Mungkinkah “hanya” dengan tahu nomor rekening, rekening milikmu bisa diretas (Hack) ?
Belakangan ini saya sering menemukan teman-teman saya mengeluh karena ada seseorang yang mencoba menipu dengan mengatasnamakan pak kadarsah, Rektor ITB, mengirimkan sms meminta informasi tentang nomor rekening teman saya. Isi SMSnya kurang lebih meminta teman saya untuk menemani pak kadarsah ke seminar dikti. Ada bantuan biaya penginapan dan trasnportasi sebesar 5 juta yang “akan” ditransfer ke rekening teman saya. Oleh karena itu si penipu meminta nomor rekening teman saya agar dapat “mentransfer” biaya bantuan tersebut.
Ada yang salah ? Keliatanya justru menguntungkan seandainya teman saya memberitahu informasi berapa nomor rekening miliknya. “Toh dia akan menerima dana bantuan 5 juta ?”. Rekan saya yang lain pun bertanya, ‘Emang mungkin ? hanya dengan mengetahui nomor rekening seseorang, kita bisa meretas rekening orang tersebut ?
Kebetulan, saat ini saya sedang mengambil matakuliah keamanan informasi dan mengkonsultasikan kasus tersebut kepada salah satu dosen matakuliah tersebut. Jawabanya cukup mengejutkan, Yes but not exactly. Beliau hanya mengatakan, bisa jadi informasi berapa nomor rekening adalah “the last piece of information that he doesn’t know”. Hanya sekedar mengetahui nomor rekening seseorang mungkin tidak membuat rekening tersebut bisa dijebol. Tapi seandainya dia tahu informasi-informasi lainya rekening itu mungkin bisa dijebol.
Saya rasa cukup wajar dosen saya mengatakan hal itu. Sebagaimana yang kita ketahui, kasus mendapatkan SMS dengan mengatasnamakan pak kadarasah sudah cukup populer. Entah dari mana, saya dan sebagian besar teman fakultas saya pun juga mendapatkan sms tersebut. Dengan fakta ini, saya rasa cukup rasional seandainya kita mengatakan bahwa database informasi pribadi ITB telah bocor.
Lantas, Bagaimana si penipu meretas rekening korban ?
Begini, saat seluruh informasi pribadi seorang korban telah lengkap, penipu bisa dengan mudah mengaku-ngaku sebagai korban. Caranya mudah, cukup buat surat palsu LKB (Laporan Kehilangan Barang) dari kantor kepolisian yang menerangkan bahwa si penipu kehilangan barang berupa buku tabungan, kartu ATM, kartu KTP dst… kemudian ajukan claim ke bank. Sejauh ini, kita tidak pernah tau apakah bank benar-benar bekerja sama dengan kepolisian untuk membuktikan keabsahan surat LKB. Rasanya LKB hanya dicatat di bank kemudian kita bisa mendapatkan kartu ATM Baru beserta rekening bank hanya dalam waktu kurang dari 30 menit. Bagaimana bisa si customer service tertipu bahwa orang yang mengclaim kehilangan sebenarnya adalah penipu ?
Masih ingat, informasi apa saja yang kita berikan saat registrasi mahasiswa baru ? Ya… alamat, nomor handphone, NIK, nomor hape dan alamat email dan bahkan Nama ibu kandung pun kita berikan. Customer service bank akan menanyakan kepada kita berapa nomor rekening milik kita yang “hilang”. Selanjutnya Customer service akan menanyakan nama ibu kandung kita. Seandainya informasi itu bocor, kemudian ada seseorang mengaku-ngaku sebagai diri kita dan ditanya oleh customer service, “Bisa mas sebutkan nama ibu kandungnya ?” selesailah sudah.
Ada kasus yang serupa dari kejadian nyata. Dalam waktu 1 jam, Seluruh informasi digital milik Mat Honan menghilang termasuk akun bank, amazon, GMail, AppleID dst.. Bagaimana peretas meretas akun mat honan? Ternyata peretas melakukan claim terhadap akun mat honan dengan menelpon customer service Amazon. Sialnya, seluruh akun digital milik mat honan tersambung dengan service amazon.
Ada kasus lain yang lebih “hebat” lagi. Salah satu bank di Indonesia dituntut karena rekening nasabahnya jebol. Bagaimana peretas melakukanya ? Ternyata peretas mengetahui bahwa korban akan terbang dari jakarta ke makassar. Selama 2 jam perjalanan, karena hape korban harus dimatikan selama penerbangan, peretas melakukan claim kehilangan kartu sim telepon ke provider telepon. Setelah peretas mendapatkan kartu “sim baru” yang memiliki nomor yang sama dengan nomor hape korban, secara otomatis provider telpon menonaktifkan kartu sim korban. Selanjutnya peretas melakukan claim kehilangan ke bank melalui telpon dengan mengaku sedang berada di luar kota dan kehilangan pin dst. Karena nomor handphone yang digunakan peretas digunakan sebagai alat identifikasi oleh bank dan ditemukan kesamaan dengan data yang tersimpan oleh bank, bank memberikan izin untuk melakukan pergantian pin atm. Selanjutnya dia tinggal melakukan claim kehilangan kartu atm untuk mendapatkan kartu atm baru dan semuanya tamat.
