Pada suatu pagi yang dingin di bulan September 2015, seperti biasa, saya terbangun karena suara alarm yang berisik dari handphone. Sebagai seseorang yang tumbuh di era millenium, wajar rasanya kalau hal pertama yang dilakukan setiap bangun pagi adalah mengecek notifikasi di handphone, apalagi saat itu saya belum menikah, sehingga belum mempunyai ‘kesibukan lain’ selepas ‘bangun’ tidur.

Mata saya tertuju pada beberapa notofikasi yang muncul, beberapa mention di Twitter, beberapa likes di Instagram, beberapa love yang tak terbalas di Path, beberapa comment di Facebook, dan beberapa SMS yang masuk.

Wait, SMS? Seingat saya, hanya ada sedikit kemungkinan SMS yang masuk ke handphone saya, dan beberapa di antaranya adalah:

  • SMS Banking pertanda gajian. Tapi saat itu bukanlah hari gajian saya.
  • SMS Mama minta pulsa. Namun Mama saya tak pernah meminta pulsa, melainkan meminta supaya saya segera menikah.
  • SMS penawaran KTA dan penutupan kartu kredit. Sepertinya tak mungkin lah, mereka mengirimkan SMS di tengah malam dan mengganggu tidur calon konsumen, bisa langsung di-block nanti kontaknya.
  • SMS pemberitahuan adanya transaksi online yang dilakukan dengan menggunakan kartu kredit. Ya, memang saya sering bertransaksi online, apalagi kalau menyangkut kebutuhan traveling seperti membeli tiket penerbangan dan memesan penginapan, tapi semalam kan saya tidur cepat, dan sepertinya saya belum melakukan transaksi online lagi di beberapa hari terakhir.

Karena merasa ada yang janggal, saya langsung membuka notifikasi SMS tersebut, dan benar saja, ada empat buah SMS yang mencurigakan, dikirim pada tengah malam.

Saya mendapati SMS atas transaksi kartu kredit milik saya, di sebuah perusahaan travel (sebut saja namanya Mawar Travel --bukan nama sebenarnya), dengan total nilai transaksi lebih dari lima juta Rupiah. Semuanya transaksi yang tidak pernah saya lakukan sebelumnya.
Phishing dan Pencurian Identitas Kartu Kredit

Ilustrasi diperagakan oleh model profesional.

Panik, saya langsung menelepon bank penerbit kartu kredit saya (sebut saja Bank Melati –bukan nama sebenarnya juga) untuk langsung memblokir kartu kredit akibat adanya transaksi yang mencurigakan, sekaligus meminta untuk mengirimkan kartu kredit penggantinya.

“Wah, ini pasti fraud atau penipuan nih.” Geram saya. Menurut definisi Wikipediafraud atau penipuan adalah sebuah kebohongan yang dibuat untuk keuntungan pribadi tetapi merugikan orang lain, dan yang termasuk di dalamnya antara lain adalah: pencurian identitas, tagihan palsu, juga pemalsuan dokumen atau tanda tangan.

Sambil menelepon call center Bank Melati, yang dalam kasus ini bisa menghabiskan pulsa beberapa puluh ribu Rupiah dan waktu lebih dari sepuluh menit, saya mulai menganalisa kemungkinan apa sajakah yang dapat menyebabkan saya terkena fraud semacam ini.

A. Pembajakan Akun di Mawar Travel

Ya, saya memang memiliki akun di Mawar Travel, yang memungkinkan saya untuk melakukan transaksi dengan cepat, karena data-data transaksi saya sebelumnya sudah tersimpan di sana. Apalagi tanpa adanya 3-D Secure Feature –yaitu perlindungan tambahan yang diterapkan oleh bank penerbit kartu kredit, yang biasanya berupa pengiriman PIN atau kode unik ke handphone pemilik kartu. Nantinya kode itu akan di-input di layar transaksi online— yang saat itu tidak diimplementasikan oleh Mawar Travel, dengan alasan demi kemudahan konsumen.

Phishing dan Pencurian Identitas Kartu Kredit

Ilustrasi: Mawar Travel

Saya berpikir, apabila akun saya dibajak, maka pembajaknya bisa dengan mudah melakukan transaksi dengan menggunakan akun saya. Namun, setelah berkoordinasi dengan Mawar Travel beberapa hari setelah kejadian, pihak Mawar Travel menegaskan bahwa data-data konsumen dipastikan aman di sana, sehingga pembajakan akun tidak mungkin dilakukan.

