Waspada! Aksi Penipuan Siber Berkedok Bank Kian Marak di Indonesia

Analis Group-IB Digital Risk Protection (DRP) telah menemukan bukti serangan berkelanjutan terhadap setidaknya tujuh lembaga keuangan besar di Indonesia. Kampanye penipuan tersebut menargetkan lebih dari 2 juta nasabah bank di Indonesia, sesuai dengan jumlah pengikut halaman Twitter bank yang sah.

Setelah menemukan penipuan ini, Group-IB telah memberi informasi kepada bank-bank yang bersangkutan agar mereka bisa melakukan langkah lebih lanjut terhadap situasi tersebut.

Skema penipuan ini awalnya muncul di radar tim DRP Grup-IB pada akhir 2020. Saat itu, hanya kasus terpisah dari jenis penipuan ini yang terdeteksi. Namun dalam tiga bulan terakhir membengkak signifikan. Lebih dari 600 akun Twitter palsu yang menyamar sebagai akun resmi bank-bank besar di Indonesia.

Berdasarkan analisa tim DRP Group-IB, para penjahat dunia maya mengidentifikasi korban mereka dengan menjebak akun Twitter resmi bank, setelah nasabah bank mengajukan pertanyaan atau meninggalkan umpan balik mereka di halaman resmi bank, mereka segera dihubungi oleh penipu, yang menggunakan akun Twitter palsu dengan foto profil, header, dan deskripsi , yang benar-benar mirip dengan aslinya. Nama akun palsu ini juga meniru nama resmi bank yang mereka sasar.

Setelah berbicara dengan korban, penipu segera mengundang mereka untuk melanjutkan percakapan di WhatsApp atau Telegram. Dalam diskusi lanjutan, para penipu mengirimkan sebuah tautan ke perbankan online kepada nasabah bank--modusnya untuk memecahkan masalah mereka-- dan meminta korban untuk masuk ke tautan tersebut.

Tautan tersebut mengarah ke situs web phishing yang meniru situs web resmi bank. Nasabah nantinya akan mengisi hal kredensial dalam situs tersebut, seperti nama pengguna, email serta kata sandi), serta membuka dompet bagi penjahat siber.

Analis Group-IB DRP juga mencatat upaya penipuan yang sama dilakukan oleh penjahat siber melalui media sosial lainnya seperti Facebook. Namun, jumlah kasus tersebut tidak signifikan dibandingkan Twitter.

"Lebih sedikit lebih baik, ini adalah sesuatu yang berulang-ulang dilakukan oleh para penipu," kata Kepala Perlindungan Risiko Digital Group-IB di APAC, Ilia Rozhnov.

Alih alih mencoba menjebak calon korban mereka untuk masuk ke website pihak ketiga, kejahatan siber ini langsung menghubungi/medatangi sumber keuntungan mereka tersebut (korban).

"Kampanye penipuan khusus ini konsisten dengan tren berkelanjutan ke arah penggunaan penipuan multistage, yang membantu penipu merayu korbannya. Mereka sukses menjalankan misinya lantaran kurangnya pemantauan yang komprehensif oleh lembaga keuangan," ucap Ilia.

Sebagai akibat dari serangan tersebut, bank berisiko kehilangan nasabah mereka serta melanggar kepercayaan mereka. Untuk menghindari hal ini, para lembaga keuangan harus melakukan pemantauan internet sepanjang waktu untuk segera mendeteksi kasus pelanggaran hukum atas merek (dagang) mereka.

Terlepas dari fakta bahwa industri perbankan adalah salah satu yang paling terlindungi dari aksi kejahatan siber, namun mereka kerap luput dari pelanggaran terhadap merek tertentu. Para perbankan cenderung fokus memantau pelanggaran seperti halaman dan domain yang terdapat phishing, namun mengabaikan aksi penipuan lainnya.