipu meminta Jet memberikan data yang tertera pada kartu kredit BCA-nya.

"Dia minta gue cek fisik BCA card gue masih sama gue gak. Gw bilang 'iyah ada'. Dia bilang coba pastikan pak lalu gunting. Dia lalu minta gue sebutin bulan dan tahun expired. Gue ambil lah kartu gue," katanya.

Jet yang tidak menaruh curiga pun memberitahu bulan dan tahun expired kartunya kepada penipu. Jet mengaku kepada Cyberthreat.id, bahwa penipu juga menyebut nomor kartunya dengan benar. Soal bulan dan tahun expired kartunya, Jet mengaku keceplosan.

Beberapa kali penipu meminta Jet mengulangi data yang telah disebutkan dengan alasan untuk memastikan kebenarannya. Saat itulah Jet curiga karena penipu menanyakan pertanyaaan yang sama berulang-ulang.

Jet tambah curiga ketika penipu memintanya menyebutkan tiga angka di belakang kartu, tepat di samping tanda tangannya.

"Lahhhhhh gimane... Gue blg loh itu kan CVV yah.." ujarnya.

Sekedar informasi, CVV (Card Verification Code) atau CVC (Card Verification Code) adalah tiga angka di belakang kartu kredit yang dibutuhkan untuk konfirmasi transaksi. Jika tiga angka itu jatuh ke tangan orang lain, yang mengetahui nomor kartu kreditnya, maka transaksinya akan berhasil.

Tiga angka CVV atau CVC di belakang kartu kredit yang diincar pelaku.

Penipu masih berusaha mendapatkan CVV kartu kredit milik Jet dengan mengatakan bahwa itu diperlukan untuk membatalkan transaksinya yang katanya mencapai 10 transaksi dengan nilai Rp20 juta.

Penipu berusaha meyakinkan Jet dengan mengatakan bahwa seharusnya nominalnya Rp1 juta semua, tetapi malah ada 10 transaksi yang melebihi nilai maksimal per satu kali transaksi.

Penipu mengatakan kepadanya bahwa tidak perlu takut karena dia akan membantu memblokirnya. "Gue mikir loh kok ngulang lagi dia," kata Jet. Namun, Jet mengaku tidak memberikan CVV itu kepada penipu.

Tidak berhenti sampai di situ, penipu mengatakan akan ada data yang masuk ke nomornya dan tidak dianjurkan untuk menekan OK. Ternyata yang masuk adalah OTP dari Blibli sebanyak 2 kali.

"Penipu ini lalu bilang, nah untuk memastikan nomor bapak benar, coba sebutkan angka yg muncul jangan tekan OK. Di hp gue gak ada muncul OK. Udah curiga deh bener," jelasnya.

Penipu masih berusaha meyakinkan Jet yang sudah curiga karena penipu meminta OTP. Jet mengatakan penipu berusaha membuatnya agar tidak ketakutan dengan mengklaim bahwa kartunya sudah berhasil diblokir tetapi lantas menyuruhnya menggunting kartu kreditnya.

Lalu ada lagi OTP yang masuk yang diklaim penipu untuk membantu membatalkan transaksi.

"Dia push [dorong] untuk sebutin lagi OTP yang baru masuk. Mengulang dia, jangan tekan OK, bapak sebutkan saja kodenya untuk memastikan aman," kata Jet.

Jet yang sudah curiga pun asal-asalan menyebut kode OTP, bukan seperti yang masuk di ponselnya. Di sela-sela, dia mencari melalui Google "nomor siapa +15000888", dan muncullah situs web BCA yang berisikan edukasi terkait nomor palsu yang mengaku sebagai BCA. Hanya saja menurutnya tak ada +1500888 dalam web itu.

Akhirnya, Jet merasa itu penipuan dan memutuskan menutup telepon itu lalu menghubungi HaloBCA asli 1500888 tanpa kode "+". Operator resmi HaloBCA pun mengatakan kepada Jet bahwa itu penipu, kemudian kartu kreditnya diblokir oleh BCA.

Namun penipu itu tak menyerah dan masih berusaha menghubungi Jet lagi untuk mendapatkan kode OTP dan CVV kartu kreditnya.

Meski tidak memberikan CVV dan kode OTP kepada penipu, Jet mengaku setelah memeriksa melalui HaloBCA asli, ada Rp1,8 juta transaksi di platform belanja online Banggood Thailand. Padahal itu tanpa melibatkan CVV dan OTP.

Itu artinya, transaksi di Banggood Thailand tidak mengonfirmasi kode CVV, hanya bermodal nomor kartu kredit yang bocor dan tanggal expired date, transaksi bisa dilakukan.

Platform belanja online Banggood Thailand versi bahasa Indonesia
 

"Tidak ada OTP apapun dari Banggood ini yang aneh. Tanpa CVV berhasil. Berarti memang pakai nomor kartu dan expired date aja sih," katanya kepada Cyberthreat.id, Jumat (26 Februari 2021).

Operator HaloBCA asli, kata Jet, pada saat itu membantu membuatkan laporan blokir dan laporan pembatalan transaksi dan kartu kredit baru akan dikirim ke alamatnya.

Jet pun menghimbau pengguna melalui utasnya itu agar tetap menjaga kode CVV dan OTP untuk diri sendiri dan tidak memberikan ke siapa pun termasuk jika ada yang mengaku dari pihak perbankan.

"Kalau ragu yah telpon langsung ke bank penerbit kartu kredit terus minta kepastian aja," katanya.

Jet mengaku telah melaporkannya ke BCA dan sedang menunggu kabar selanjutnya setelah pelaporannya.

"Oh nanti dari BCA akan hapus sih tagihan itu. Saya belum cek lagi apakah sudah atau belum," kata kepada Cyberthreat.id, Kamis (25 Februari 2021).

Dari kasus yang dialami Jet ini, jika diurutkan, tampaknya pelaku telah mendapatkan nomor kartu kreditnya. Dalam sejumlah kasus, pelaku mendapatkan nomor kartu kredit dari peretasan terhadap marketplace atau platform online yang menyimpan data kartu kredit. Data kartu kredit itu kemudian dijual di forum peretasan.

Agar data nomor kartu kredit itu bisa digunakan untuk berbelanja online, pelaku harus mendapatkan nomor CVV-nya (kecuali dalam kasus di Banggood Thailand yang dialami Jet). Karena itu, pelaku menghubungi pemilik kartu dengan berpura-pura dari layanan HaloBCA dan menawarkan untuk seolah-olah hendak membatalkan transaksi. Padahal, yang diincar adalah tiga angka CVV di belakang kartu kredit dan kode OTP untuk konfirmasi transaksi. Jika diserahkan, maka transaksinya akan berhasil, dan Anda yang menanggung kerugiannya.[]

Editor: Yuswardi A. Suud