Beranda
Nasional
Internasional
Metro
Daerah
Lifestyle
Sports
Ekonomi Bisnis
Teknologi
Sains
Otomotif
Edukasi
Kalam
GenSINDO
Infografis
Video
Foto
Indeks
Waspada Phishing!
loading...
Megawati Simanjuntak dan Anna Maria Tri Anggraini (Foto: Ist)
A
A
A
Megawati Simanjuntak
Ketua Komisi Penelitian dan Pengembangan, Badan Perlindungan Konsumen Nasional dan Pengajar di Departemen Ilmu Keluarga Konsumen, FEMA, IPB, dan
Anna Maria Tri Anggraini
Wakil Ketua Komisi Penelitian dan Pengembangan, Badan Perlindungan Konsumen Nasional dan Pengajar di Fakultas Hukum, Universitas Trisakti
PEMBATASAN mobilisasi individu saat pandemi Covid-19 semakin memperkuat arus transformasi digital. Kebiasaan bertransaksi telah bergeser dari konvensional menjadi digital dan terjadi pada semua lini seperti di layanan jasa keuangan.
Layanan keuangan bertransformasi dari nondigital menjadi digital. Dalam dunia perbankan, salah satu bentuk penerapan transformasi digital adalah electronic banking (e-banking).
Baca Juga: koran-sindo.com
Berdasarkan Pasal 2 Undang-Undang Nomor 10 Tahun 1998 tentang Perubahan Atas Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan, bank memiliki kewajiban untuk mengelola setiap jasa keuangan yang ditawarkan kepada nasabah dengan prinsip kehati-hatian yang tinggi.
Akan tetapi, sistem perbankan seringkali menjadi sasaran empuk penjahat siber. Ketika layanan digital semakin lengkap maka risiko kejahatan siber juga akan meningkat. Berdasarkan data Badan Siber dan Sandi Negara (BSSN) terdapat 16.882 kasus e-mail phishing sepanjang 2022.
Dari berbagai serangan siber yang terjadi, secara global sektor keuangan merupakan sektor yang paling sering terkena insiden siber. Pembobolan bank dengan menggunakan serangan siber memanfaatkan social engineering, OTP fraud, SIM swap, maupun juga phishing.
Menurut data Laporan Direktorat Tindak Pidana Siber Bareskrim Polri, ada 5.579 serangan phishing yang terjadi di Indonesia sepanjang kuartal II Tahun 2022. Sebaran phishing paling banyak mengincar lembaga keuangan khususnya perbankan dengan rasio mencapai 41%.
Mendukung data tersebut, hasil laporan “Persepsi Publik atas Perlindungan Data Pribadi 2021” yang dilakukan oleh Kementerian Komunikasi dan Informatika menyebutkan bahwa fenomena kebocoran data pribadi memang banyak terjadi di produk perbankan atau lembaga keuangan.
Dari sejumlah produk perbankan atau lembaga keuangan, e-wallet dan rekening bank dinilai sebagai produk yang dianggap rentan mengalami kebocoran data. Tercatat, 36,6% responden mengatakan kebocoran data terjadi di dompet digital dan 30,2% terjadi pada rekening bank.
Dulunya phishing menggunakan modus telemarketing dan berupa e-mail palsu. Meskipun modus tersebut sampai saat ini masih ditemukan, muncul modus baru yang lebih canggih yaitu phishing menggunakan modus Android Package Kit (APK) modifikasi yang mengatasnamakan APK pengiriman paket, produk perbankan, undangan pernikahan, tagihan PLN dan pajak.
Awalnya pelaku mengirim link yang sudah dimodifikasi dengan aplikasi kepada korban via Whatsapp. APK ini adalah aplikasi atau modul aplikasi yang dijalankan sistem operasi Android yang telah dimodifikasi oleh para pelaku hanya untuk mendapat mirroring inbox SMS.
Setelah mengklik aplikasi tersebut, aplikasi akan ter-install di ponsel korban dan pelaku memiliki akses ke perangkat perbankan korban. Ketika akses perbankan korban telah didapatkan, pelaku lalu melakukan transaksi.
Sebelumnya para pelaku sudah mempunyai username, password, dan PIN dari nasabah tersebut yang disediakan oleh pelaku yang berperan sebagai penyedia database calon korban, sehingga pelaku bisa langsung melakukan transaksi keuangan perbankan melalui mobile banking dan otomatis OTP dari bank akan terkirim dari korban, di mana device dari korban sudah ter-install APK tersebut.
