BSI Beri Pesan ke Nasabah soal Data Bocor yang Munculkan Risiko Serangan Phising
BSI Beri Pesan ke Nasabah soal Data Bocor yang Munculkan Risiko Serangan Phising –
RMOL, Jakarta – Direktur Penjualan dan Distribusi PT Bank Syariah Indonesia (Persero) Tbk atau BSI Anton Sukarna menjelaskan data yang dibocorkan di internet bukan merupakan data yang sensitif dan bukan merupakan data inti dari BSI. Namun, dia tak menampik bahwa hal itu bisa memunculkan potensi serangan phising dan scamming terhadap nasabahnya.
Menurut Anton, serangan seperti phising dan scamming merupakan kejahatan perbankan yang umum. “Makanya kenapa kemudian kita kirimkan message ke customer terkait dengan jangan menyampaikan OTP (kode One Time-Password atau password sementara) yang Anda peroleh,” ujar dia di Kantor Tempo, Jakarta Barat, pada Kamis, 25 Mei 2023.
Anton menuturkan bahwa model pengamanan perbankan itu secara sederhana setidaknya ada dua layer. Pertama, layer pengguna sebagai orang yang memiliki rekening, sedangkan layer kedua adalah dari sisi banknya.
Dia mencontohkan misalnya untuk transaksi mobile banking yang dilakukan pengguna. Dalam menggunakannya tentu membutuhkan password juga ID, bahkan ada yang sudah menggunakan sensor sidik jari atau finger print. “Selama itu tidak bocor, transaksi sebenarnya aman,” ucap dia.
Di sisi banknya juga sama, kata dia. Bank memiliki mekanisme yang berkaitan dengan password serta memiliki Hardware Security Module (HSM)—perangkat komputasi yang menghasilkan, mengakses, dan melindungi materi kunci kriptografi. Perangkat tersebut bisa mengenkripsi password.
Anton menilai, orang akan sulit mengaksesnya. Jika pun bisa mengakses password tersebut, harus ada HSM. Sehingga belum tentu bisa mencocokkan antara informasi yang didapatkan dengan apa yang ada di sisi bank.
“Jadi menurut saya sangat layering sekali pengamanannya dan sudah sangat rumit sehingga rasanya orang sangat sulit,” kata Anton.
Itu disebutnya menjadi alasan mengapa kejahatan perbankan itu sifatnya social social engineering. Karena harus tahu lebih dulu mengenai data seperti password tadi yang hanya dimiliki nasabah. Bahkan untuk transaksi internet banking ada OTP.
“Kan pada saat transaksi nanti akan ada SMS itu masuk, dia masukin angkanya, baru bisa transaksi. Dan kita tidak ada laporan juga sepanjang case ini orang yang kehilangan uang,” tutur Anton.
Iklan
Sebelumnya, LockBit yang mengaku penyebab gangguan yang dialami BSI pada 8 Mei 2023 itu menyebarkan data nasabah yang sudah dienkripsi di dark web. Kelompok tersebut mencuri dan mengenkripsi 15 juta data nasabah, informasi karyawan, dan sekitar 1,5 terabita data internal milik BSI.
“Masa negosiasi telah berakhir, dan grup ransomware LockBit akhirnya mempublikasikan semua data yang dicuri dari Bank Syariah Indonesia di dark web,” cuit akun Twitter @darktracer_int dengan unggahan tangkapan layar mengenai data-data BSI dan imbauan LockBit kepada nasabah pagi tadi.
Berbagai macam data terlihat dalam unggahan tersebut, mulai dari data retail banking hingga perpanjangan sewa ATM pelita insani. Semuanya berkas data itu bertanggal 8 Mei 2023 mulai dari pukul 11.25 hingga 12.03. Tanggal tersebut merupakan waktu di mana mulainya sistem BSI terganggu. Namun, ada satu berkas yang memiliki tanggal 15 Mei 2023 pukul 20.50. Nama berkasnya Databases.
Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya menjelaskan adanya potensi efek domino dari bocornya data nasabah milik BSI. “Data yang disebar tentu akan dimanfaatkan untuk aktivitas jahat seperti scamming, phishing, atau target serangan,” kata dia.
Menurut Alfons, data rekening yang bocor juga dapat memberikan informasi mengenai pemegang rekening, dan berpotensi merugikan pemilik rekening. Namun, data mutasi di sistem bank kemungkinan besar relatif aman meskipun tidak ada jaminan 100 persen aman.
“Karena kita tidak tahu apa saja yang sudah dilakukan oleh peretas ketika masuk ke dalam sistem,” tutur Alfons.
Dia juga memastikan bahwa pihaknya sudah mengecek data BSI yang dibocorkan di dark web. “Datanya valid, kami sudah cek nomor rekening dan nama pemegang rekening yang diberikan oleh Lockbit itu memang benar nomor rekening dan customer BSI,” ucap dia.
Ikuti berita terkini dari Tempo di Google News, klik di sini
