Hot Topics
Pelindo Perkuat Strategi Pencegahan Fraud Lewat Tata Kelola dan Digitalisasi Layanan
IAASB Revisi ISA 240: Standar Fraud Internal Auditor Global Diperkuat
Mengelola Risiko Fraud: Menyatukan Strategi, Budaya, dan Teknologi
Woori Bank Bongkar Skandal Kredit US$78,5 Juta di Anak Usaha Indonesia: Audit Internal Ungkap Penyimpangan
Fraud Lembaga Keuangan Semakin Mengkhawatirkan: Wipfli Ungkap Celah Kontrol dalam Risk Roundtable

Waspada Penipuan Phishing Mengatasnamakan Bank: Modus “Konfirmasi Tarif Layanan” Menyasar Nasabah

Posted on by Redaksi

Jakarta, 31 Juli 2025 | Keamanan Siber & Perbankan | TheAuditorPost.com

Gelombang penipuan berbentuk phishing kembali marak di Indonesia dengan menyasar nasabah perbankan. Salah satu pola yang beredar meniru identitas resmi bank dan mengirimkan pemberitahuan “penyesuaian tarif layanan”. Korban diminta menekan tombol “Konfirmasi pilihan saya” untuk menyetujui biaya bulanan tertentu atau tetap pada tarif lama. Tautan pada pesan tersebut mengarah ke laman yang menampilkan logo dan warna korporat bank, namun dihosting pada layanan publik seperti Google Sites atau formulir daring, lalu meminta data sensitif seperti nomor ponsel dan nomor rekening. Dengan kedok kenaikan tarif dan dalih “jika tidak konfirmasi, sistem otomatis menyetujui”, pelaku menekan korban agar bertindak cepat tanpa verifikasi.

Contoh Phishing (Credit @Chandra Yulistia)

Phishing adalah teknik rekayasa sosial untuk mencuri kredensial dan data finansial melalui penyamaran. Pelaku memanfaatkan otoritas merek yang dipercaya, menduplikasi elemen visual resmi, memakai bahasa sopan dan berformat surat pemberitahuan, serta menyisipkan ancaman halus berupa tenggat waktu. Setelah korban memasukkan data pada laman palsu, pelaku melanjutkan serangan dengan menghubungi korban melalui telepon atau aplikasi pesan untuk meminta kode OTP dengan alasan verifikasi. Begitu OTP diserahkan, akses terhadap layanan perbankan digital dapat diambil alih, dilanjutkan pemindahan dana ke rekening penampung. Dalam kasus tertentu, data yang terkumpul juga dipakai untuk pengambilalihan kartu SIM (SIM swap) agar pelaku menerima seluruh OTP berikutnya tanpa sepengetahuan korban.

Contoh Phishing (Credit @Chandra Yulistia)

Modus yang meniru pemberitahuan tarif memanfaatkan beberapa celah. Pertama, alamat domain yang tidak resmi, misalnya situs umum atau tautan yang dipendekkan, sehingga sesi komunikasi tidak berada dalam ekosistem aman milik bank. Kedua, ajakan untuk mengisi formulir di luar aplikasi atau internet banking resmi yang seharusnya menjadi satu‑satunya kanal autentikasi. Ketiga, bahasa yang menimbulkan rasa takut kehilangan layanan, sehingga korban tergesa‑gesa menekan tautan sebelum melakukan pengecekan. Keempat, permintaan informasi yang tidak semestinya, seperti nomor kartu, PIN, password, hingga OTP, padahal bank tidak pernah meminta data tersebut melalui tautan atau pesan.

Nasabah dapat menghindari jebakan ini dengan beberapa langkah sederhana namun tegas. Selalu curigai pesan yang meminta konfirmasi melalui tautan eksternal, terlebih jika dihosting pada platform publik. Jangan pernah memasukkan nomor rekening, kredensial perbankan, PIN, ataupun OTP di luar aplikasi resmi. Ketik sendiri alamat situs bank pada peramban atau gunakan aplikasi seluler yang diunduh dari toko aplikasi resmi, lalu cek notifikasi dan pengumuman di sana. Pastikan domain benar‑benar milik bank dan dilindungi HTTPS yang valid, bukan sekadar tampilan antarmuka yang mirip. Bila menerima pesan mendesak mengenai tarif, hubungi pusat layanan bank melalui nomor resmi yang tercantum di kartu, aplikasi, atau situs korporat; hindari nomor kontak pada pesan mencurigakan. Aktifkan autentikasi berlapis dan notifikasi transaksi, serta pantau mutasi rekening secara berkala. Jika terlanjur mengisi data atau membocorkan OTP, segera blokir akses, ubah password, hubungi bank untuk freeze rekening, dan pertimbangkan laporan ke Cyber Crime Polri serta kanal aduan konten Kementerian Kominfo.

Bank pada umumnya menegaskan bahwa mereka tidak pernah meminta nasabah mengisi data rahasia melalui tautan pihak ketiga, tidak mengarahkan ke formulir publik, dan tidak meminta OTP untuk alasan verifikasi administratif seperti perubahan tarif. Informasi perubahan biaya layanan biasanya diumumkan terlebih dahulu melalui situs resmi, aplikasi, dan kantor cabang, bukan lewat pesan yang memaksa keputusan instan.

Maraknya penyalahgunaan identitas lembaga keuangan menuntut kewaspadaan bersama. Peran audit internal dan kepatuhan di industri perbankan perlu memastikan seluruh komunikasi nasabah menggunakan kanal resmi dan terproteksi, sementara edukasi keamanan siber kepada nasabah harus dilakukan berkesinambungan. Di sisi pengguna, prinsip sederhana “jangan klik, verifikasi dulu” tetap menjadi benteng paling efektif melawan phishing.

Daftar Referensi

  1. Badan Siber dan Sandi Negara
  2. Bank Indonesia
  3. Kominfo
  4. Otoritas Jasa Keuangan

Related Posts

Translate »