Sudah lebih dari 2 tahun kantorku menjadi vendor bagi beberapa perusahaan perbankan nasional Indonesia. Sebagai agensi media sosial, tugas kami adalah mengelola akun-akun media sosial mereka. Berawal dari satu bank, lalu berlanjut ke bank-bank lainnya. Mungkin nama baik kami sudah tersebar, uhuk. Dari situ, aku pun akhirnya belajar banyak hal. Nggak cuma soal manajemen keuangan sebagai materi kontennya, namun juga soal industri perbankan sendiri termasuk kejahatan perbankan di ranah digital yang sedang marak terjadi.
Inovasi teknologi komunikasi dan informasi memang pedang bermata dua. Satu sisi, ia memudahkan dan mempercepat pekerjaan kita. Di sisi lain, ia menjadi celah bagi orang-orang yang gelap hatinya untuk melakukan tindak kejahatan. Maka, memang sudah menjadi urgensi untuk kita menjadi nasabah bijak agar tak berakhir sebagai mangsa.
Beberapa bulan lalu, kita banyak mendengar kabar tentang investasi bodong dan pinjaman online ilegal yang membuat korbannya rugi jutaan rupiah. Belakangan ini, terlepas dari investasi dan pinjol ilegal yang masih marak terjadi, industri perbankan sedang diramaikan oleh tindak kejahatan bernama social engineering (rekayasa sosial). Apa itu? Izinkan aku yang untuk menjadi penyuluh digital bagi teman-teman di sini untuk membagikan pengetahuan dan ilmu yang sudah kupelajari.
Apa Itu Social Engineering?
Dari yang kupahami, social engineering adalah seni/teknik menggiring korban untuk mau memberikan data-data pribadi perbankan. Korban yang sebenarnya tidak mau memberikan informasi itu dibuat “klepek-klepek” karena psikologisnya sudah direkayasa. Hm, jadi tidak hanya cinta yang bisa direkayasa ya? *garing, abaikan*
Berdasarkan sumber yang kuperoleh dari iNews, total kerugian karena soceng di semester 1 2021 aja udah lebih dari Rp250 milyar! Makanya nggak heran kalau salah satu bank nasional di Indonesia, BRI, pun aktif memerangi kejahatan soceng dengan menindaklanjuti pengaduan ke Siber Polda Metro Jaya.
Aku sendiri pernah nyaris menjadi korban social engineering ini, 2 kali.
Pertama, saat dulu masih kost dan melajang di Bandung, di era puncak pandemi. Kronologinya, aku menerima SMS yang bentuknya seperti konfirmasi transaksi online dari sebuah platform e-commerce. Tak lama kemudian, aku dihubungi oleh seseorang yang mengaku bahwa aku berhak mendapatkan hadiah, dia lalu memintaku mengirimkan 6 digit nomor yang dikirim ke ponselku.
Tuhan Maha Baik. Aku yang saat itu belum terlalu paham, Dia selamatkan dengan SMS berisi 6 digit nomor yang tak kunjung kuterima. Si penelepon sampai frustrasi dan memintaku untuk mengecek berkali-kali. Setelah panggilan diakhiri, barulah SMS-SMS itu masuk. Ketika membacanya, aku berkata dalam hati, “Lho, kode OTP? Ini bukannya kode yang biasanya kita masukkan saat check-out belanjaan online ya? Lah, gue hampir kena tipu dong barusan?”
Kedua, beberapa bulan lalu setelah aku melontarkan pertanyaan via cuitan twit untuk salah satu bank di mana aku menjadi nasabahnya. Ceritanya, aku baru saja install ulang aplikasinya dan selalu terkendala untuk login. Pertanyaanku di tweet lalu direspon oleh sebuah akun yang, menurut sepenangkapan mataku, adalah akun resmi bank tersebut.
