Duet Maut Call Center Palsu dan trf VA bobol internet banking
Kapan saat seseorang rentan kena soceng atau rekayasa sosial ? Jawabanya adalah ketika membutuhkan bantuan dan ketika bantuan yang diharapkan datang, kewaspadaan turun dan ibarat kerbau dicocok hidung akan mengikuti petunjuk yang diarahkan oleh penolong anda. Dan celakanya penolong yang datang menghubungi bukan malaikat penolong melainkan tuyul penguras saldo bank.
Kalau anda tidak percaya coba saja anda cari di google : “cs airline” atau whatsapp call center airline dan anda akan mendapatkan banyak sekali nomor-nomor Whatsapp palsu yang bergentayangan menunggu anda hubungi. (lihat gambar 1)
Ketika pengguna layanan penerbangan mengalami delay atau mengalami pembatalan penerbangan dan berusaha menghubungi airline untuk refund. Atau ketika korban ingin menghubungi bank dan menghubungi nomor palsu tersebut, maka akan langsung masuk dalam jebakan betmen yang sudah dipersiapkan sedemikian rupa. Dan penipu yang sudah sangat berpengalaman ini dapat menguras rekening anda SEKALIPUN rekening bank anda menggunakan rekening Internet Banking yang diproteksi dengan kalkulator token TFA Two Factor Authentication yang secara teknis merupakan OTP kasta tertinggi dan lebih aman dari OTP authenticator atau OTP SMS.
Sebenarnya secara Internet Banking sudah dirancang sedemikian untuk kebal terhadap eksploitasi dan tetap aman sekalipun kredensial Internet Banking bocor atau OTP token login bocor sekalipun penipu masih akan kesulitan melakukan transfer dari rekening Internet Banking ke akun bank lain karena harus melalui OTP challenge yang terikat pada nomor rekening tujuan yang telah didaftarkan sebelumnya dan tidak berlaku untuk transfer ke rekening lain.
Namun kebiasaan menggunakan OTP challenge yang aman ini tidak diteruskan oleh pihak bank. Terbukti untuk transfer ke Virtual Account ternyata tidak membutuhkan OTP challenge dan hanya berbekal OTP login transaksi transfer ke Virtual Account dapat diotorisasi. Hal ini dieksploitasi dengan riang gembira oleh penipu. Kalau Internet Banking yang dilindungi OTP login saja bisa ditembus, apalagi mobile banking yang tidak dilindungi oleh OTP sama sekali dan hanya mengandalkan PIN.
Penipu menggunakan domain .co.id
Satu hal yang patut menjadi perhatian dan sorotan adalah aksi penipu yang menggunakan domain yang seharusnya aman dan pendaftarannya harusnya dikelola dengan konservatif dan diawasi oleh PANDI, namun nyatanya domain .co.id tersebut dapat dibeli dan digunakan oleh penipu untuk menjalankan aksi penipuan. Hal ini tentunya memudahkan aksi penipuan karena sejatinya domain .co.id adalah domain terpercaya dan masyarakat tentunya percaya dengan bonafiditas domain .co.id yang membutuhkan syarat dan dokumen yang ketat untuk didapatkan. Berbeda dengan domain .com yang bisa didapatkan hanya bermodalkan alamat email.
Semoga hal ini bisa menjadi evaluasi dan pembelajaran oleh PANDI Pengelola Nama Domain Indonesia dan Komdigi untuk lebih disiplin dan ketat melindungi domain .co.id dari penyalahgunaan dan eksploitasi. (lihat gambar 2)
Domain tersebut disponsori oleh Registrar JIS pada tanggal 6 Juli 2025 dan tidak diketahui mengapa domain .co.id yang seharusnya aman dan sangat sulit didapatkan karena persyaratan ketat ini bisa digunakan untuk aktivitas penipuan. (lihat gambar 3)
Jika korban menghubungi nomor CS palsu yang sudah dipersiapkan tersebut, ia akan diarahkan ke situs phishing dan situs phishing ini merupakan situs palugada semua airline (apa aja lu mau gua ada). Dari Refund dana, reschedule, tambah bagasi, update nama, booking seat, cek in online dan bantuan lainnya. Bisa-bisa layanan massage kalau diminta juga mereka akan tampilkan. (lihat gambar 4)
Korban kemudian akan dihubungi melalui nomor ponsel oleh penipu yang akan mengaku CS dari airline yang bersangkutan guna melakukan transaksi. Salah satu senjata yang paling sering digunakan jika penumpang mengalami keterlambatan atau pembatalan penerbangan maka dijanjikan akan mendapatkan refund.
Siapa yang tidak mau mendapatkan refund ? Jika korbannya termakan, maka ia akan diarahkan ke situs phishing yang sudah dipersiapkan untuk hampir semua bank besar di Indonesia. (lihat gambar 5)
Satu hal yang menarik adalah layanan yang diincar bukan hanya mobile banking dan kartu kredit yang notabene relatif mudah dieksploitasi karena tidak diamankan. Tetapi layanan Internet Banking salah satu bank ternama malah menjadi sasaran utama dan hal ini menjadi menarik karena Internet Banking dilindungi oleh OTP dan transfer ke rekening penipu akan sangat sulit karena membutuhkan 2 OTP, OTP Challenge dan OTP Login (apply 1). Secara teknis OTP Challenge sulit didapatkan karena korbanya tentu akan heran, mengapa harus memasukkan OTP Challenge (apply 2).
Namun rupanya ada perkembangan menarik dalam layanan perbankan dimana ada layanan baru yang namanya transfer ke Virtual Account. Jika transfer ke akun bank lain di Internet Banking membutuhkan OTP Challenge dan OTP login, rupanya transfer ke Virtual Account hanya membutuhkan OTP login. Dan OTP login ini, termasuk kredensial login Internet Banking dengan mudah bisa didapatkan oleh penipu menggunakan situs phishing yang telah dipersiapkan. (lihat gambar 6 dan 7)
Aksi ini sudah memakan korban dengan kerugian puluhan juta rupiah dan semoga hal ini bisa menjadi perhatian pihak berwenang baik OJK, Bank Indonesia dan bank terkait agar selalu mengutamakan keamanan diatas kemudahan.
Semoga hal ini bisa menjadi pembelajaran bagi kita semua dan masyarakat agar ekstra hati-hati jika ingin menghubungi Customer Service layanan penerbangan, Bank atau layanan apapun. Pastikan anda menghubungi nomor yang benar dan jangan sampai menghubungi nomor penipu yang memang sengaja ditebarkan menunggu korbannya terjerat.
Salam,
Alfons Tanujaya
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800
Website :
http://www.vaksin.com
Fanpage :
www.facebook.com/vaksincom
Youtube :
https://www.youtube.com/@alfonstan3090
Twitter : @vaksincom
Vaksincom Security Blog








