Viral Modus Fake BTS, SMS OTP dari Bank Asli tapi Bikin Bobol Rekening

Ilustrasi. BTS palsu dipakai penipu untuk mencuri OTP. (dok dct Total Solutions)

FAKTA.COM, Jakarta - Pakar mewanti-wanti penjahat kini bisa mencuri kode one time password (OTP) untuk transaksi mobile banking dengan modus menara Base Transceiver Station (BTS) palsu. Kelemahannya ada pada teknologi jadul BTS.

"Pengguna ponsel harap berhati-hati. Sekarang sedang marak serangan fake BTS yang meng-intercept SMS OTP," ungkap pakar keamanan siber dari Vaksincom, Alfons Tanjujaya, dalam tiga unggahannya di Instagram, Senin (3/3/3035).

Postingan-postingan itu menuai 3.000-an like dan hampir 200 komentar.

Para penjahat, kata Alfons, mengincar OTP terutama nasabah dua bank berlogo biru yang merupakan terbesar di Indonesia.

Dengan kemampuan terbaru ini, penipu bisa memasukkan nomor asli pihak bank yang selama ini tidak mungkin bisa dilakukan.

"Celakanya, selain penipu bisa menyadap, dia juga bisa melakukan man in the middle attack. Jadi serangan di tengah; dia menyadap antara BTS dengan pengguna ponsel," papar Alfons.

Walhasil, penipu bisa menyadap OTP yang masuk ke nasabah dan bahkan mengeditnya untuk kemudian dikirimkan ke korban.

"Dia (penipu) akan mengirimkan SMS kepada korbannya dari nomor [bank] yang sah. Nomornya sah tapi dipalsukan," cetusnya.

Hasil edit penipu itu adalah SMS dengan permintaan mengklik tautan atau link. Itu akan mengarahkan korban ke situs pembobol kredensial (pasangan password dan username) yang amat mirip dengan situs bank asli atau situs phishing.

"Jadi jangan pernah klik link yang diberikan walaupun dikirimkan oleh bank yang bersangkutan. Jadi Anda harus ketik sendiri. Aduh ini memang pusing ya," seloroh Alfons.

Tak cuma OTP bank, ia mengungkap semua jenis kredensial yang memakai OTP untuk verifikasi rentan dibobol.

"Tujuan utama memang finansial. OTP WhatsApp, belanja online, dompet digital, Anda harus berhati-hati.

"Dompet digital Anda bisa jadi incaran, para pengelola dompet digital harap menyadari ancaman ini lalu otp mobile banking paling diincar."

Ia menyarankan sejumlah hal biat pengguna. Yang utama adalah pergantian metode verifikasi layanan dari SMS OTP menjadi layanan yang lebih terlindungi.

"Paling sial pake OTP WhatsApp. Kalau bisa pakai two factor autentication yang lebih aman," cetus dia.

Ilustrasi. OTP dipakai untuk verifikasi banyak akun penting. (dok. Kaspersky)

Penyebab

Dia mengungkapkan penipu memanfaatkan teknologi lawas provider telekomunikasi yang masih memakai SS7.

"Teknik fake BTS ini karena ada kelemahan dari SS7, signaling dari operator ini menjadi dimungkinkan," ujarnya.

Mengutip TechTarget, SS7 merupakan standar protokol telekomunikasi internasional buat pertukaran informasi dan sinyal kontrol dalam jaringan telepon umum (PSTN).

Sistem ini mengontrol panggilan telepon dan memungkinkan fitur SMS.

"Penyebabnya masalah ini adalah kelemahan di jaringan telco yang bisa di-intercept oleh penyerang."

"Sehingga SMS yang seharusnya masuk ke ponsel pengguna bisa disadap, bukan hanya disadap bisa diintercept lalu diganti. Itu celakanya," cetus dia.

Alfons pun meminta provider telekomunikasi untuk meningkatkan teknologinya lantaran layanan pesan singkat ini tak terenkripsi.

"Provider kalau bisa tolonglah upgrade teknologinya, jangan gunakan teknologi jadul karena tidak terenkripsi, khususnya pengiriman SMS OTP."

Respons kementerian

Kementerian Komunikasi dan Digital (Komdigi) mengaku mengambil tindakan tegas terhadap kasus penyalahgunaan frekuensi radio yang digunakan untuk menyebarkan SMS penipuan dengan metode fake BTS ini.

"Kami telah memerintahkan Ditjen Infrastruktur Digital (DJID) mengambil sejumlah langkah untuk menangani kasus ini. Balai Monitor Spektrum Frekuensi Radio (Balmon SFR) juga sudah dikerahkan guna memantau dan melacak sumber sinyal frekuensi radio ilegal yang digunakan para pelaku," kata Menteri Komunikasi dan Digital Meutya Hafid, dalam keterangan tertulisnya, Senin (3/3/2025).

Ia menjelaskan fake BTS itu membuat para pelaku dapat memancarkan sinyal seolah-olah sebagai BTS operator resmi. Dengan cara ini pelaku mengirim SMS secara massal ke ponsel di sekitarnya tanpa terdeteksi oleh sistem operator.

Dengan metode itu, SMS penipuan dapat langsung menjangkau masyarakat, misalnya menawarkan hadiah palsu atau meminta data pribadi, tanpa melewati jaringan resmi, sehingga upaya ilegal ini sulit dilacak oleh pihak operator.

Dari hasil investigasi awal, kata Meutya, DJID menemukan indikasi kuat adanya penggunaan perangkat BTS ilegal di beberapa lokasi. Sinyal radio yang dipancarkan perangkat fake BTS tersebut terdeteksi beroperasi pada frekuensi milik salah satu operator, namun tidak terdaftar sebagai BTS resmi dalam jaringan.

Hal ini, kata Komdigi, mengonfirmasi bahwa SMS penipuan tersebut dikirim melalui infrastruktur telekomunikasi ilegal di luar kendali operator resmi.

Komdigi juga berkoordinasi dengan Asosiasi Penyelenggara Telekomunikasi Seluruh Indonesia (ATSI) dan Otoritas Jasa Keuangan (OJK) untuk menindaklanjuti temuan tersebut, mengingat modus penipuan ini kerap menyasar nasabah layanan keuangan.

Komdigi juga bekerja sama dengan aparat penegak hukum untuk melacak para pelaku dan memastikan penindakan hukum yang tegas bagi setiap pelanggaran penggunaan frekuensi radio.

"Kami tidak akan mentolerir pihak-pihak yang menyalahgunakan frekuensi radio untuk aksi kejahatan karena dapat merugikan masyarakat luas," kata Meutya.

Ia juga mengimbau masyarakat untuk lebih waspada terhadap SMS mencurigakan dan selalu mengecek kebenaran informasi yang diterima.

Menkomdigi Meutya Hafid mengklaim pihaknya langsung menginvestigasi masalah fake BTS ini. (Fakta.com/Ghazy Rabbani)

Sebagai tindak lanjut, Komdigi melakukan sejumlah hal berikut.

1. Edukasi kepada masyarakat mengenai bahaya dan ciri-ciri SMS penipuan.

2. Dorongan agar operator seluler meningkatkan keamanan jaringan mereka, termasuk memperkuat sistem deteksi dini terhadap aktivitas frekuensi radio yang mencurigakan seperti fake BTS.

3. Komdigi mengingatkan masyarakat untuk tidak mengklik tautan apa pun yang mencurigakan dari SMS tak dikenal.

4. Pelaporan ke Komdigi dan pihak berwenang jika menerima SMS yang diduga merupakan penipuan.