Bagaimana mengumpulkan informasi pribadi seseorang ?
Apakah kita harus menjebol server website tertentu (misal server ITB) hanya untuk mendapatkan informasi pribadi seseorang ? Jawabanya tidak. Sebenarnya, semua informasi pribadi kita bisa dikumpulkan hanya dengan cara tradisional.
Adik bungsu saya pernah mengalami ditelpon oleh orang yang tidak dikenal lewat telpon rumah, kemudian terjadilah dialog cukup aneh seperti berikut (A = Adik Saya, P = Penipu):
P: Siang, dengan Telkom spidi disini. Saya butuh informasi tentang saudara
A: Oh iya, bisa dibantu ?
P: Bisa disebutkan nama kakaknya ?
Karena polos, adik saya menjawab dengan jujur.
P: Oh, kakaknya sekolah dimana ?
P: Oh, tanggal lahirnya kapan ?
P: Golongan darahnya apa ?
P: Oke terimakasih. Langsung menutup telpon.
Beberapa bulan selanjutnya, setelah adik saya lupa dengan kejadian tersebut, orang tua saya mendapatkan telpon. Si penipu menggunakan informasi yang sudah diberikan oleh adik saya untuk mencoba meyakinkan bahwa saya sedang mengalami kecelakaan. Dia memberikan informasi yang mengenai saya seperti golongan darah dan tanggal lahir. Untungnya saat itu saya ada di rumah dan orang tua saya segera tahu bahwa itu adalah modus penipuan
Pengalaman saya yang lain lebih unik lagi. Si penelpon tidak mengaku-ngaku sebagai representasi perusahaan tertentu seperti kasus diatas. Si penelpon hanya mencoba pura-pura salah sambung. Jadi dialognya singkat seperti ini : (P: Penipu, A: Ayah saya)
P: Halo, din, punten itu panci masakan diangkat kompornya dimatiin.
A: Maaf ini dengan siapa ?
P: Ibu din,.. itu kompor masih nyala.
A: Eh maaf pak sepertinya salah sambung
P: Oh iya ?? Ari ieu jeung saha ?(Bhs indonesia: Kalau kamu siapa namanya ?)
P: Eh punten, maap « Nama ayah saya »
Selesai. Sekilas tidak ada yang salah dengan dialog tersebut. Tapi informasi itu bocor. Beruntung, karena curiga ayah saya menyimpan nomor penelpon itu ke kontak handphone. Benar saja, beberapa bulan setelah kita lupa kejadian tersebut, nomor handphone yang sama menelpon hape ayah saya.
P: Selamat siang,benar dengan bapak « Nama ayah saya » ?
Karena sudah disimpan ke dalam kontak handphone, nomor tersebut menjadi dikenali. Ayah saya mencoba melakukan improvisasi dan pura-pura mengikuti “flow” dari penelpon
P: Oh ya pak, sepertinya ada ketidak cocokan data antara nama bapak dengan data yang kami miliki. Oke akan kami koreksi. Oiya pak, kami mau memberikan informasi mengenai hadiah mobil xyz. bla bla bla
P: Nah hadiahnya ada pajak pemenang dan harus ditransfer.
A: Gak deh makasih, saya udah punya helikopter. Ada tank juga di rumah, kalau saya punya mobil lagi, hangar saya gak muat karena sudah diisi dengan jet pribadi. Makasih ya..
Telpon langsung ditutup oleh penipu tanpa mengucapkan salam. Semakin yakin bahwa nomor itu adalah nomor penipu.
Identitas pribadi adalah hal yang sangat sensitif. Perlu kewaspadaan tinggi untuk menjaga informasi pribadi agar tidak jatuh ke ruang publik. Ada banyak cara orang mendapatkan identitas pribadi, mulai dari cara tradisional seperti menelpon hingga penuh metode modern seperti meretas server institusi tertentu. Jangan pernah berikan identitas asli Jika kamu mulai curiga dengan lawan bicaramu. Kalau penipu saja bisa menipu kita, kenapa kita tidak menipu penipu ?
Ingat, terakhir, sekali lagi, jangan pernah biarkan informasi pribadi kita mudah ditemukan di ruang publik. Silahkan share jika bermanfaat mudah-mudahan bisa mengingatkan teman-teman kita dan menjaga diri dari seseorang yang mengaku-ngaku sebagai “Pak Kadarsah”. Sejauh ini, saya sudah melaporkan “dugaan kebocoroan database ITB” ke dosen saya. Meskipun begitu, tidak ada yang bisa menjamin sudah seberapa jauh “Pak Kadarsah” palsu mengetahui informasi pribadi kita. Mudah-mudahan kita tetap bisa waspada terhadap upaya “Pak Kadarsah” dalam meretas ITB.
Emang mungkin kalau cuma tau nomor rekening bisa dijebol rekeningnya ? Yes, but Not Exactly