Cyberthreat.id - Ketua Indonesia Cyber Security Forum (ICSF), Ardi Sutedja menyarankan industri keuangan memperbaharui Standar Operasional Prosedur (SOP) dengan menyesuaikan modus kejahatan yang ada saat ini.

Ardi mengatakan, terjadinya banyak kasus pembobolan rekening bank seharusnya membuat industri keuangan khususnya perbankan seharusnya bisa berkaca pada berbagai kejadian pembobolan rekening dengan memperbaharui SOP keamanannya.

"Masalah SOP yang ada saat ini bisa dikatakan sudah kadaluarsa ya, dan tidak merefleksikan keadaan dan modus-modus kejahatan di industri keuangan saat ini," ungkap Ardi kepada Cyberthreat.id, Jumat (13 November 2020).

Menurut Ardi, tak hanya dari sisi regulasi yang harus diperbaharui dengan menyesuaikan dengan bentuk ancaman terkini. Dalam proses rekrutmen SDM, industri keuangan juga harus mempergunakan pendekatan ilmu pengetahuan terkini, di antaranya psikiatri forensik untuk melakukan profilling mengenali calon pegawainya.

"Ini bisa menjadi sarana deteksi dini rekrutmen SDM bagi industri-industri yang peka seperti industri-industri infrastruktur kritis seperti perbankan dan lainnya," kata Ardi.

Selain itu, Ardi menilai pihak industri keuangan sebenarnya sudah memiliki berbagai instrumen pencegahan namun seringkali instrumen tersebut hanya sampai untuk memenuhi persyaratan minimal yang ditetapkan oleh regulator.  

"Hanya sedikit sekali yang mau berpikir untuk menggunakan lebih di atas persyaratan minimal atau beyond standard untuk selangkah lebih maju dari penjahat siber," ujar Ardi.

"Tidak ada sistem yang 100 persen sempurna, yang namanya orang punya niat jahat ada di mana-mana dan celakanya mereka juga mengikuti perkembangan tehnologi yg berarti kelemahannya pun mereka juga pelajari." tambahnya.

Ardi juga meminta kepada industri perbankan untuk memberikan edukasi kepada karyawan dan masyarakat mengenai berbagai macam jenis ancaman siber yang mengintai mereka. Karena meskipun sudah menggunakan sistem dan teknologi apapun pasti akan selalu ada kerentanan.

"Ini semua adalah bom waktu, semua celah dari sisi kelalaian  nasabah, hingga orang dalam di bank sudah lama diketahui. Namun semua pihak terlalu terpaku pada regulasi dengan standar minimal. Kuncinya, kalau sudah diketahui faktor-faktor resiko yang bisa terjadi seharusnya bank melakukan program edukasi  kepada staf dan nasabah dan pelanggan," kata Ardi.

Sebelumnya, Kantor Perwakilan Bank Indonesia Provinsi DKI Jakarta mengatakan dalam 10 bulan terakhir (Desember 2019 - September 2020) menerima 216 aduan yang berdampak pada pembobolan rekening lewat metode phishing, penipuan One-time-password (OTP), rekayasa sosial, dan pengambilalihan kartu seluler (SIM Swap).

Kepala Perwakilan BI DKI Jakarta Luctor E. Tapiheru mengatakan, dalam kasus yang terkait pembajakan nomor ponsel, umumnya dilakukan oleh pelaku dengan menggunakan identitas palsu. Bermodal data diri target dan memasang foto dirinya, pelaku mengelabui petugas gerai operator seluler untuk mendapatkan nomor ponsel target.

Dalam kasus kartu seluler, kata dia, juga ada modus SIM Card recycle atau daur ulang kartu seluler.

"Ini memanfaatkan SIM card yang pernah didaftarkan pada alat pembayaran, tapi belum dilakukan update kepada penyelenggara sistem pembayaran," kata Luctor. (Selengkapnya lihat: BI DKI Jakarta Terima 216 Aduan Terkait Phishing hingga SIM Swap).

Baru-baru ini seorang nasabah Bank BTN Bogor bernama Irfan Kurnia menggugat Bank BTN ke Pengadilan Negeri Jakarta karena dianggap lalai menjaga uang nasabah. Uang Irfan yang disimpan di bank itu raib Rp2,965 miliar. Sidang perdananya digelar pada 11 November 2020 lalu tanpa dihadiri pihak BTN.

Penelusuran Irfan menemukan uangnya hilang setelah sehari sebelumnya ada yang mengambil alih nomor ponselnya di Grapari Telkomsel.

Pembajakan nomor ponsel yang dialami Irfan ini mirip dengan yang menimpa wartawan senior Ilham Bintang pada awal Januari 2020 lalu.

Pelaku dalam kedua kasus itu sama-sama mengawali aksinya dengan mengambil alih nomor ponsel korban lewat gerai resmi operator seluler. Dengan menguasai nomor ponsel, pelaku bisa mendapatkan akses ke akun perbankan korban, lantaran pihak bank menjadikan nomor ponsel sebagai salah satu metode verifikasi, termasuk mengirimkan kode password sekali pakai (OTP) ke ponsel.

Hanya saja, Ilham Bintang lebih beruntung daripada Irfan Kurnia. Setelah dilaporkan ke polisi pada 17 Januari 2020, pada 5 Februari Polda Metro Jaya mengumumkan telah menangkap delapan orang yang terlibat dalam sindikat pembobolan rekening bank Ilham Bintang. Sementara untuk kasus Irfan yang terjadi pada awal Juli 2019, hingga kini belum ada tersangkanya.

