Baru-baru ini telah beredar kasus penipuan OTP (one-time password) yang mengatasnamakan bank BCA. Modus penipuan SMS OTP BCA ini dapat menimpa perusahaan mana saja, sehingga perlu diwaspadai.
Kabar mengenai modus penipuan ini awalnya berasal dari media sosial TikTok, X (Twitter), sampai Instagram. Beberapa nasabah BCA menerima pesan yang menawarkan penukaran rekening poin dari BCA.
Uniknya, pesan tersebut terlihat berasal dari akun resmi BCA, sehingga mampu mengecoh beberapa nasabah. Bagaimana kasus ini bisa terjadi, dan seperti apa solusinya? Pelajari selengkapnya dari artikel ini.
Breakdown Kasus Penipuan SMS OTP BCA
Berbeda dengan kasus penipuan SMS OTP sebelumnya, kali ini pelaku menggunakan taktik yang lebih pintar untuk mengelabui korban. Langsung saja, berikut rincian mengenai penipuan kode OTP yang dialami oleh bank BCA ini:
Modus Penipuan OTP
Bagaimana modus penipuan ini bekerja cukup berbeda karena memanfaatkan nomor asli pihak resmi. Mula-mula, target yaitu nasabah BCA mendapat pesan dari nomor resmi BCA untuk menukar rekening poin.
Pesan tersebut mengabarkan bahwa masa berlaku rekening poin nasabah akan habis dalam tiga hari jam kerja. Nasabah diminta untuk segera menukarkan poin tersebut melalui link yang dilampirkan di pesan.
Setelah diusut, link tersebut membawa nasabah ke situs yang memperlihat beberapa produk dengan poin dan nominal uang yang dibutuhkan. Untuk “mengklaim” produk tersebut, nasabah perlu memakai kartu kredit.
Apabila nasabah sempat mengikuti instruksi tersebut, maka data sensitif yang dimiliki oleh nasabah akan tercuri. Hal ini karena situs tersebut disinyalir sebagai situs phishing yang dibuat untuk menjebak korban.
Klarifikasi dari Pihak BCA
Menanggapi kabar modus penipuan SMS OTP BCA ini, Hera F. Haryn selaku EVP Corporate Communication & Social Responsibility BCA mengkonfirmasi jika pesan penukaran poin ini bukan dari pihak mereka.
“Dapat kami sampaikan bahwa pesan singkat tersebut tidak benar dan merupakan tindakan penipuan,” ujarnya sebagai konfirmasi.
Beliau juga mengatakan jika SMS tersebut mengarahkan nasabah untuk mengklik tautan yang berisi permintaan data perbankan nasabah. Pihak BCA menghimbau nasabah untuk tidak membagikan data yang bersifat rahasia, di antaranya:
- BCA ID dan password yang dimiliki nasabah bank BCA.
- OTP (one-time password) yang digunakan untuk konfirmasi/verifikasi.
- PIN (Personal Identification Number) berupa 6 digit nomor untuk verifikasi.
- Respons dari aplikasi KeyBCA.
- CVC (Card Verification Code) atau CVV (Card Verification Value) yang berada di sisi belakang kartu kredit.
Teknik Fake BTS dalam Penipuan
Menurut pakar keamanan siber Alfons Tanujaya, modus penipuan SMS OTP BCA ini merupakan modus penipuan baru yang memakai fake BTS. Seperti yang diketahui, tower BTS digunakan untuk mengirim dan menerima sinyal radio ke telepon.
Dengan fake BTS, pelaku dapat menyusup ke target penerima pesan sebagai pihak resmi untuk mengirimkan pesan tersebut. Kasus ini juga sempat dialami oleh dua operator seluler Tiongkok pada tahun 2017.
Dilansir dari situs Information Age, peneliti keamanan dari Tencent Security menemukan adanya pesan berisi malware yang mengatasnamakan operator seluler China Unicom dan China Mobile.
Peretas menggunakan peralatan untuk fake BTS, agar dapat menjebak perangkat mobile di sekitar tower, dan memisahkan jaringan mobile. Pesan SMS berisi file .APK lalu dikirim seolah-olah dari operator resmi.
Karena Play Store tidak tersedia di Tiongkok, maka instalasi file .APK merupakan hal yang umum di negara tersebut. Faktor ini juga yang membuat strategi fake BTS lebih mampu menjebak korban di Tiongkok.