Faktor Pendorong
Serangan phishing sektor perbankan memang paling banyak terjadi pada pengguna internet banking dan mobile banking. Phishing adalah sarana yang paling efektif dalam memanfaatkan kelalaian orang dalam menggunakan media digital. Terdapat tiga celah potensi kasus phishing terjadi.
Pertama dari sisi perbankan, yaitu dilema antara keselamatan dengan kenyamanan layanan perbankan. Contohnya, dalam pembuatan rekening, nasabah bisa melalui aplikasi digital tanpa harus datang ke kantor cabang. Hal ini memungkinkan adanya celah penyalahgunaan data pribadi.
Kedua dari sisi pengguna, phishing dapat memanipulasi orang agar terpancing terhadap sesuatu yang menarik. Contohnya penipuan iklan penawaran upgrade menjadi nasabah bank prioritas, undangan pernikahan, surat tilang, layanan ekspedisi, tagihan pajak, layanan BPJS dan lain-lain yang menggunakan modus Android Package Kit (APK).
Ketiga adalah celah dari sisi operator. Saat pertama kali mengaktifkan SIM card, biasanya hanya memerlukan registrasi tetapi tidak ada verifikasi kebenaran data pribadi yang didaftarkan.
Faktor pendorong risiko terjadinya kasus phishing adalah perilaku konsumen yang malas membaca, cenderung tidak mau mengadu ke pihak yang berwajib karena malas ribut, perilaku konsumen yang suka instan, dan konsumen yang cenderung pasif.
Kejahatan perbankan seperti phishing tidak terlepas dari kurangnya financial literation konsumen dan sosialisasi dari pemerintah. Kebiasaan masyarakat saat ini berbanding lurus dengan pelaku kejahatan. Masyarakat gencar meneruskan berita yang belum tentu kebenarannya yang bisa menjadi pintu masuk terjadinya kasus phishing.
Di sisi lain, phishing ini semakin berisiko karena adanya entitas-entitas jasa keuangan yang dalam proses bisnisnya mem-by pass atau memudahkan sistem outentifikasi dan verifikasi bahkan beberapa tidak ada.
Penanganan Kasus Phishing
Selama ini, ada beberapa kendala penanganan kasus phishing. Dari sisi masyarakat/konsumen, literasi digital dan keuangan yang dimiliki memang masih kurang. Sementara itu, Bareskrim Polri menyebutkan sulitnya penanganan kasus phishing disebabkan karena kejahatan penipuan yang semakin canggih (melibatkan multi player anonymous dan multi developer), multilayering kejahatan yang timbul karena kemudahan untuk registrasi tanpa verifikasi, dan korban yang tidak segera melapor bahkan barang bukti telah tereliminasi.
Selain mendorong konsumen untuk lebih berhati-hati dan teliti, negara sebenarnya juga harus memberikan ruang pengaturan yang bisa meminimalkan terjadinya kejahatan. Pemerintah melalui Otoritas Jasa Keuangan (OJK) perlu memperkuat sistem keamanan data nasabah perbankan dengan menerapkan pengamanan berjenjang dengan tetap menjaga kenyamanan nasabah.
OJK perlu mendorong perubahan sistem verifikasi nama ibu kandung dan menerapkan sistem verifikasi digital, contohnya menggunakan tanda tangan digital atau sertifikat elektronik. Verifikasi nama ibu kandung menjadi sangat lemah jika sampai saat ini masih dipertahankan, karena efek keterbukaan informasi yang membuat mudahnya akses mendapatkan informasi tersebut.
Selain itu, untuk menyosialisasikan keamanan digital, OJK perlu menyusun panduan berisi informasi terkini mengenai jenis dan modus penipuan digital terkini beserta mekanisme pelaporannya kepada otoritas berwenang. Penyelenggara Sistem Elektronik (PSE) perlu didorong untuk melakukan literasi dan edukasi yang diikuti dengan pengukuran efektivitas dari literasi yang telah dilakukan.
Selain itu, hal yang perlu didorong adalah mengembangkan kebijakan untuk mereduksi data anonim di internet seminimal mungkin, salah satunya dengan menerapkan kembali kebijakan penataan sim card prabayar.
