Reporter: Ferrika Sari | Editor: Herlina Kartika Dewi
KONTAN.CO.ID - JAKARTA. Pembobolan saldo Gopay menjadi sorotan setelah dua artis ibu kota menjadi korban. Mereka adalah Aura Kasih dan Maia Estianti. Naasnya, peristiwa pembobolan saldo bernilai jutaan rupiah tersebut terjadi dalam waktu berdekatan, yakni November dan Desember 2019.
Aura Kasih mengaku kehilangan saldo Gopay sekitar Rp 11 juta. Dalam kasus ini, dua akun Gopay berisikan saldo Rp 1,9 juta lenyap bahkan pelaku mengakses akun bank virtual ibu satu anak tersebut untuk top up Gopay senilai Rp 9,7 juta. Tak lama setelah kejadian tersebut, Aura langsung mendatangi kantor Gojek.
Baca Juga: Menjadi korban penipuan, pengguna layanan Gojek lapor ke Polda Metro Jaya
Hal serupa juga terjadi kepada Maia Estianti. Awalnya, ia berniat menggunakan layanan pesan-antar GoFood. Belum sempat memesan makanan, lewat postingan Instagram pribadinya @maiaestiantyreal, ia menjelaskan, bahwa sopir ojek online itu mengaku motornya mogok dan meminta Maia memasukan nomor telepon disertakan kode “21”.
Ia mengikuti permintaan tersebut. Tanpa disadari, ia ternyata memindahkan (forward) data telepon kepada pelaku, termasuk kode OTP melalui pesan sms. Padahal ia tidak memberikan kode tersebut tapi saldo Gopay tetap terkuras. Anehnya lagi, posisi sopir yang tiba-tiba berpindah, lalu meretas akun aplikasinya yang lain seperti Tokopedia dan WhatsApp.
Pelaku menghapus kedua aplikasi tersebut. Untungnya, Maia berhasil menghubungi provider seperti Telkomsel dan perusahaan kartu kredit untuk segera memblokirnya karena pelaku hampir saja membeli telepon seluler seharga Rp 18 juta melalui kartu kredit milik Maia. Atas kejadian itu, ibu tiga anak ini menyarankan Gojek untuk meningkatkan sistem keamanannya.
“Saran saya buat pemilik usaha aplikasi kaya Gojek, Tokped dan lain-lain, mestinya kejadian seperti harus diantisipasi sekali. Supaya tidak berjatuhan korban-korban lain,” tegas Maia.
Gojek pun bereaksi. Senior Manager Corporate Affairs Gojek Alvita Chen mengecam kasus penipuan berbasis rekayasa sosial (social engineering) yang menimpa Maia dan mitra Gojek Yusdi Alamsyah. Baik perusahaan, mitra Gojek maupun GoFood tidak pernah meminta kode apapun lewat cara apapun.
“Kami siap membantu agar penipu dapat diusut dan ditindaklanjuti oleh pihak kepolisian. Kami juga terus mengingatkan pengguna dan mitra Gojek untuk selalu mengecek kembali jika dihubungi oleh pihak yang mengaku dari Gojek atau mitra Gojek,” kata Alvita, beberapa waktu lalu.
Pengamat Keamanan Siber dari Vaksin.com Alfons Tanujaya menyebutkan, secara teori sistem keamanan GoPay dan penyedia layanan sejenis yang lain tidak lemah. Mereka telah menerapkan autentikasi dua faktor, yaitu Two Factor Authentication (TFA) dan OTP. Ini merupakan lapisan keamanan yang dirancang untuk memastikan akses ke pemilik akun.
“Jika ingin mengandalkan transaksi tidak hanya mengandalkan username dan password saja tetapi juga TFA atau OTP yang dikirimkan ke nomor akun telepon seluler yang bersangkutan,” ungkap Alfons.
Baca Juga: Gojek akan lakukan dua hal ini untuk antisipasi penipuan
Menurutnya, sistem pengamanan mengandalkan SMS ini memang lebih praktis karena penetrasi perangkat dan sistem ini menjangkau lebih banyak pengguna. Tidak abis akal, penipu melakukan rekayasa sosial untuk mengelabui korban, seperti meminta pemberian kode OTP, mengubungi call center Gojek serta menginformasikan pergantian sopir.
Pelaku sengaja membidik aplikasi Gopay karena penggunanya banyak di Indonesia. Ia memperkirakan para pelaku adalah mantan sopir ojek online yang sengaja bekerja di sana untuk mengetahui kelemahan sistem setelah itu lalu menjalankan aksinya. Mereka cenderung berkelompok atau terorganisir yang mengkhusukan diri pada penipuan berbasis online.
