Oleh Eko B. Supriyanto, Chairman Infobank Media Group
DI tengah hiruk pikuk tarif Trump yang membuat geleng-geleng dunia, ternyata tak banyak yang tahu bahwa telah terjadi pembobolan di sejumlah bank. Ada lima bank yang duitnya raib “digangsir” pembobol bank ini. Dari lima bank, jumlah duit yang ditilap “tuyul” digital ini tak tanggung-tanggung, mencapai Rp560 miliar.
Jumlah itu dalam dua kali peristiwa. Peristiwa pertama uang yang digangsir sebesar Rp414,6 miliar (enam insiden), dan peristiwa kedua sebesar Rp146,8 miliar (dua insiden). Modelnya tak hanya ransomware, tapi juga cyber heist dengan dua pola eksploitasi, yaitu middleware dan account takeover. Pada pola ini, “sang tuyul” digital mencuri secara langsung. Uang mendadak hilang dari sistem.
Metodenya ialah eksploitasi sistem keuangan dengan target institusi keuangan, seperti yang terjadi pada lima bank yang berlangsung pada akhir 2024 dan 2025 ini. Kejadian ini menimpa bank-bank yang ukurannya relatif menengah-kecil (bank KBMI 1 dan KBMI 2).
Pendek kata, modusnya transaksi transfer dana. Tapi, dana nasabah tidak terdebit. Jadi, hanya rekening settlement bank yang berkurang. Ini bisa saja terjadi pada intercept, atau sistem bank ter-compromised. Ada tiga jalur, yaitu bank, switching, dan jalur BI-Fast.
Lain cyber heist, lain ransomware yang sempat marak di tahun-tahun sebelumnya. Pada pola ransomware biasanya dengan cara memeras disertai ancaman. Motifnya minta tebusan, seperti penculik yang minta tebusan sejumlah uang. Metodenya enkripsi data dan pemerasan dengan target semua sektor, termasuk UMKM. Dampak langsungnya, data terkunci yang bisa membuat operasional terhambat.
Berkaca dari kasus yang terjadi, ternyata sumbernya ada dua, yaitu eksternal dan internal. Pada kejadian dua bank pertama dilakukan via switching dan jebol. Lalu, bank ketiga juga lewat switching yang tidak sampai jebol karena terdeteksi lebih awal dan langsung diinfokan ke bank bersangkutan. Selamatlah, karena jalur ditutup.
Sementara, dua bank keempat dan kelima di-routing lewat BI-Fast. Nilai transaksinya juga termasuk signifikan. Terkait kasus ini, bisik-bisik dari kalangan bankir, bahwa fraud detection system (FDS) masih perlu dibenahi. Harusnya transaksi dapat dicegah, tapi ini malah baru ketahuan setelah terjadi anomali. Itu pun bukan ditangkap oleh FDS, melainkan karena bank menanyakan; ”kenapa rekening settlement-nya berkurang sangat signifikan”. Pendek kata, FDS bank dan FDS BI-Fast tidak berfungsi sebagaimana seharusnya.
Tanpa harus menyalahkan siapa-siapa, sudah seharusnya menghadapi cyber heist ini para pihak bahu-membahu. Ada koreksi internal, baik pihak switching, bank, maupun BI sebagai penyelengara BI-Fast. Kesalahan tidak bisa dituduhkan kepada bank semata, tapi harus ditanggung bersama secara proporsional.
Para tuyul digital ini sekarang sedang gentayangan. Ibarat arisan, saat ini bank X yang kena, besok, lusa, atau nanti bisa giliran bank Y, bank Z, dan bank lain. Pertanyaannya, kalau dalam kasus penggangsiran bank ini diibaratkan arisan, tentu ada yang salah. Apalagi, cyber crime ini merupakan ancaman paling mengerikan bagi bank sekarang ini. Risiko operasional derajatnya naik. Bukan lagi soal kredit macet semata, tapi juga soal cyber heist yang terus mengintai.
Pelajaran yang dapat dipetik dari kasus ini, menurut Infobank Institute, ada tiga. Satu, aspek kebijakan dan prosedur. Paling tidak, berkaitan dengan aspek ini, perlunya dilakukan review batas likuiditas secara berkala, monitoring transaksi selama 24/7, mekanisme penelusuran aliran dana fraud, pelaporan transaksi fraud ke PPATK dan kepolisian. Dan, yang paling penting, kalau pas terkena gangsir, pola komunikasi apa yang dibutuhkan. Jadikan komunikasi bagian dari kebijakan.
Dua, aspek sumber daya manusia (SDM). Untuk aspek ini, penting menyiapkan tim untuk tanggap darurat. Lakukan pemenuhan SDM untuk bagian monitoring transaksi secara real-time. Tentu tak lupa juga edukasi kepada nasabah tentang bahayanya cyber crime.
Tiga, aspek teknologi dan proses. Ada proses rekonsiliasi transaksi setidaknya secara harian. Juga penguatan monitoring transaksi dengan melakukan deteksi lebih dini. Dengan demikian, sinyal dapat menyala dengan cepat dan dapat melakukan penanganan dengan segera begitu ada serangan dari pelaku kejahatan siber.
Ke depan, tantangan terbesar bagi bank bukanlah kredit macet, melainkan tuyul digital yang mulai marak dan terus mengendap-endap mencari mangsa. Jangan lagi saling melempar kesalahan. Jika melihat model dan kasus yang terjadi, semua pihak terkait sama-sama melakukan kesalahan, dengan porsi masing-masing tentunya. Mari mengoreksi diri. Mari menengok ke dalam.
Sudahkah bank-bank membentengi diri dengan segala persiapan dan alat deteksi dini, sehingga tak mudah digangsir para tuyul digital? Juga, Bank Indonesia lewat BI-Fast perlu melengkapi fraud deteksi yang lebih canggih yang bisa mencegah lebih dini dan tentunya pihak switching company dan bank sendiri. Saling melengkapi FDS nya yang lebih baik. Saling koreksi diri.
Cyber heist adalah masalah sangat serius, hari-hari ini ketimbang soal tarif Trump yang membuat kita tampak bodoh dengan negosiasi yang memberatkan perekonomian kita. Bahkan, cyber heist yang melanda sejumlah bank ini merupakan ulah para tuyul digital, yang diam-diam menggangsir laci bank tanpa terasa. Langsung terkuras rekening bank. Waspada!