Kementerian Komunikasi dan Informatika (Kominfo) harus mendorong pembentukan dan penetapan lembaga yang akan melaksanakan UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP) dan peraturan turunannya agar terdapat lembaga yang secara definit mengatur tentang perlindungan data pribadi.
Kemudian, untuk membantu konsumen mengidentifikasi keaslian akun resmi pelaku usaha jasa keuangan, Kominfo perlu mengawasi penyedia layanan media digital dalam memberikan lencana verifikasi (Verify Account Ownership).
Terakhir, OJK bersama dengan otoritas lainnya seperti baik Kepolisian, Kominfo maupun pemerintah daerah, serta konsumen khususnya tokoh masyarakat, para pemuka agama, dan influencer perlu melakukan sosialisasi secara terintegrasi dan lebih intensif tentang cara mencegah agar tidak terkena phishing.
Selanjutnya, ada beberapa tips bagi konsumen untuk menjaga keamanan data pribadi, antara lain menghindari penggunaan koneksi internet wireless (Wi-Fi) di sembarang tempat; mengganti password/PIN e-mail, media sosial, ATM/internet banking, media cloud, dan aplikasi layanan secara berkala; membuat password dengan menggunakan kombinasi huruf kecil, angka, dan kapital.
Juga tidak menggunakan password dengan data lahir, nomor KTP hingga NIK; tidak menunjukkan data pribadi seperti e-mail, kode OTP dan password kepada siapa pun; tidak membuka tautan (link) mencurigakan di dalam e-mail, SMS, atau kanal lain.
Selain itu, tidak memakai gawai saat emosi untuk mencegah perilaku impulsif dan tidak terkendali; hati-hati dalam membagikan informasi ke sosial media; melakukan transaksi belanja online di platform yang terpercaya; mengaktifkan verifikasi dua langkah pada e-mail dan platform yang digunakan; selalu melakukan pembaharuan sistem operasi ke versi terbaru; menggunakan antivirus berlisensi untuk menghindari akses yang tidak diinginkan; dan tidak mudah mengklik tombol download pada halaman downloader karena kebanyakan mengecoh dan tidak mengizinkan notifikasi jika terlanjur mengkliknya.
Terakhir, kenyamanan konsumen selalu berbanding terbalik dengan keamanan. Namun dengan semakin banyaknya kasus phishing dan inovasi-inovasi kejahatan digital di masa akan datang, konsumen harus sedikit mengorbankan kenyamanan dan kemudahan untuk mendapat jaminan keamanan atas datanya.
Ketua Komisi Penelitian dan Pengembangan, Badan Perlindungan Konsumen Nasional dan Pengajar di Departemen Ilmu Keluarga Konsumen, FEMA, IPB, dan
Anna Maria Tri Anggraini
Wakil Ketua Komisi Penelitian dan Pengembangan, Badan Perlindungan Konsumen Nasional dan Pengajar di Fakultas Hukum, Universitas Trisakti
PEMBATASAN mobilisasi individu saat pandemi Covid-19 semakin memperkuat arus transformasi digital. Kebiasaan bertransaksi telah bergeser dari konvensional menjadi digital dan terjadi pada semua lini seperti di layanan jasa keuangan.
Layanan keuangan bertransformasi dari nondigital menjadi digital. Dalam dunia perbankan, salah satu bentuk penerapan transformasi digital adalah electronic banking (e-banking).
Baca Juga: koran-sindo.com
Berdasarkan Pasal 2 Undang-Undang Nomor 10 Tahun 1998 tentang Perubahan Atas Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan, bank memiliki kewajiban untuk mengelola setiap jasa keuangan yang ditawarkan kepada nasabah dengan prinsip kehati-hatian yang tinggi.
Akan tetapi, sistem perbankan seringkali menjadi sasaran empuk penjahat siber. Ketika layanan digital semakin lengkap maka risiko kejahatan siber juga akan meningkat. Berdasarkan data Badan Siber dan Sandi Negara (BSSN) terdapat 16.882 kasus e-mail phishing sepanjang 2022.
Dari berbagai serangan siber yang terjadi, secara global sektor keuangan merupakan sektor yang paling sering terkena insiden siber. Pembobolan bank dengan menggunakan serangan siber memanfaatkan social engineering, OTP fraud, SIM swap, maupun juga phishing.
Menurut data Laporan Direktorat Tindak Pidana Siber Bareskrim Polri, ada 5.579 serangan phishing yang terjadi di Indonesia sepanjang kuartal II Tahun 2022. Sebaran phishing paling banyak mengincar lembaga keuangan khususnya perbankan dengan rasio mencapai 41%.
