PARBOABOA, Jakarta - Keamanan transaksi menggunakan Quick Response Code Indonesian Standard (QRIS) menjadi sorotan setelah seorang nasabah PT Bank Central Asia Tbk (BCA) mengalami kerugian mencapai Rp68,5 juta.
Peristiwa ini menciptakan kehebohan di dunia perbankan, memunculkan pertanyaan serius tentang keamanan QRIS yang seharusnya dianggap aman dan terpercaya.
Dalam wawancara dengan kanal YouTube Mr. Bert pada Senin (20/11/2023), Evita, nasabah BCA yang menjadi korban, mengungkapkan bahwa saldo m-banking BCA-nya mengalami pemotongan sebesar Rp68,5 juta pada 26 September 2023 lalu.
Setelah melakukan pemeriksaan lebih lanjut, dia menemukan bahwa saldonya hanya tersisa kurang dari Rp10 juta pada saat kejadian.
Evita kemudian melakukan pengecekan mutasi rekening dan menemukan beberapa transaksi yang mencurigakan melalui QRIS. Pada 26 September pagi, tercatat transaksi sebesar Rp4 juta.
Selain itu, terdapat beberapa transaksi pada rentang 23-26 September yang tidak pernah dilakukan oleh Evita, masing-masing sebesar Rp1 juta dalam beberapa kali.
Evita mengaku bahwa selama kejadian tersebut, ia tidak menyadari berkurangnya saldo.
Keheranannya muncul karena dirinya selalu menjaga keamanan ponsel yang digunakan untuk m-banking BCA dan tidak memiliki aplikasi berpotensi yang dapat menjadi sumber masalah.
Ia juga menegaskan bahwa tidak pernah menerima pesan berisi kode One-Time Password (OTP0, notifikasi transaksi, atau informasi lainnya setiap kali transaksi berlangsung.
Karena itu, Evita pun langsung menghubungi Halo BCA dilakukan pemblokiran akun m-banking dan ATM-nya.
Menanggapi insiden ini, Pengamat Ahli Keamanan Siber dari Communication and Information System Security Research Center (CISSReC), Pratama Persadha, menyebut bahwa kebanyakan kasus pembobolan rekening bank dilakukan menggunakan metode eksploitasi jarak jauh melalui celah keamanan pada perangkat korban.
Contohnya, peretas atau hacker dapat mengirimkan file APK yang disamarkan atau menggunakan metode kloning kartu SIM untuk mengakses aplikasi m-banking.
Namun, dalam kasus nasabah BCA ini, korban mengklaim bahwa perangkat yang digunakan untuk m-banking adalah perangkat baru.
Bahkan, telepon tersebut hanya diinstal dengan aplikasi m-banking dan digunakan eksklusif untuk kegiatan finansial, tanpa aplikasi lain yang diinstal.
Oleh karena itu, Pratama menilai bahwa korban kemungkinan terkena eksploitasi jarak jauh cukup kecil.
Lebih lanjut, pembobolan rekening melalui transaksi berulang menggunakan QRIS biasanya memerlukan akses langsung ke perangkat untuk memindai kode QR dari pedagang.
Dia juga menyebut kemungkinan lain, yaitu penggunaan metode kloning kartu SIM.
"Namun, metode ini lebih sulit dilakukan karena pelaku perlu memalsukan kartu identitas korban untuk mendapatkan kartu SIM baru di gerai selular," ujar Pratama saat dikonfirmasi, Senin (20/11/2023).
Di samping itu, pelaku juga harus memastikan bahwa perangkat korban dengan kartu SIM lama yang memiliki nomor yang sama dalam keadaan mati selama aksi pembobolan.
"Pada kasus ini, terdapat sesuatu yang mencurigakan, seolah-olah pelaku mengetahui kapan ponsel korban mati karena berada di daerah pegunungan," ungkapnya.
Selain itu, peretas juga harus memiliki kredensial untuk masuk ke aplikasi m-banking.
Untuk mendapatkan informasi ini, pelaku perlu melakukan phishing atau social engineering terhadap korban. Setelah semua persyaratan terpenuhi, baru pelaku dapat membobol rekening korban.
Meskipun demikian, Pratama menegaskan bahwa saat ini hanya dapat menunggu hasil investigasi resmi dari pihak BCA.
Menurutnya, jika pembobolan dilakukan melalui aplikasi m-banking, seharusnya terdapat data yang cukup untuk melakukan investigasi.
"Termasuk data lokasi saat aplikasi m-banking digunakan, informasi perangkat, IMEI, MSISDN, dan sebagainya, yang dapat memudahkan pihak BCA dalam melakukan investigasi," ungkapnya.
Respons BCA
Menyikapi hal tersebut, pihak BCA menyatakan bahwa permasalahan yang diungkapkan sedang dalam proses investigasi oleh tim yang berkompeten.
"Kami ingin memastikan bahwa keluhan yang disampaikan nasabah sedang kami tindaklanjuti dengan serius oleh tim internal kami. Bank BCA berkomitmen untuk memberikan solusi yang adil dan transparan sesuai dengan ketentuan yang berlaku," kata EVP Corporate Communication & Social Responsibility Bank BCA, Hera F. Haryn, dalam pernyataan resmi, Senin (20/11/2023).
Bank BCA juga menekankan komitmen mereka terhadap keamanan transaksi nasabah, terutama dalam menggunakan layanan perbankan digital.
Hera mengingatkan nasabah untuk selalu memastikan keamanan dengan menginput kode akses dan PIN pada setiap transaksi.
Sehubungan dengan situasi ini, Bank BCA kembali mengingatkan nasabahnya untuk tetap waspada dan tidak memberikan informasi pribadi yang bersifat rahasia kepada siapa pun, termasuk kerabat atau orang terdekat.
Informasi tersebut meliputi, PIN, OTP, password, kata sandi, kode akses, card verification code (CVC) atau card verification value (CVV).
Editor: Wenti Ayu