Dalam kasus Ilham, berdasarkan keterangan Polda Metro Jaya, komplotan pelaku mendapatkan data diri Ilham termasuk jumlah tabungannya dari data Sistem Laporan Informasi Keuangan (SLIK) milik OJK yang bisa diakses pihak perbankan. Data itu dibeli dari salah satu tersangka bernama Hendri Budi Kusumo, seorang pegawai TI di Bank Bintara Pratama Sejahtera.

Sebagai pegawai bank, Hendri mendapat akses ke data SLIK OJK. Data itu antara lain berupa nomor rekening, nomor kartu kredit, nomor telepon, saldo rekening bank, dan limit kartu kredit. Menurut polisi, dari hasil jual beli itu, dalam setahun Hendri mendapat keuntungan mencapai Rp500 juta.

Bermodal data itu, pelaku berbagi tugas. Ada yang membuat KTP palsu atas nama korban, untuk mengambil alih kartu SIM untuk menguasai nomor telepon korban. Nomor telepon dibutuhkan untuk menerima pasword sekali pakai (OTP) yang dikirim lewat SMS. Dengan begitu, pelaku bisa masuk ke akun m-banking milik korban.

Tersangka pelaku yang bertugas mendatangi gerai Indosat, wajahnya terdeteksi lewat rekamanan CCTV. Saat itu, Indosat mengakui ada kelalaian yang dilakukan petugas saat proses verifikasi data Ilham Bintang. 

Sayangnya, nasib Irfan Kurnia berbeda dengan Ilham Bintang. Meskipun kerugian Irfan hampir Rp3 miliar, namun polisi belum menemukan tersangka pelaku meski kasusnya terjadi lebih setahun lalu.

Penelusuran yang dilakukan Irfan, pembobolan rekening bank miliknya terjadi setelah seseorang mengambil alih nomor ponselnya dengan menipu petugas di Grapari Telkomsel Tangerang City di Bumi Serpong Damai (BSD).

Menurut kuasa hukum Irfan, Pahrozi, pelaku penipuan datang ke Grapari Telkomsel dengan membawa KTP palsu. KTP itu menggunakan data diri Irfan Kurnia, namun fotonya memakai wajah pelaku.

Bermodalkan KTP palsu itu, pelaku meminta Grapari menerbitkan kartu baru dengan nomor yang sama dengan yang dipakai Irfan dengan alasan kartu lamanya hilang.

Setelah menguasai nomor ponsel Irfan yang terdaftar di Bank BTN itu, pelaku kemudian datang ke bank BTN Cabang Modernland Tangerang untuk membuat ATM baru, dan menarik uang sebesar Rp10,5 juta menggunakan ATM yang baru dibuatnya.

Setelah itu, kata Pahrozi, pelaku datang ke Bank BTN Cabang BSD Tangerang dan meminta pihak bank mentransfer uang dari rekening Irfan senilai Rp2,95 miliar ke rekening atas nama PT Berkat Omega Sukses Sejahtera yang beralamat di Jalan Batu Ceper Raya Nomor 18A, Jakarta Pusat. Itu adalah perusahaan pertukaran uang (money changer). Diduga, pelaku menukar rupiah menjadi uang dolar.

Telkomsel sendiri dalam pernyataan yang dikirim ke Cyberthreat.id mengatakan masih melakukan koordinasi internal untuk mempelajari kasus itu meskipun kejadiannya sudah lebih setahun lalu.

"Pada prinsipnya, jika dibutuhkan kami siap berkoordinasi dengan aparat penegak hukum untuk membantu penanganan kasus yang dimaksud," kata General Manager External Corporate Communications Telkomsel, Aldin Hasyim, dalam keterangan tertulis yang dikirim ke redaksi Cyberthreat.id, Rabu malam (11 November 2020).

Ada pun Bank BTN sendiri menyalahkan nasabah tidak berhati-hati karena data nasabah dan dokumen lainnya berada pada orang lain. Selain itu, Bank BTN juga merasa sebagai korban atas dugaan tindak pidana pemalsuan itu. 

Kepala Badan Perlindungan Konsumen Nasional (BPKN) Rizal Halim menilai kasus itu terjadi melibatkan konsumen, penyedia jasa telekomunikasi dan perbankan.

Dari sisi penyedia jasa, kata Rizal, jasa telekomunikasi harus memiliki sistem keamanan berlapis untuk memastikan tidak ada terjadinya pencurian data pribadi.

Dari sisi penyedia jasa perbankan, kata dia, harus melakukan prosedur yang ekstra hati-hati.

"Sepanjang itu bukan kesalahan atau kelalaian dari konsumen, maka penyedia jasa wajib bertanggung jawab. Apakah karena sistem keamanan rendah atau lemah ataukah kelalaian dari banking officer-nya, dan itu tidak bisa dikatakan sebagai oknum, karena ini adalah korporasi, dia dikenakan hukum korporasi. Tidak bisa itu dikatakan oknum, karena ketika terjadi aktivitas transaksi atas penyedia jasa, itu atas nama korporasi bukan personal," kata Rizal kepada Cyberthreat.id, Rabu (11 November 2020).[]

Editor: Yuswardi A. Suud