Investigasi & Tindak Hukum
Kasus penipuan OTP dengan fake BTS seperti ini, untungnya mulai ditangani oleh Ditjen Infrastruktur Digital (DJID) dan Balai Monitor Spektrum Frekuensi Radio (Balmon SFR), dilansir dari situs resmi Komdigi.
Komdigi menjelaskan bahwa investigasi awal DJID menemukan adanya penggunaan perangkat BTS ilegal di beberapa lokasi. Sinyal radio dari BTS tersebut terdeteksi pada frekuensi milik salah satu operator.
Hanya saja, BTS tersebut tidak terdaftar secara resmi dalam jaringan. Hal ini menguatkan bahwa modus penipuan SMS OTP dikirim melalui infrastruktur telekomunikasi ilegal di luar operator resmi.
Komdigi telah berkoordinasi dengan Asosiasi Penyelenggara Telekomunikasi Seluruh Indonesia (ATSI) dan OJK untuk menindaklanjuti penemuan ini. Mereka juga bekerjasama dengan aparat penegak hukum untuk melacak para pelaku.
Solusi Keamanan: Beralih ke Missed Call OTP
Kasus yang dialami bank BCA, serta contoh penipuan OTP di atas, memberikan gambaran bahwa perusahaan lain juga bisa menjadi korban selanjutnya. Lantas, apa solusi yang tepat bagi perusahaan dalam masalah ini?
Salah satu solusi yang bisa dicoba adalah dengan meningkatkan keamanan, seperti menggunakan sistem autentikasi yang lebih aman. Adapun salah satu sistem autentikasi yang lebih aman yaitu missed call OTP.
Sistem OTP inovatif ini bekerja dengan melakukan panggilan miscall ke pelanggan yang meminta kode OTP. Kode OTP didapatkan dengan melihat 4 atau 6 angka terakhir dari nomor telepon dari panggilan miscall.
Mengapa SMS OTP Rentan?
Penggunaan sistem OTP yang lebih bagus seperti OTP berbasis missed call, didasari oleh lemahnya SMS OTP itu sendiri. Ada dua alasan kuat mengapa SMS OTP lebih rentan menjadi bagian modus penipuan OTP:
- Mudah diakali oleh pelaku dengan memakai metode SIM swapping. Pelaku dapat membajak nomor korban dengan SIM swapping menggunakan data pribadi. Alhasil, pelaku dapat mengakses kartu SIM dan akun korban dari nomor kartu SIM.
- Dapat disusupi karena absennya sistem enkripsi pada SMS. Kelemahan pada protokol SS7 memudahkan pelaku untuk menyusup pengiriman OTP melalui SMS. SMS OTP BCA tidak masuk karena digantikan pesan penipuan dari pelaku.
Missed Call OTP: Alternatif SMS OTP yang Lebih Aman
Jika SMS OTP rentan terhadap modus penipuan OTP, bagaimana OTP melalui panggilan miscall dianggap lebih aman? Berikut beberapa alasan yang perlu diketahui:
- Kode tidak tersimpan di perangkat mobile. Dengan kode OTP yang langsung ditunjukkan melalui nomor panggilan, perangkat mobile tidak menyimpan kode OTP di dalam perangkat seperti SMS OTP.
- Lebih sulit untuk dicuri oleh peretas. Kode OTP melalui missed call akan lebih sulit didapatkan didapatkan karena proses intersepsinya lebih sulit.
- Kode OTP bersifat time-limited. Layar nomor panggilan saat menerima panggilan akan cepat menghilang jika pelanggan tidak segera menginput kode.
- Proses autentikasi yang lebih efisien. Pelanggan tidak perlu membuka SMS atau email untuk mencatat kode OTP yang sudah masuk.
Fazpass: Solusi Missed Call OTP Terbaik dengan Provider Terpercaya
Dengan mengetahui bahayanya modus penipuan SMS OTP BCA menggunakan SMS, Anda perlu mengambil tindakan cepat untuk mengamankan perusahaan Anda. Fazpass dapat menjadi solusi cepat untuk Anda yang perlu missed call OTP dengan segera.
Sebagai platform OTP, Fazpass memiliki berbagai provider OTP berbasis missed call yang terpercaya, salah satunya Citcall. Tidak hanya lebih aman, Citcall juga lebih efektif dan cost-efficient daripada SMS OTP.
Jangan biarkan kasus modus penipuan SMS OTP BCA di atas menimpa perusahaan Anda di masa depan. Segera hubungi Fazpass untuk mendapatkan OTP berbasis missed call dari provider OTP yang terpercaya.