Bodohnya, aku lalu menindaklanjuti balasannya dengan mengirimkan pesan teks via aplikasi WhatsApp ke nomor yang mereka berikan. Begitu aku chat dan dibalas, jiwa grammar nazi-ku sempat memberontak karena kaidah ejaan berbahasanya yang kacau. Anehnya, aku abaikan hal ini. Wah, beneran udah kacau aku waktu itu.
Sebentar kemudian, nomor itu menghubungiku. Dengan polosnya aku berpikir, “Wah, bagus banget servisnya. Humble, mau nelfon duluan.”
Preeettt!
Saat itu, aku seharusnya sudah cukup tahu data apa saja yang tidak boleh dibeberkan pada orang lain untuk informasi perbankan kita. Tapi, seolah sudah disihir, aku dengan santainya memberikan foto tampak depan dan belakang kartu debitku. Bahkan ketika Ara, istriku, mencoba menginterupsi karena mencium ketidakberesan, aku malah mengomelinya karena kurasa mengganggu obrolan kami.
Aku baru merasakan keganjilan ketika customer service gadungan itu menanyakan rekening bank lain yang kumiliki dan berapa saldo di dalamnya. Dia lalu memintaku mengirimkan uang ke rekening bank yang bermasalah ini agar akunku aktif kembali.
“He? Bentar bentar, kok aneh.”
Mendengar instruksi mencurigakan itu, Ara segera mengambil alih dan dengan tegas menutup sambungan. Ia memintaku memblokir rekening bank tersebut untuk sementara, dan segera kulakukan. Lagi, Tuhan Maha Baik. Kali ini, Ia menggunakan istriku sebagai alat-Nya.
Setelah “sadar” dari usaha rekayasa sosial itu dan dipandu oleh Ara, aku baru sadar bahwa akun Twitter yang meresponku adalah akun Twitter gadungan. Logo foto profilnya sama, display name-nya sama, namun username-nya berbeda. Diberkatilah kamu, Nugs!
Memangnya, Apa Saja yang Tidak Boleh Kita Bagikan?
Beberapa informasi perbankan kita sifatnya sangat credential atau rahasia, tidak boleh dibagikan pada siapa pun bahkan kepada petugas bank itu sendiri, di antaranya adalah kode CVV/CVC (3 digit angka di bagian belakang kartu), PIN, password, dan kode OTP. OTP adalah one time password, biasanya berupa 6 digit nomor yang dikirimkan ke nomor ponsel kita untuk nanti kita masukkan pada halaman konfirmasi transaksi. Yang biasa belanja di e-commerce dan menggunakan kartu kredit sebagai metode pembayaran pasti sudah tak asing dengan kode OTP ini.
Jadi ingat, data-data di atas nggak boleh di-share ke siapa pun, bahkan sama keluarga dan teman dekat sekalipun. Dari bestie bisa-bisa jadi enemy.
Nama ibu kandung juga sifatnya rahasia, namun ada sedikit perkecualian, misalnya saat proses verifikasi nasabah.
Bagaimana Agar Menjadi Nasabah Bijak?
Kalau ingin melontarkan komplain, keluhan, dan pertanyaan teknis, gunakan direct message (DM). Hindari jalur-jalur terbuka seperti open tweet, komentar, reply, dsb. Jika ada akun bank yang merespon atau membalas, pastikan username dan display name-nya. Akun bank asli biasanya sudah centang biru, username & display name nggak neko-neko, dan followers-nya ratusan ribu.
Untuk itu, kita harus tahu bahkan hafal jalur-jalur komunikasi digital bank kita. Contohnya, untuk BRI, saluran-saluran komunikasinya adalah sebagai berikut
- Instagram : @bankbri_id
- Twitter : @BANKBRI_ID dan @kontakBRI
- Facebook : BANK BRI / BRIofficialpage
- Youtube : BANK BRI
- TikTok : Bank BRI / @bankbri_id
- Website : https://bri.co.id
- Telepon : 14017 / 1500017
Di luar itu, sebaiknya nggak usah dipercaya, bahkan abaikan saja.
