Begini Modus Pelaku Penggandaan Data Mobile Banking 150 Nasabah Bank BUMN
- Terdakwa I membuat aplikasi Mobile Banking Bank BNI versi sendiri yang disebut "BNI" dan "BNI Tools" (aplikasi penarik dana). Lalu terdakwa I dan II menjalankan aplikasi tersebut dengan cara memasukkan user name, password dan PIN dan bisa melakukan transaksi seperti cek saldo dan transfer.
Fintech
JAKARTA - Akun nasabah PT Bank Negara Indonesia (Persero) Tbk (BBNI) berhasil di retas pembobol. Sedikitnya dalam kurun waktu 3 bulanan 150 data nasabah dapat diakses pelaku melalui aplikasi bank yang berbasis android.
Menurut dokumen pengadilan yang diperoleh TrenAsia.com, pembobolan data akun nasabah tersebut dilakukan oleh dua pelaku dengan cara menduplikasi akun nasabah. Kedua pelaku kini tengah diproses oleh Polda Jawa Timur dan PN Surabaya. Lalu bagaimana modus operandi kedua pelaku?
Modus Pelaku
Sekitar awal bulan Maret 2022 bertempat di Hotel Louis Kienne Pandanaran Kota Semarang, Terdakwa I (Maulana Arifin) meretas Aplikasi Mobil eBanking Bank BNI dengan menggunakan sebuah handphone Samsung Note 10 miliknya dan sebuah laptop Asus milik terdakwa Il (Husni Mubaroq).
- Investor Buat Surat Terbuka, Minta Mark Zuckerberg Menyerah Pada Meta
- Indonesia Resesi Tahun Depan? Chatib Basri: Menurut Saya Tidak
- Makin Perkasa, Kalbe Farma (KLBF) Akuisisi 100 Persen Saham Sanofi Afentis
Caranya, awalnya terdakwa mendownload aplikasi di Play Store versi 4.5. Setelah itu dibongkar dengan menggunakan aplikasi Android Jadx untuk mendapatkan algoritma android dan mendapatkan file CONFIG URL.JS yang berisi data CONFIGURASI KEY beserta MODULUS.
Selanjutnya terdakwa mendeskrit dengan menggunakan aplikasi Carles De Bodging. Kemudian untuk mendapatkan key (kunci) terdakwa I menggunakan aplikasi Android Decompiler lalu mendapatkan source code sehingga file CONFIG URL.JS (JavaScript) tadi dapat KEY (Endscript Traffic) nya dan terlihatlah user name, password, serta PIN.
Selanjutnya terdakwa I membuat aplikasi Mobile Banking Bank BNI versi sendiri yang disebut "BNI" dan "BNI Tools" (aplikasi penarik dana). Lalu terdakwa I dan II menjalankan aplikasi tersebut dengan cara memasukkan user name, password dan PIN dan bisa melakukan transaksi seperti cek saldo dan transfer.
Kedua terdakwa menjalankan aplikasi tersebut dan memasukkan data nasabah Bank BNI pada aplikasi “BNI” berupa username, password, SIM serial number, device type, OS version. Selanjutnya mereka memasukkan password acak kedalam aplikasi “ON Tools” dan mendecrypt PIN menjadi kode pin Mobile Banking milik nasabah, lalu memasukkan kode pin Mobile Banking Bank BNI milik nasabah tersebut pada kolom password di aplikasi "BNI" selanjutnya klik loggin sehingga muncul tampilan data nasabah berupa nama nasabah, nomor rekening, jumlah saldo, jenis rekening, transfer keluar, dan transfer ke sesama.
- Bagaimana Caranya Cek Skor Kredit BI Checking Secara Online? Simak di Sini!
- Agung Podomoro Masih Jadi Raja Mal, Ini Daftarnya!
- Dengan TrenAsia ESG Excellence 2022, Pebisnis Harus Ubah Mindset ke Arah Keberlanjutan
Disamping tampilan tersebut, terdapat beberapa jenis pilihan menu salah satunya transfer. Kemudian untuk menarik dana nasabah Bank BNI caranya adalah menekan pilihan “transfer” pada tampilan aplikasi lalu mentransfer sesuai tujuan, setelah berhasil mentransfer maka akan muncul notifikasi “sukses”.
Selanjutnya, kedua terdakwa mengoperasikan "BNI" dan "BNI Tools setelah data - data nasabah Bank BNI beserta akun mobile bankingnya yang telah berhasil diperoleh terkumpul.
Terdakwa Il, setelah mengetahui data nasabah-nasabah dan mengecek saldo rekening nasabah, lalu memilah-milah terdakwa, memberikan data-data tersebut beserta aplikasi penarik dana ("BNI" dan "BNI Tools) kepada saksi (Adi Ramadhan) yang penuntutannya dalam berkas perkara terpisah. Kemudian oleh Saksi Adi Ramadhan, dana yang ada di rekening nasabah tersebut ditarik dengan menggunakan aplikasi penarik dana yang dibuat terdakwa I.