Mendukung data tersebut, hasil laporan “Persepsi Publik atas Perlindungan Data Pribadi 2021” yang dilakukan oleh Kementerian Komunikasi dan Informatika menyebutkan bahwa fenomena kebocoran data pribadi memang banyak terjadi di produk perbankan atau lembaga keuangan.
Dari sejumlah produk perbankan atau lembaga keuangan, e-wallet dan rekening bank dinilai sebagai produk yang dianggap rentan mengalami kebocoran data. Tercatat, 36,6% responden mengatakan kebocoran data terjadi di dompet digital dan 30,2% terjadi pada rekening bank.
Dulunya phishing menggunakan modus telemarketing dan berupa e-mail palsu. Meskipun modus tersebut sampai saat ini masih ditemukan, muncul modus baru yang lebih canggih yaitu phishing menggunakan modus Android Package Kit (APK) modifikasi yang mengatasnamakan APK pengiriman paket, produk perbankan, undangan pernikahan, tagihan PLN dan pajak.
Awalnya pelaku mengirim link yang sudah dimodifikasi dengan aplikasi kepada korban via Whatsapp. APK ini adalah aplikasi atau modul aplikasi yang dijalankan sistem operasi Android yang telah dimodifikasi oleh para pelaku hanya untuk mendapat mirroring inbox SMS.
Setelah mengklik aplikasi tersebut, aplikasi akan ter-install di ponsel korban dan pelaku memiliki akses ke perangkat perbankan korban. Ketika akses perbankan korban telah didapatkan, pelaku lalu melakukan transaksi.
Sebelumnya para pelaku sudah mempunyai username, password, dan PIN dari nasabah tersebut yang disediakan oleh pelaku yang berperan sebagai penyedia database calon korban, sehingga pelaku bisa langsung melakukan transaksi keuangan perbankan melalui mobile banking dan otomatis OTP dari bank akan terkirim dari korban, di mana device dari korban sudah ter-install APK tersebut.
Faktor Pendorong
Serangan phishing sektor perbankan memang paling banyak terjadi pada pengguna internet banking dan mobile banking. Phishing adalah sarana yang paling efektif dalam memanfaatkan kelalaian orang dalam menggunakan media digital. Terdapat tiga celah potensi kasus phishing terjadi.
Pertama dari sisi perbankan, yaitu dilema antara keselamatan dengan kenyamanan layanan perbankan. Contohnya, dalam pembuatan rekening, nasabah bisa melalui aplikasi digital tanpa harus datang ke kantor cabang. Hal ini memungkinkan adanya celah penyalahgunaan data pribadi.
Kedua dari sisi pengguna, phishing dapat memanipulasi orang agar terpancing terhadap sesuatu yang menarik. Contohnya penipuan iklan penawaran upgrade menjadi nasabah bank prioritas, undangan pernikahan, surat tilang, layanan ekspedisi, tagihan pajak, layanan BPJS dan lain-lain yang menggunakan modus Android Package Kit (APK).
Ketiga adalah celah dari sisi operator. Saat pertama kali mengaktifkan SIM card, biasanya hanya memerlukan registrasi tetapi tidak ada verifikasi kebenaran data pribadi yang didaftarkan.
Faktor pendorong risiko terjadinya kasus phishing adalah perilaku konsumen yang malas membaca, cenderung tidak mau mengadu ke pihak yang berwajib karena malas ribut, perilaku konsumen yang suka instan, dan konsumen yang cenderung pasif.
Kejahatan perbankan seperti phishing tidak terlepas dari kurangnya financial literation konsumen dan sosialisasi dari pemerintah. Kebiasaan masyarakat saat ini berbanding lurus dengan pelaku kejahatan. Masyarakat gencar meneruskan berita yang belum tentu kebenarannya yang bisa menjadi pintu masuk terjadinya kasus phishing.
Di sisi lain, phishing ini semakin berisiko karena adanya entitas-entitas jasa keuangan yang dalam proses bisnisnya mem-by pass atau memudahkan sistem outentifikasi dan verifikasi bahkan beberapa tidak ada.
