Sistem Provider Longgar, Celah Kejahatan Perbankan

Merdeka.com - Pelaku pembobolan rekening Ilham Bintang, Desar Cs dinilai mendapatkan kemudahan dalam melancarkan aksinya lantaran kelemahan sistem verifikasi pergantian simcard provider. Dengan memiliki simcard korban, pelaku akhirnya dapat meretas email dan berujung pada pembobolan rekening.

Ahli keamanan siber, Pratama Delian Persada menyoroti kelemahan sistem dan SOP provider untuk penggantian simcard yang berujung pembobolan rekening. Walaupun secara NIK dan Nama telah sesuai dengan data yang didaftarkan untuk simcard tersebut. Hanya butuh waktu sekitar 7 menit agar pelaku mendapatkan simcard milik Ilham Bintang dari Indosat.

"Anehnya di sini, seharusnya pihak Indosat mengecek terlebih dahulu simcard yang dibawa pelaku apakah benar? Lalu melakukan pengecekan," katanya kepada Merdeka.com, Sabtu (15/2).

Pengecekan standar yang dilakukan biasanya adalah pemilik nomor diminta untuk menyebutkan 5 nomor yang biasa dihubungi. Pelaku berdalih tidak pernah melakukan hubungan telepon, lantaran menggunakan Whatsapp. Nahasnya petugas Indosat yang berjaga kala itu memercayainya.

"Di sinilah pentingnya edukasi pada para pegawai provider. Para pegawai harus mampu mengejar apakah betul itu nomornya sesuai. Minimal pegawai meminta pembawa nomor atau pelaku untuk menunjukkan Whatsapp sesuai nomor yang diminta untuk diganti simcard-nya," tegasnya.

Pratama menilai, Indosat telah membantu memberikan simcard milik Ilham Bintang kepada para pelaku. Dengan bermodal nomor handphone tersebut, para pelaku dengan mudah melakukan peretasan email milik korban. Setelah menguasai email, Desar Cs kemudian melakukan pembobolan rekening.

Umumnya perbankan untuk internet banking memberikan token khusus untuk One Time Password (OTP). Namun masih banyak juga yang menggunakan SMS untuk proses transaksi. Sehingga pelaku juga bisa mengambil alih email Ilham Bintang menggunakan nomor Indosat milik korban.

"Namun bisa juga para pelaku melakukan pendaftaran SMS dan internet banking bila pemilik rekening belum memiliki fasilitas tersebut. Dengan tools tersebut pelaku bisa melakukan transfer ke rekening mereka dan menguras rekening korban," terangnya.

Verifikasi Provider hanya NIK dan Nama

Direktur Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil) Kementerian Dalam Negeri Zudan Arif mengatakan, pihaknya telah melakukan kerja sama dengan banyak lembaga, perusahaan dan perbankan terkait data kependudukan. Namun, dia menjelaskan, pihak provider tidak memiliki hak akses penuh pada data tersebut.

Dia mengungkapkan, saat ini ada sekitar 2000 lembaga kerja sama atas hak akses data kependudukan. Hak akses ini memungkinkan pihak yang bekerjasama melihat data diri penduduk, mulai dari foto, nama, alamat, tanggal lahir hingga NIK.

Server kita itu ada di Jakarta, di Medan Merdeka Utara dan Kalibata. Kemudian cadangannya ada di Batam. Siapa yang bisa mengakses, adalah orang orang yang diberi hak akses, atau diberi password. Pertama ada petugas Dukcapil, petugas di kabupaten kota. kedua adalah lembaga bekerja sama apa yang berbeda. Kalau petugas bisa mengentri data, sedangkan yang kerjasama hanya bisa melihat.

"Nah kalau seluler hanya mencocokkan nomor NIK dan nomor KK. Jadi enggak tahu namanya siapa, alamatnya di mana. Jadi selama NIK dan nomor KK cocok, maka dia akan terregistrasi," ujarnya.

Sementara untuk mengetahui data diri pemilik nomor handphone, pihak provider harus melalui dua proses. Di mana pihak provider harus mengajukan surat permohonan melihat data NIK atau nama pemilik nomor handphone. Baru setelah itu, pihak Dukcapil akan memberikan jawaban.

Zudan mencontohkan, hak akses yang digunakan perbankan jauh lebih valid dibandingkan milik provider. Dengan hak akses tersebut, pihak perbankan dapat mengetahui apakah orang yang membawa KTP itu sesuai orangnya atau tidak.

"Tapi walaupun sudah ada kerja sama, kadang masih ada saja bank yang langsung percaya dengan KTP. Makanya kadang masih ada penipuan terjadi," tutupnya.

Evaluasi SOP Pergantian Simcard

Badan Regulasi Telekomunikasi Indonesia (BRTI) telah melakukan pertemuan dengan pihak Indosat terkait kasus Ilham Bintang ini. Salah satu yang menjadi pembicaraan adalah rencana evaluasi Standar Operasional Prosedur (SOP) perusahaan saat adanya permintaan pergantian kartu SIM.

Komisioner BRTI, I Ketut Prihadi Kresna mengatakan, kejadian pemberian simcard kepada pelaku pembobolan rekening Ilham Bintang merupakan serangkaian dengan kelalaian pihak Indosat. Untuk itu, pihaknya akan memanggil seluruh operator seluler untuk mengevaluasi SOP permintaan pergantian kartu SIM.

"Evaluasi SOP pergantian kartu SIM Card ini, kami akan memanggil seluruh operator seluler. Kami ingin melihat bagaimana SOP yang telah dilakukan. Tetapi yang terpenting adalah implementasi dari SOP," katanya.

Lantas, apakah Indosat Ooredoo lalai soal ini? Ketut tak ingin menjawab pertanyaan ini. Dia mengatakan hal itu lebih baik ditanyakan kepada pihak terkait.

"Kami tidak bisa bilang begitu, karena kami tidak menyaksikan langsung. Tetapi bisa dilihat juga di beberapa media massa terkait soal ini dari Indosat," ungkapnya.

Sementara itu, Turina Farouk, SVP-Head Corporate Communications Indosat Ooredoo menyesalkan adanya kejadian dalam proses penggantian kartu atas nama Ilham Bintang. Pihaknya pun telah bertemu dengan konsumen.

"Kami telah bertemu dengan beliau dan menjelaskan tentang apa yang terjadi. Kami akan bekerja sama, termasuk jika ada proses yang diperlukan untuk menyelesaikan masalah ini dan menjaga kenyamanan pelanggan kami," jelasnya.