Cyberthreat.id – Ini pengalaman saya dua hari lalu ketika membuat akun baru di Instagram. Membuat akun baru sangat mudah karena cukup menggunakan email dan nomor HP yang sudah dipakai di akun lama. Jadi, kita tinggal menyiapkan nama baru.

Setelah selesai membuat akun baru, saya mengikuti sejumlah akun populer, seperti tokoh, perusahaan, media, dan lain-lain. Yang membuat saya terkejut adalah ketika saya mengikuti akun resmi sejumlah bank. Ketika saya mengikuti akun Bank BNI, Bank Mandiri, dan Bank Rakyat Indonesia, tiba-tiba dalam waktu beberapa menit setelah klik follow, beberapa pesan dari akun asing mampir ke kotak masuk.

Anehnya, semua pesan itu menggunakan foto profil dan nama dari bank-bank tersebut. Ketika mengirimi pesan itu, mereka seolah-olah sebagai costumer service. Memberikan salam persis seperti CS dan jika butuh bantuan bisa menguhubungi mereka.

Misalnya, akun yang berkedok sebagai "Bank BRI" dengan nama "bankbri6132133" mengirim pesan berisi seperti berikut:

"Hai Sobat BRI. Jika ada kendala atau buth info dan layanan BANK BRI, Silahkan konfirmasi melalui WhatsApp layanan live Chat BRI, di bawah ini. Clik link WhatsApp di bawah ini. https://wa.link/4920u7. Terimakasih."

---

---

Tentu saja, ini sebuah cara penipu untuk menggaet nasabah dari bank-bank tersebut. Saya perhatikan akun-akun yang mengirimkan pesan itu, semua memiliki follower dan following ribuan, tapi tak satupun dari mereka mengunggah konten. Yang lucu, ada akun bernama "ppann.du" dan "buttergun_" mengaku sebagai "Bank Mandiri" ketika mengirimi saya pesan itu memiliki ribuan follower dan following. Ketika saya memblokirnya, lalu mengecek kembali sejam berikutnya, ternyata jumlah follower dan following berubah menjadi angka nol, seperti tangkapan layar berikut.

---

---

Kejadian itu membuat saya bertanya-tanya. Bagaimana bisa orang asing mendeteksi bahwa seseorang telah mengikuti akun bank tertentu? Ketika saya mengikuti Bank Central Asia atau BTN, tidak ada pesan asing yang saya terima.

Saya jadi berpikir, jangan-jangan orang-orang di balik operasi menyebar pesan berantai itu memang biasa menargetkan nasabah Bank Mandiri, BNI, dan BRI. Saya jadi teringat kasus serangan malware kurir berkedok "J&T Express" yang menargetkan nasabah BRI yang memakai mobile banking dan SMS banking. (Baca: Geger Malware Kurir)

Pengalaman pesan asing seperti itu memang pernah saya jumpai dari orang-orang di Twitter, tapi jarang saya temui pada pengguna Instagram.  Di Twitter, tak sedikit nasabah bank berkeluh kesah tentang layanan sebuah bank, sambil menyebut (mention) akun resmi bank yang bersangkutan. Ternyata, aktivitas nasabah itu diawasi atau dipantau oleh orang-orang yang berniat jahat. Setelah berkeluh kesah dengan beberapa cuitan, mereka mendapati pesan dari akun yang mengaku sebagai bank tersebut. Aktor jahat ini mencoba meyakinkan bahwa dirinya adalah perwakilan bank.

---

Akun yang menyaru sebagai BNI.

---

Alfons Tanujaya, peneliti keamanan siber Vaksincom, mengaku tak heran dengan skema serangan itu. Kejadian seperti itu jamak terjadi di media sosial. Sejak media sosial dipakai untuk medium mengirimkan keluhan atau komunikasi dengan CS bank, di situlah nasabah menjadi target serangan siber berupa penipuan.

Kenapa orang jahat bisa memantau seseorang yang mengikuti akun bank? Alfons menduga follower dari bank-bank tersebut terbuka sehingga ketika terjadi penambahan, orang lain bisa memantau atau mengetahuinya. Follower baru ini, menurut Alfons, adalah target empuk dari serangan social engineering (penipuan yang memainkan psikologis calon korban sehingga mau menyerahkan informasi detail tentang pribadi atau perbanka).

"Biasanya orang yang mengikuti akun bank, cenderung ada masalah. Mereka mau komplain. Nah, saat itulah waktu sempurna (bagi aktor jahat) untuk menjalankan social engineering (soceng)," kata Alfons saat berbincang dengan saya, Selasa (17 Januari 2023).

Serangan soceng, kata dia, cenderung dilakukan oleh penipu dengan menargetkan nasabah yang sedang kebingungan atau bermasalah. "Saat terjadi masalah, biasanya kan kewaspadaan nasabah menurun. Di situlah tingkat social engineering tinggi," ujarnya.

Penipuan kelas teri semacam itu, kata Alfons, memang masih terjadi. Namun, yang patut dipahami adalah mengapa penipu mudah sekali membuat rekening bank?

---

Sejumlah akun palsu mulai mengikuti akun Instagram yang baru saya buat.

---

Alfons pun mengatakan, kebocoran data kependudukan adalah salah satu faktor yang memudahkan pembuatan rekening bodong yang biasa dipakai oleh pelaku kejahatan. "Akun-akun rekening bodong ini diperjualbelikan, beli rekening palsu dengan ATM dan PIN," ujar Alfons.

Ketika saya mengetik di Google search tentang pembuatan rekening palsu, ternyata banyak penawaran di media sosial, seperti di Facebook dan blog. Di unggahan sebuah blog bernama "jual-rekening-aspal.blogspot.com", penawaran rekening baru diberikan untuk macam-macam bank, bahkan bisa menyesuaikan nama yang diinginkan. Biayanya antara Rp1,8 juta hingga Rp5 juta. Di kolom komentar, terlihat aktivitas blog ini sejak 2018 hingga 2021.

Menurut Alfons, serangan soceng kepada nasabah bank yang berbekal "pemantauan medsos" cenderung berjejaring atau berkomplot. "Dalam tiga tahun terakhir ini kasusnya cenderung meningkat," katanya.

Alfons mengatakan, semua aktivitas kejahatan perbankan sebetulnya bisa dilacak dan dicegah. Tapi, selama kebocoran data penduduk terus terjadi, aksi kejahatan juga akan tetap berjalan. Maka, menurut dia, dalam hal pembukaan rekening ini seharusnya benar-benar melalui mekanisme yang sulit dipalsukan. "Setiap orang  buka rekening bank, wajib memperlihatkan KTP asli dan KTP harus dipindai oleh mesin pindai Dukcapil. Jadi, mesin pindai ini harus disebarkan ke bank-bank sebagai cara pencegahan," ujarnya.

Dari kejadian ini, menarik untuk kita berhati-hati ketika sedang bermasalah dengan bank. Lebih baik membuat keluhan langsung ke bank bersangkutan, tanpa harus membuat cuitan atau status di media sosial. Alih-alih Anda mendapatkan solusi dari pihak yang bersangkutan, justru aktor jahat yang menghampiri Anda. Selalu waspada dan triple check akun media sosial yang menghubungi Anda. Kejahatan bisa terjadi juga karena kelengahan kita.[]