Penanganan Kasus Phishing
Selama ini, ada beberapa kendala penanganan kasus phishing. Dari sisi masyarakat/konsumen, literasi digital dan keuangan yang dimiliki memang masih kurang. Sementara itu, Bareskrim Polri menyebutkan sulitnya penanganan kasus phishing disebabkan karena kejahatan penipuan yang semakin canggih (melibatkan multi player anonymous dan multi developer), multilayering kejahatan yang timbul karena kemudahan untuk registrasi tanpa verifikasi, dan korban yang tidak segera melapor bahkan barang bukti telah tereliminasi.
Selain mendorong konsumen untuk lebih berhati-hati dan teliti, negara sebenarnya juga harus memberikan ruang pengaturan yang bisa meminimalkan terjadinya kejahatan. Pemerintah melalui Otoritas Jasa Keuangan (OJK) perlu memperkuat sistem keamanan data nasabah perbankan dengan menerapkan pengamanan berjenjang dengan tetap menjaga kenyamanan nasabah.
OJK perlu mendorong perubahan sistem verifikasi nama ibu kandung dan menerapkan sistem verifikasi digital, contohnya menggunakan tanda tangan digital atau sertifikat elektronik. Verifikasi nama ibu kandung menjadi sangat lemah jika sampai saat ini masih dipertahankan, karena efek keterbukaan informasi yang membuat mudahnya akses mendapatkan informasi tersebut.
Selain itu, untuk menyosialisasikan keamanan digital, OJK perlu menyusun panduan berisi informasi terkini mengenai jenis dan modus penipuan digital terkini beserta mekanisme pelaporannya kepada otoritas berwenang. Penyelenggara Sistem Elektronik (PSE) perlu didorong untuk melakukan literasi dan edukasi yang diikuti dengan pengukuran efektivitas dari literasi yang telah dilakukan.
Selain itu, hal yang perlu didorong adalah mengembangkan kebijakan untuk mereduksi data anonim di internet seminimal mungkin, salah satunya dengan menerapkan kembali kebijakan penataan sim card prabayar.
Kementerian Komunikasi dan Informatika (Kominfo) harus mendorong pembentukan dan penetapan lembaga yang akan melaksanakan UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP) dan peraturan turunannya agar terdapat lembaga yang secara definit mengatur tentang perlindungan data pribadi.
Kemudian, untuk membantu konsumen mengidentifikasi keaslian akun resmi pelaku usaha jasa keuangan, Kominfo perlu mengawasi penyedia layanan media digital dalam memberikan lencana verifikasi (Verify Account Ownership).
Terakhir, OJK bersama dengan otoritas lainnya seperti baik Kepolisian, Kominfo maupun pemerintah daerah, serta konsumen khususnya tokoh masyarakat, para pemuka agama, dan influencer perlu melakukan sosialisasi secara terintegrasi dan lebih intensif tentang cara mencegah agar tidak terkena phishing.
Selanjutnya, ada beberapa tips bagi konsumen untuk menjaga keamanan data pribadi, antara lain menghindari penggunaan koneksi internet wireless (Wi-Fi) di sembarang tempat; mengganti password/PIN e-mail, media sosial, ATM/internet banking, media cloud, dan aplikasi layanan secara berkala; membuat password dengan menggunakan kombinasi huruf kecil, angka, dan kapital.
Juga tidak menggunakan password dengan data lahir, nomor KTP hingga NIK; tidak menunjukkan data pribadi seperti e-mail, kode OTP dan password kepada siapa pun; tidak membuka tautan (link) mencurigakan di dalam e-mail, SMS, atau kanal lain.
Selain itu, tidak memakai gawai saat emosi untuk mencegah perilaku impulsif dan tidak terkendali; hati-hati dalam membagikan informasi ke sosial media; melakukan transaksi belanja online di platform yang terpercaya; mengaktifkan verifikasi dua langkah pada e-mail dan platform yang digunakan; selalu melakukan pembaharuan sistem operasi ke versi terbaru; menggunakan antivirus berlisensi untuk menghindari akses yang tidak diinginkan; dan tidak mudah mengklik tombol download pada halaman downloader karena kebanyakan mengecoh dan tidak mengizinkan notifikasi jika terlanjur mengkliknya.
Terakhir, kenyamanan konsumen selalu berbanding terbalik dengan keamanan. Namun dengan semakin banyaknya kasus phishing dan inovasi-inovasi kejahatan digital di masa akan datang, konsumen harus sedikit mengorbankan kenyamanan dan kemudahan untuk mendapat jaminan keamanan atas datanya.
(bmm)
Explore More