CEO & Chief Digital Forensic Indonesia, Ruby Alamsyah mengungkapkan modus pembobolan mobile banking bisa dilakukan dengan cara 'sim swap fraud'. Para pelaku mengaku Simcard korban sebagai miliknya dan meminta operator membuatkan simcard dengan nomor yang sama.
"Kejahatan 'SIM swap fraud' ini utamanya membobol rekening bank korban lewat aplikasi mobile banking," kata Ruby.
Ruby menjelaskan bahwa sebelum pelaku akhirnya berhasil membobol rekening seseorang, ada tiga tahap yang dilakukan oleh pelaku :
Pertama, pelaku melakukan pendekatan ke korban yang dinamakan "phising" atau mengelabui korban untuk mendapatkan data-data pribadi. Modus "phising" dapat dilakukan melalui telepon menghubungi korban, SMS, maupun mengirim link palsu. Perlu diketahui, korban "phising" ini bisa secara acak atau orang tertentu yang dikejar.
"Phising ini misalnya saya sebagai pelaku mengaku dari operator bank, menelepon korban untuk verifikasi, bilang ada transaksi mencurigakan sehingga perlu tahu 'username' mobile banking korban," kata Ruby.
Kedua setelah mendapatkan username tersebut, pelaku mendatangi gerai operator tertentu dan berpura-pura telah kehilangan SIM. Dengan sudah berbekal data di tahap pertama, pelaku dapat mengisi formulir untuk mendapatkan kartu SIM nomor korban.
Ketiga, setelah mendapatkan SIM, pelaku mendownload aplikasi mobile banking yang digunakan korban, menggunakan username dan password untuk login ke aplikasi tersebut. Pelaku juga bisa melakukan reset password yang nantinya kode verifikasi dikirimkan lewat SMS.
Setelah berhasil mendapatkan username dan password, pelaku hanya tinggal mendapatkan kode PIN untuk transaksi perbankan di mobile banking.
"Sudah dapat semuanya sehingga akun berhasil dikuasai. Dan ternyata setiap transaksi di bank tersebut hanya perlu OTP (one time password) saja. Saat korban sedang di luar negeri atau dalam jangkauan yang jauh dan sulit untuk bertindak cepat, saat itulah dilakukan transaksi-transaksi yang tidak diketahui korban," terangnya.
Dengan demikian, di tahap pertama (phishing), celahnya ada di pengguna atau nasabah. Sedangkan di tahap kedua, operator dikelabui dengan data-data yang didapat pelaku dari phishing. Di tahap terakhir, ada celah dari aplikasi yang dibobol.