Nasabah BCA Mengaku Kebobolan Rp 68,5 Juta Lewat QRIS, Begini Kata Pengamat Siber

Nasabah BCA Mengaku Kebobolan Rp 68,5 Juta Lewat QRIS, Begini Kata Pengamat Siber

KONTAN.CO.ID – JAKARTA. Pengamat keamanan siber membeberkan berbagai kemungkinan yang bisa terjadi di balik kabar nasabah PT Bank Central Asia Tbk (BBCA) di Salatiga yang mengaku kebobolan Rp 68,5 juta dari rekeningnya lewat transaksi QRIS.

Sebagaimana diketahui, nasabah BCA bernama Evita melalui kanal YouTube Mr. Bert yang diunggah pada Kamis (9/11) lalu, mengaku bahwa rekeningnya dibobol lewat transaksi QRIS, padahal ia tidak melakukan transaksi QRIS dari ponselnya yang digunakan hanya untuk m-banking.

Pengamat dan Chairman lembaga riset siber Communication and Information System Security Research Center (CISSReC) Pratama Persadha menilai, pembobolan rekening bank yang sering terjadi biasanya menggunakan modus remote exploitation melalui celah keamanan yang terdapat di perangkat, dengan mengirimkan aplikasi yang disamarkan.

Namun, menurutnya terdapat cukup kecil kemungkinan untuk korban terkena remote exploitation. Pasalnya, korban menyatakan bahwa perangkat yang dipergunakan untuk m-banking dipergunakan khusus untuk kegiatan finansial melalui m-banking.

Terlebih, dugaan pembobolan itu dilakukan secara berulang melalui QRIS, yang biasanya membutuhkan akses langsung ke perangkat untuk memindai kode QR dari merchant.

Pratama mengatakan, ada kemungkinan lain yang dapat terjadi pada korban, seperti melalui metode kloning simcard. Namun, hal ini lebih sulit untuk dilakukan, karena pelaku perlu memalsukan kartu identitas korban untuk dapat mengurus kartu simcard baru ke gerai selular.

“Pelaku juga perlu memiliki kredensial untuk login ke aplikasi m-banking, untuk mendapatkan data ini pelaku harus melakukan phising atau social engineering kepada korban. Setelah semua hal tadi dapat dipenuhi, baru pelaku bisa melakukan aksinya membobol rekening korban,” ujar Pratama kepada Kontan.co.id, Senin (20/11).

Pratama mengimbau, sebaiknya terdapat data-data yang bisa korban berikan, seperti jenis perangkat, IMEI, IMSI, MSISDN, dan sebagainya, yang akan memudahkan pihak perbankan untuk melakukan investigasi.

“Yang perlu dilakukan investigasi lebih lanjut adalah QRIS yang dipergunakan untuk pembobolan tersebut apakah dari sebuah toko atau merchant, atau mengarah ke rekening bank dan dompet digital sehingga bisa diketahui aliran uang korban,” katanya.

EVP Corporate Communication and Social Responsibility BCA Hera F. Haryn mengatakan, hingga kini keluhan nasabah tersebut sedang dalam proses penanganan oleh pihak yang berwenang.

“BCA menghormati serta akan mendukung proses hukum yang sedang berlangsung sesuai dengan ketentuan hukum yang berlaku,” ucap Hera.

Hera menyebut, BCA selalu memperhatikan keamanan nasabah dalam bertransaksi. Hal tersebut dilakukan antara lain dengan meminta nasabah memasukkan Kode Akses dan personal identification number (PIN) saat nasabah melakukan transaksi finansial pada BCA Mobile.

Selain itu, Hera juga mengimbau agar nasabah tidak memberikan data yang bersifat rahasia kepada pihak manapun, termasuk kerabat atau orang terdekat, seperti PIN, one time password (OTP), password, Response KeyBCA, kode akses, dan card verification code (CVC) atau card verification value (CVV).