Alfons memperkirakan berbagai aksi penipunan selama ini disebabkan dua hal. Pertama, sebanyak 20% dari sistem keamanan GoPay yang masih harus belajar dan menyesuaikan agar tidak mudah dieksploitasi. Sementara 80% karena rekayasa sosial yang canggih dari para peretas didukung oleh kelengahan korban.
Ambil contoh saja, kasus pelanggan GoPay, Agnes kehilangan Rp 9 juta dari rekeningnya pada awal tahun. Awalnya ia memesan minuman melalui GoFood di sebuah gerai. Tanpa rasa curiga, supir ojek online bilang sistem penjualan minuman rusak dan dia tidak membawa uang tunai. Tak lama Agnes ditelepon pemilik gerai untuk mentransfer ke akun virtual toko melalui kode pembayara Gopay.
Nyatanya ia ditipu dan akunnya diretas. Petugas kios menelepon kembali bahwa uangnya tidak sampai dan menyuruh transfer kembali hingga uangnya terkuras sampai Rp 9 juta. Sialnya lagi, ia memberikan kode OTP ke akun virtual yang berbeda tanpa mengecek jumlah uang di rekening.
“Ini kelihatan korban yang ditipu melakukan transfer ke rekening bank dan sistem Gopay hanya dimanfaatkan untuk menjaring korban. Korban juga kurang percaya dan kurang teliti dalam melakukan transaksi,” ungkap Alfons.
Ini bukan modus baru dan sering terjadi, korban digiring untuk mentransfer uang dengan angka yang sudah diminta penipu. Biasanya, angka tersebut tidak pahami para korban sehingga potensi pembobolan uang semakin besar.
Meski demikian, masalah kejahatan di dunia maya bukan hanya milik GoPay. Dua tahun lalu, akun pengguna Doku diretas melalui modus pengambilalihan akun atau account take over sehingga pelaku memperoleh akses lebih banyak ke data serta uang mereka. Awalnya akun email diretas, dan berlanjut ke Facebook, rekening Gopay dan bank karena menggunakan email yang sama.
“Sebabnya, banyak orang menggunakan gmail dan password yang sama untuk berbagai akun. Jadi yang dibobol satu tempat, tapi dikombinasikan untuk membobol tempat lain dan hacker mencoba semuanya,” kata SVP Strategic Partnerships Doku Alison Jap.
Jika uang sudah raib, belum tentu perusahaan mau ganti. Menurut Alison, itu bergantung dari kebijakan masing-masing perusahaan apakah akan mengganti uang nasabah atau tidak. Jika dalam kesepatan awal, masalah take over account menjadi tanggung jawab pengguna tetapi itu bergantung dari jenis kasusnya.
“Ada dua faktor, kadang-kadang sistem fintech kurang aman sehingga dapat diretas. Bisa juga, terjadi kelalaian pengguna menjaga password akunnya. Tapi kalau take over karena kelalaian pengguna tidak diganti dan tidak bisa klaim ke mana-mana,” tambah dia.
Ambil contoh saja, uang pengguna Doku bisa balik jika masih dalam satu jaringan perusahaan walaupun pelaku memindahkannya ke akun Doku lain. Untuk mengantisipasi kejadian serupa, Doku membatasi transaksi pengguna sebanyak 10 kali di merchant yang sama dalam sehari. Jika lebih dari itu, maka perusahaan akan memblokir akun pengguna.
Baca Juga: Gojek Kembangkan Sistem Pencegahan
Alison mengakui, aspek keamanan platform harus ditingkatkan, salah satunya melalui data kependudukan yang dikelola Ditjen Dukcapil untuk menangkal penipuan dengan modus rekayasa sosial. Teknologi ini akan membantu mengenal jejak rekam nasabah secara elektronik atau disebut e-KYC berbasis data biometrik seperti sidik jari atau retina mata.
Namun, untuk mengakses data Dukcapil bukan sesuatu yang mudah, khususnya bagi perusahaan yang masih berkembang. Selain itu, ada beberapa syarat harus dipenuhi untuk mengakses data tersebut agar tidak disalahgunakan.
Meski demikian, Alfons punya cara lain untuk menekan penipuan di dunia maya, misalnya saja melalui skema deferred balance atau menjeda waktu pengiriman saldo Gopay dari ponsel lain untuk menurunkan tingkat penipuan. Ambil contoh saja, waktu penjedaan tersebut selama 12 jam, 24 jam atau dua hari baru kemudian uang terkirim.
Ia juga menyarankan proses rekruitmen ojek online yang lebih ketat melalui verifikasi dukumen serta memberikan sanksi yang tegas kepada pelakunya. Dengan begitu, proses perekrutan jadi lebih selektif, seperti pada fitur Go Mart dan Go Shop yang memungkinkan sopir berinteraksi dengan konsumen dalam jumlah transaksi yang lebih besar.
Cek Berita dan Artikel yang lain di Google News
