CEO & Chief Digital Forensic Indonesia, Ruby Alamsyah, mengungkapkan modus pencurian nomor kartu subscriber identity module (SIM) ponsel yang berujung pembobolan uang, di rekening bank milik wartawan senior Ilham Bintang.
Ruby mengatakan, tindak kejahatan yang dilakukan pelaku berjenis 'SIM swap fraud'. Itu merupakan modus pergantian kartu SIM secara ilegal, sehingga bisa menguasai seluruh akses dari SIM card korban. Untuk kasus Ilham Bintang, pelaku mengincar informasi terhadap perbankan melalui aplikasi mobile banking.
"Kejahatan 'SIM swap fraud' ini utamanya membobol rekening bank korban lewat aplikasi mobile banking. Kejahatan ini jelas bukan salah petugas operator," kata Ruby dikutip dari Antara, Senin (20/1/2020).
Ruby pun menjelaskan tahapan pelaku dalam melancarkan aksinya. Pertama, pelaku melakukan pendekatan ke korban yang dinamakan 'phising' atau mengelabui korban demi mendapatkan data-data pribadinya.
Modus phising bisa dilakukan melalui sambungan telepon dari pelaku kepada korban, ataupun SMS. Sebuah link palsu pun bisa digunakan pelaku melakukan phising, mengingat link itu berisi malware yang bisa mencuri data-data pribadi dari ponsel.
"Phising ini, misalnya saya sebagai pelaku mengaku dari operator bank, menelepon korban untuk verifikasi, bilang ada transaksi mencurigakan sehingga perlu tahu 'username' mobile banking korban," ujar Ruby.
Dengan posisi Ilham Bintang yang sedang di luar negeri, ada kemungkinan korban memberi tahu informasi rekening pribadinya dengan tanpa disadari. Di tahap ini pelaku juga bisa mendapatkan identitas korban, antara lain NIK, alamat, nama ibu kandung, dan lain sebagainya.
Membuat Salinan SIM
Langkah kedua setelah mendapatkan username korban, pelaku mendatangi gerai Indosat dan berpura-pura kehilangan SIM. Dengan berbekal data di tahap pertama, pelaku mengisi formulir untuk mendapatkan kartu SIM nomor korban.
Pelaku kemudian mengunduh aplikasi mobile banking setelah mendapatkan salinan SIM korban. Pada kasus Ilham Bintang, mobile banking Commonwealth menggunakan username dan password untuk masuk (login) ke dalam aplikasi.
Ketika berhasil mendapatkan username pada tahap pertama, tahapan selanjutnya yang diperlukan pelaku adalah "password" login. Pelaku pun bisa melakukan reset password, yang nantinya kode verifikasi dikirimkan melalui SMS.
"Pelaku melakukan reset password dan reset PIN, sehingga akhirnya korban sudah dikelabui seutuhnya. Digunakanlah waktu secepat mungkin dua sampai tiga jam, saat korban kesulitan telpon karena sedang di luar negeri. Saat itu pula, dilakukanlah transfer-transfer ilegal," ujar Ruby.
Menurut Ruby, kejahatan "SIM swap fraud" umum terjadi di berbagai negara. Informasi yang didapatkan pelaku adalah rekening perbankan korban melalui pencurian kartu SIM. Dalam melakukan aksinya, pelaku tidak harus memiliki software canggih karena kunci dari kejahatan ini adalah ketidaksadaran korban terhadap pencurian data pribadi pada tahap pertama, yakni phising.