Wah, pasti Mawar Travel belum kenal hacker seperti Neo di film The Matrix nih. Bukan, bukan yang nyanyi “Borju”.

B. Pencurian Data Kartu Kredit ketika Transaksi Offline

Sebetulnya, ini adalah kemungkinan yang paling saya khawatirkan. Bagaimana tidak, apabila melakukan pembayaran dengan kartu kredit di restoran, saya sering memberikan begitu saja kartu kredit saya kepada para pegawai restoran yang bertugas ‘menggesek’ anu, kartu kredit saya.

Padahal, bisa saja mereka (semoga saja tidak) mencatat data-data yang ada pada kartu kredit saya, yang meliputi: Nomor kartu kredit, jenis kartu kredit, nama yang tertera pada kartu kredit, masa berlaku kartu kredit, bank penerbit kartu kredit, dan kode CVV yang terletak di balik kartu kredit.

Phishing dan Pencurian Identitas Kartu Kredit

Ilustrasi: Kartu Kredit untuk Transaksi Offline

Atau kalau mau lebih simpel, tidak perlu dicatat, cukup difoto, dan voila! Data kartu kredit sudah di tangan, dan dapat digunakan untuk bertransaksi online pada beberapa merchant yang tidak menerapkan 3-D Secure Feature dalam proses transaksinya.

C. Phishing dan Pencurian Identitas Kartu Kredit 

Kemudian, saya jadi menerka-nerka kemungkinan yang lain, yaitu phishing. Memang beberapa minggu sebelum kejadian, saya sempat menerima sebuah email dari “PayPal” yang mengatakan “Your Account Has Been Limited” sehingga saya harus melakukan registrasi ulang, termasuk memasukkan data-data kartu kredit saya melalui tautan yang ada di email tersebut.

Bodohnya, –mungkin juga karena panik akibat kemungkinan yang akan terjadi apabila saya tidak menuruti email tersebut yang akhirnya dapat mengakibatkan akun PayPal saya tidak dapat digunakan untuk: Send or receive money, Withdraw money, Remove any bank account, Remove credit card, hingga Close your account– saya menuruti apa yang dikatakan oleh email tersebut dan memasukkan data-data yang diminta.

Selanjutnya, saya sadar bahwa saya telah melakukan salah satu kesalahan terbesar dalam hidup saya. Bukan, ini bukan berbicara mengenai pernikahan. Setelah memberikan data-data tersebut, saya kemudian menyadari bahwa akun yang mengirimkan email adalah bukan akun resmi PayPal, dan saya pun lemas seketika.

Phishing dan Pencurian Identitas Kartu Kredit

Waspadai email yang mengatasnamakan entitas tertentu!

"Jangan-jangan, saya memang kena phishing? Sepertinya sih demikian."

Kriminalitas di Bidang Perbankan

Secara umum, tindak kriminalitas di bidang perbankan dapat dikategorikan menjadi 3 (tiga) kelompok utama –yang bukan hanya dapat menimpa pengguna kartu kredit seperti saya, yaitu:

  1. Skimming: Tindak pencurian data dengan menggunakan alat perekam data. Biasanya kejahatan ini terjadi di mesin ATM (Anjungan Tunai Mandiri) dan mesin EDC yang biasa digunakan di toko-toko favorit kamu. Potensi terjadinya skimming dapat ditanggulangi, salah satunya dengan menggunakan kartu ATM atau kartu debit yang menggunakan chip.

    Phishing dan Pencurian Identitas Kartu Kredit

    Ilustrasi: Pemakaian Mesin EDC untuk transaksi.

  2. Phishing: Upaya pencurian informasi nasabah berupa user ID, kata sandi (password), hingga data kartu kredit. Hal ini akan dibahas lebih lanjut pada artikel ini, namun sekadar informasi, phishing dapat juga terjadi pada kartu debit yang dapat menggunakan tanda tangan untuk otorisasinya. Solusinya, dapat menggunakan kartu debit dengan kode PIN untuk otorisasinya.
  3. Malware: Program atau software yang diciptakan oleh oknum yang tidak bertanggung-jawab untuk menyusup atau merusak sistem komputer, sehingga  memungkinkan oknum tersebut mendapatkan data pribadi nasabah, seperti User ID atau Password.