Kalau kamu menemukan, atau bahkan dikontak oleh akun palsu, segera report dan block agar jangan ada semakin banyak orang yang menjadi korban.
Ganti PIN dan username secara berkala dengan kombinasi yang unik atau tidak terduga. Jangan lupa untuk selalu logout setiap selesai menggunakan aplikasi mobile banking atau internet banking, serta hindari melakukan transaksi perbankan daring dengan koneksi wifi umum. Kalau perlu, install aplikasi/software VPN. Aku sendiri pernah install aplikasi VPN dari Avast.
Duh, bener-bener harus jadi nasabah bijak kapan pun dan di mana pun ini mah.
Selain social engineering, hati-hati juga dengan modus email palsu dan link palsu. Perhatikan alamat email pengirim. Email resmi seharusnya diakhiri dengan website resmi bank, contoh: website BRI adalah bri.co.id, alamat email resmi semua karyawannya seharusnya namakaryawan@bri.co.id, bukan @gmail.com atau email gratisan lainnya. Hati-hati dengan setiap isi email dan link (tautan) yang disodorkan.
Baru-baru ini ramai link palsu yang beredar dengan berita kenaikan biaya transaksi BRI dan tawaran menjadi nasabah prioritas. Itu semua tidaklah benar, hoax! Selalu validasi dan cross check informasi apa pun yang kita dapatkan dari portal-portal berita resmi, media massa, bahkan menghubungi customer service langsung, terlebih bila informasi itu memuat instruksi di mana kita harus membayar sejumlah uang atau membeberkan data-data perbankan kita.
Aku merangkum seluruh paparan di atas dengan 3 kata: ketahui, cermati, validasi. Ketahui apa saja saluran komunikasi pihak bank yang resmi. Cermati setiap pesan dan informasi yang diterima dari pihak yang mengatasnamakan bank. Validasi informasinya dari sumber-sumber lain yang tepercaya. Dengan 3 kunci tersebut, niscaya kita menjadi nasabah bijak yang bermanfaat untuk diri sendiri dan orang lain.
Sebarkan artikel ini bila kamu mendapatkan manfaat darinya. Untuk teman-teman yang udah sama-sama lebih melek digital dan melek finansial, bagikan juga edukasi dan pengalamanmu buat orang lain. Nggak harus dengan blog, Youtube, atau media sosial tertentu, pilih saluran komunikasi apa pun yang paling cocok sama kamu. Yuk jadi #NasabahBijak!
the travelearn 
Dulu pas msh kerja di bank asing trakhir, aku wajib ikutan training ttg financial crime ini tiap THN mas. Semua staff. Dan ntr ada ujiannya. Juga ada random test. Kdg email kita dikirimin link aneh, dan hrs tau apa yg dilakukan. Hrs lapor ke dept terkait financial crime. Jadi kalo sampe ada staff yg klik itu link, siapa2 ajalah dapat surat cinta dari management 🤣🤣
Social engineering juga diingetin selalu. Aku sendiri ga pernah mau ditanyain data2 begitu walo dengan alasan pembaharuan data. Untungnya bank yg aku pake HSBC, Relationship managerku sigap dan selalu bantuin update dataku. Kdg kalo ditelp cs bank, aku selalu mau, RM ku yg nelpon aku. Cuma ke dia aku mau KSH data2 pribadi. Staff lain aku ga mau. Baru ntr RM ku yg nerusin ke staff yg terkait. Soalnya cuma si RM yg aku percaya dan aku kenal.
Beruntung banget kamu msh diselamatkan ya mas. Banyak yg bilang kalo bicara Ama orang2 penipu itu memang kayak di hipnotis. Ntahlah, aku jrg mau angkat telp yg nomornya ga dikenal soalny.
Iya Puji Tuhan masih dijaga, mbak. Next time harus udah bisa waspada dan kritis sendiri.
Wah ternyata dari perusahaan bank pun ada tes dan pembekalan unik. Semoga bank-bank lain juga begitu, biar bisa ditularkan ke nasabah.