Dalam kurun waktu Maret 2022 hingga Juli 2022, para terdakwa telah berhasil mengakses data nasabah-nasabah Bank BNI yang terdapat dalam aplikasi Mobile Banking Bank BNI sebanyak kurang lebih 150 nasabah Bank BNI. Terdakwa I dan II juga tidak mempunyai hak serta wewenang dalam mengakses Mobile Banking nasabah-nasaban Bank BNI tersebut.
Terdakwa I mendapatkan keuntungan total sebesar kurang lebih Rp400 juta, sedangkan terdakwa II mendapatkan keuntungan kurang lebih sebesar Rp150 juta. Akibat perbuatan terdakwa I bersama-sama terdakwa II dalam mengakses komputer dan/atau sistem elektronik milik orang lain dengan cara meretas Mobile Banking Bank BNI, mengakibatkan kerugian sebesar kurang lebih Rp838.101.789.
Tanggapan BNI
Menjawab pertanyaan TrenAsia.com, Corporate Secretary BNI, Okki Rushartomo mengatakan pihaknya mengapresiasi kinerja dari aparat penegak hukum dalam menindaklanjuti laporan perseroantersebut, sehingga dapat mengungkap total 5 pelaku yang seluruhnya merupakan pihak eksternal.
“Kami berkomitmen terus menerus meningkatkan sistem keamanan perbankan digital kami, dengan mengadopsi framework cybersecurity dan standar-standar keamanan yang berlaku secara internasional, seperti ISO 27001 dan NIST untuk memastikan reliability system. Selain itu, kami senantiasa melakukan pembaharuan terhadap sistem dan keamanan sesuai dengan perkembangan teknologi. Sehingga nasabah dapat bertransaksi melalui aplikasi perbankan digital dengan aman dan nyaman,” kata Okki kepada TrenAsia.com, Rabu, 26 Oktober 2022.
Ditambahkan, perseroan memastikan dalam kegiatan operasionalnya selalu memenuhi ketentuan yang diatur regulator perbankan dan berupaya memberikan layanan terbaik bagi nasabah. Ia turut menghimbau nasabah untuk dapat menjaga data pribadi dengan tidak memberikan data pribadi maupun informasi lain nya melalui link dari sumber tidak resmi.
Pelaku Memanfaatkan Celah Keamanan
Pengamat Siber dan Chairman Communication dan Information System Security Research Center (CISSReC), Pratama Persadha mengatakan, melihat dari berkas pengadilan para pelaku melakukan peretasan terhadap aplikasi mobile banking BNI.
Artinya ada celah keamanan dalam aplikasi tersebut yang dimanfaatkan oleh para pelaku. Hal ini tidak menutup kemungkinan juga bisa terjadi di bank lain. Karena itu diperlukan pengecekan berkala pada sistem perbankan dan juga aplikasi yang digunakan secara luas oleh para nasabahnya.
“Pembobolan dana nasabah lewat aplikasi mobile banking ini bisa dilakukan dengan banyak cara, namun salah satu yang paling sering dilakukan adalah dengan phising dan social engineering. Tapi yang pasti, para pelaku harus mempunyai data terlebih dahulu. Nah data ini bisa mudah didapatkan di internet, dari berbagai data bocor. Bahkan tidak harus dengan data spesifik perbankan, dengan data bocor lainnya juga bisa,” kata Pratama kepada TrenAsia.com
Ditambahkan, para pelaku biasanya secara random melakukan email phising maupun melakukan social engineering dengan mengaku sebagai CS BNI. Dari 1.000 panggilan misalnya, ada 10-100 yang merupakan nasabah BNI dan memberikan username dan passwordnya. Karena lewat internet banking dan mobile banking BNI ini apabila gagal memasukkan password yang benar hingga 2 kali, maka akun akan terblokir dan harus diaktifkan lewat cabang terdekat.
Menariknya dalam kasus ini, menurut keterangan pihak BNI, pelaku menggunakan aplikasi pihak ketiga. Tentu menarik mengikuti perkembangan aplikasi apa yang digunakan oleh para pelaku. Karenanya pihak bank harus secara berkala memberikan edukasi ke para nasabah langkah-lagkah minimal untuk menghindarkan diri menjadi korban phising dan social engineering, karena sebagian besar memang modus ini yang dilakukan oleh para pelaku kejahatan.
"Nasabah jangan mudah memberikan username dan password kepada siapapun termasuk pihak yang mengaku sebagai CS bank. Hal ini harus disampaikan bank kepada nasabah berkali-kali untuk mengurangi fraud," tambah Pratama.