Berdasarkan pengalaman pribadi, saya belum pernah (knock on wood!) menjadi korban kriminalitas di bidang perbankan melalui mesin ATM dan kartu debit tapi pada dasarnya, phishing juga bisa terjadi pada kartu debit dan kartu ATM yang mempunyai kode CVV dan pemakaiannya untuk transaksi dapat menggunakan tanda tangan saja.

Selanjutnya, saya akan mengulas lebih lanjut mengenai phishing yang pernah menimpa saya.

Tentang Phishing dan Pencurian Identitas 

Menurut Wikipedia, phishing atau pengelabuan adalah adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi, seperti kata sandi dan kartu kredit, dengan menyamar sebagai orang atau bisnis yang tepercaya dalam sebuah komunikasi elektronik resmi, seperti surat elektronik atau pesan instan.

DHEG! Keterangannya sangat cocok dengan apa yang saya alami. Mendapatkan email yang tidak resmi dari pihak yang menyamar sebagai bisnis yang terpercaya, yaitu PayPal.

Phishing dan Pencurian Identitas Kartu Kredit

Phishing (Image Source: Google Images)

Sekadar informasi, istilah phishing berasal dari bahasa Inggris yaitu fishing atau ‘memancing’ (bukan dari bahasa Jawa), yang dalam hal ini berarti memancing informasi keuangan seperti data kartu kredit, serta informasi tentang akun PayPal yang saya miliki, termasuk kata sandi yang saya gunakan.

Berikutnya, phishing akan mendorong terjadinya pencurian identitas, dalam hal ini adalah identitas saya. Ya walaupun saya tidak seterkenal Young Lex dan Awkarin, namun ternyata ada juga yang mau mencuri identitas saya.

Beberapa Contoh Metode Phishing

Dari hasil penelitian, saya mendapati ada beberapa metode phishing yang umum digunakan para pelaku tindak kriminal kartu kredit, yaitu:

  1. Melalui Link: Pelaku mengirimkan sebuah email yang mirip dengan email resmi dari satu institusi, di mana kamu akan diminta untuk meng-klik link yang diberikan dan nantinya kamu harus mengisi data pribadi dalam suatu formulir. (Ini yang terjadi kepada saya)
  2. Klaim Hadiah: Pelaku mengirimkan informasi melalui email, SMS, telepon, sosial media, dan lain-lain, yang mengatakan bahwa kamu mendapatkan hadiah dari suatu institusi seperti bank atau produk seperti makanan ringan. Kemudian, untuk klaim hadiah tersebut, kamu akan dipandu untuk membuka rekening dan/atau  melakukan registrasi melalui internet banking atau mobile banking dan harus mengisi data pribadi. (Yang ini saya sudah paham, sehingga tidak pernah tertipu) Phishing dan Pencurian Identitas Kartu Kredit
  3. Halaman Situs Palsu: Pelaku mengarahkan ke halaman yang mirip dengan situs internet banking yang resmi, dan diminta untuk mengisi data misalnya User ID, Password, Kode Token, Nomor Telepon dan data pribadi lainnya, seperti nama ibu kandung dan ukuran sepatunya. (Berhati-hatilah dengan situs palsu semacam ini, karena akan terlihat sangat nyata seperti aslinya, layaknya sulam alis)

Tips Menghindari Phishing

Pertanyaan berikutnya, apabila kejahatan phishing sudah semakin menjamur, bagaimanakah cara menghindarinya? Simak beberapa tips di bawah ini.

  1. Kenali halaman-halaman situs yang dibuka, pastikan bahwa situs tersebut resmi  (official website). Cara memastikannya adalah perhatikan dengan cermat alamat situs dan domain yang digunakan. Beda domain .com dan .co saja dapat membawamu ke halaman situs yang berbeda.
  2. Jangan klik link  situs, email, SMS maupun media luar lainnya yang mengarahkan untuk memperbarui/mengisi data pribadi. Sekali lagi, jangan! Karena ini yang terjadi terhadap saya, begitu mudahnya percaya dengan pihak lain, dan menyerahkan segala yang saya miliki. Maafkan saya yang polos ini, ya Tuhan.

    Phishing dan Pencurian Identitas Kartu Kredit

    Perhatikan selalu alamat pengirim email.

  3. Jaga kerahasiaan User ID, Password, Kode Token, Kode Aktivasi Mobile Banking atau Internet Banking. Ingat selalu bahwa bank tidak pernah meminta data tersebut. Apabila diminta pun, sebaiknya tidak langsung memberikan, tapi mengkonfirmasi ulang ke Bank yang bersangkutan. Jadilah nasabah yang cerdas, walaupun saldo tabungan mungkin minim.
  4. Pastikan kebenaran sumber informasi baik terkait dengan hadiah maupun promosi  yang ditujukan, sebelum memberikan informasi pribadi. Hal itu bisa dilakukan dengan mengecek situs yang tertera pada pengumuman tersebut. Apabila pihak pemberi hadiah adalah sebuah institusi ataupun produk, namun memberikan tautan dengan alamat domain yang mengandung embel-embel WordPress atau Blogspot, dapat dipastikan itu adalah phishing! 
  5. Saat menggunakan Wi-Fi publik, hindari untuk melakukan transaksi akun perbankan secara online karena bisa jadi jalur Wi-Fi tersebut digunakan untuk mengambil (hack) data. Nah, inilah kemungkinan yang sering kali luput dari pengamatan anak-anak Millennials seperti saya. Yang penting ada Wi-Fi gratis, maka bisa download games, nonton film gratisan, hingga bermain Bigo Live tanpa perlu ingat kuota. Padahal yang gratis, belum tentu yang terbaik. Pastikan juga kredibilitas penyedia Wi-Fi tersebut; biasanya jaringan Wi-Fi di coffee shop ternama sudah cukup aman, namun apabila nama jaringan Wi-Fi tersebut adalah nama-nama seperti “Cieee, cari Wi-Fi gratis, kapan cari wife-nyaa?” ataupun “Ariev Ganteng” maka kamu patut waspada.

Solusi Apabila Kartu Kredit Terkena Phishing

Kemudian, bagaimana solusinya, apabila kamu sudah terlanjur tertipu dan terkena phishing seperti saya? Berikut saya berikan beberapa langkah yang telah saya lakukan dan berhasil:

  1. Tetap tenang, jangan panik, karena semua ini akan segera berlalu. Istighfar dan baca Yaasin bila perlu.
  2. Telepon bank penerbit kartu kredit supaya segera dilakukan pemblokiran kartu kredit tersebut untuk menghindari pemakaian yang berlebihan dari si pelaku. Minta juga kartu kredit pengganti, untuk mengganti kartu kredit lama yang sudah diblokir.
  3. Lakukan konfirmasi ke merchant tempat kartu kreditmu dibobol, apabila memungkinkan. Katakan bahwa kartu kreditmu telah disalahgunakan oleh beberapa pihak pada tanggal sekian dan jam sekian, berdasarkan SMS atau bukti lain yang kamu terima.
  4. Buat surat sanggahan atas transaksi-transaksi yang tidak kamu lakukan, dan kirimkan ke bank penerbit kartu kredit.  Pembuatan surat sanggahan ini cukup mudah dan tidak sakit, sementara untuk contoh formatnya dapat kamu minta ke bank terkait.
  5. Sit back and relax! Pihak bank dan merchant terkait akan melakukan investigasi mengenai kasus yang kamu alami; apabila mereka mendapat bukti dan mampu meyakini bahwa kamu memang tidak melakukan transaksi tersebut, maka transaksi tersebut akan dibatalkan, dan hak-hak kamu akan dikembalikan.
  6. Apabila tagihan kartu kredit sudah keluar, bayarlah hanya sejumlah yang kamu yakini atas transaksi yang kamu lakukan saja. Sisanya, biar waktu (dan hasil investigasi) yang akan menjawab.

    Phishing dan Pencurian Identitas Kartu Kredit

    Ilustrasi: Pembayaran bill dengan menggunakan kartu debit

Saat ini, kehadiran produk perbankan telah mempermudah banyak hal dalam kehidupan, apalagi bagi saya yang seorang traveler, karena hampir tidak dapat dipisahkan dari produk-produk ini. Seperti misalnya penggunaan kartu kredit untuk  membeli tiket penerbangan dan memesan penginapan secara online, penggunaan kartu debit untuk membayar tagihan di restoran, serta penggunaan mesin ATM untuk mengambil dana tunai di dalam dan luar negeri.

Pada dasarnya, semua produk perbankan itu  aman digunakan, namun prinsip kehati-hatian tetap harus dipegang dalam penggunaannya dan selalu waspada dengan kriminalitas di bidang perbankan, supaya tidak terjadi hal-hal yang tidak diinginkan, seperti phishing dan pencurian identitas yang pernah menimpa saya.

Karena cukup saya saja yang menjadi korban phishing, kamu jangan.

Advertisements