Ngeri juga ya kalau dipikir-pikir, tapi sebenarnya nggak ada "sihir" di dunia siber. Semua ada penjelasan teknisnya. Hacker itu biasanya nggak "menjebol" sistem bank yang super ketat, tapi mereka mengeksploitasi celah keamanan pada alat atau kelalaian kita (human error).
Setan Mesin ATM di Prapatan
Sore itu mendung ngegantung di atas langit Tegal Alur. Hawa panas masih kerasa nempel di kulit. Saya lagi duduk di bale teras depan rumah, asik ngoprek coding buat optimalin website klien biar dapet skor PageSpeed 100, kerjaan yang emang jadi rutinitas saya sehari-hari.
Lagi asyik ngoprek coding, eh Enyak dateng bawa kepanikan.
Tiba-tiba, Enyak dateng dari arah warung sayur, mukanya pucet, napasnya ngos-ngosan kayak abis dikejar kamtib.
"Babeh! Babeh ke mana sih ini orang?!" Enyak teriak sambil naruh kantong kresek sayuran sembarangan di ubin.
Babeh yang lagi di dalem, keluar pelan-pelan sambil ngiket sarung. "Ada apaan sih, Nyak? Sore-sore udeh kayak petasan banting, meledak bae."
"Itu, Encing Mimin, adeknya Babeh! Duitnya ludes di ATM deket prapatan! Katanya kena sihir, Beh. Kartunya ketelen, eh tiba-tiba ditarik sama tuyul dari dalem mesin!" Enyak nyerocos panik.
Saya yang tadinya fokus ke layar laptop langsung nutup kerjaan. "Bentar, Nyak. Tuyul dari dalem mesin? Zaman sekarang tuyul udah main digital apa pegimana ceritanya?" tanya saya nyamber omongan.
"Iya beneran! Tadi Encing Mimin narik duit, kartunya nyangkut. Terus ada orang baek nolongin, disuruh pencet PIN lagi. Eh kaga keluar juga. Pas Encing lapor ke bank, tau-tau saldonya nol! Kalo bukan sihir, apaan coba namanya?" Enyak masih ngotot.
Babeh geleng-geleng kepala, duduk di sebelah saya sambil nyulut udud. "Coba, tong, terangin dah ke Enyak lu. Saya mah pusing dengernya. Emang bisa mesin bank kemasukan dedemit?"
Saya senyum tipis. Emang repot kalau urusan teknologi udah dikait-kaitin sama mistis.
"Gini, Nyak, Beh. Saya kasih tau ya, di dunia siber itu kaga ada yang namanya sihir atau tuyul. Semua ada penjelasan teknisnya. Hacker atau maling zaman sekarang tuh bukan ngejebol server bank yang keamanannya udah seketat brankas negara. Mereka itu nyari gampangnya, ngeksploitasi kelalaian kita, atau istilah IT-nya Human Error."
Saya ngegeser duduk, ngadep ke Enyak sama Babeh biar gampang ngejelasinnya.
"Kasus Encing Mimin itu namanya Modus ATM Nyangkut, Nyak. Ini salah satu dari tiga cara maling tradisional yang masih laku banget."
"Tiga cara pegimana maksudnya?" tanya Babeh, mulai penasaran.
3 Modus Klasik Tuyul ATM
- "Pertama, namanya Skimming. Malingnya masang alat pembaca kartu (skimmer) di lubang mulut ATM. Bentuknya plek-ketiplek kayak lubang asli, Beh. Begitu kartu masuk, data di pita item (magnetik) di belakang kartu itu langsung disalin sama mereka."
- "Kedua, Shoulder Surfing. Sambil nyalin kartu, maling ngintip PIN kita. Entah dia pasang kamera seukuran pentul korek di atas tombol angka, atau pura-pura ngantre di belakang sambil matanya jelalatan."
- "Nah, yang ketiga ini yang nimpa Encing Mimin. Mesinnya diganjel pake korek api atau plastik tipis sama malingnya, biar kartunya macet. Waktu Encing panik, malingnya dateng sok jadi pahlawan kesiangan. Dia nyuruh Encing pencet PIN lagi. Pas Encing mencet PIN, itu maling ngapalin angkanya. Habis itu, maling nyuruh Encing ke bank buat lapor. Begitu Encing pergi, malingnya nyabut ganjelan, ambil kartunya, terus dikuras dah tuh ATM pake PIN yang tadi dia apalin. Jadi bukan disihir, Nyak, tapi ditipu mentah-mentah!"
Jangan gampang panik kalau kartu nyangkut. Tutup tangan pas pencet PIN!
Enyak nepuk jidatnya sendiri. "Ya Allah, Astaghfirullah. Berarti Encing Mimin ngasih tau kuncinya sendiri dong ke itu maling?"
"Nah, itu dia poinnya, Nyak," jawab saya.
Di titik ini, saya inget banget salah satu kutipan dari kitab kuning yang sering dibahas di majlis taklim kampung.
"Beh, Nyak, di dalem kaidah Fiqih (Qawa'idul Fiqhiyah) itu kan diajarin: Dar'ul mafasid muqaddamun ‘ala jalbil mashalih. Artinya, mencegah kemudaratan atau kerusakan itu lebih didahuluin daripada ngambil manfaat."
"Maksudnya pegimana tuh nyambungnya ke ATM?" Babeh nanya, sarungnya dibenerin lagi.
"Maksudnya gini, Beh. Nutupin tangan pas lagi mencet PIN, merhatiin kondisi mesin ATM sebelum masukin kartu, itu namanya mencegah kemudaratan (preventive security). Hal-hal ini jauh lebih wajib dikerjain buat ngamanin harta kita, ketimbang buru-buru pengen narik duitnya (mengambil manfaat). Karena kalau ceroboh, malapetaka yang dateng."
Babeh manggut-manggut. "Bener juga lu, tong. Agama juga ngajarin kita buat ikhtiar jaga harta, bukan cuma pasrah."
"Betul, Beh. Malahan, ada satu buku terkenal judulnya The Art of Deception karangan Kevin Mitnick. Dia ini mantan hacker nomor wahid di dunia. Di bukunya dia nulis begini: "Sebuah perusahaan bisa menghabiskan jutaan dolar untuk firewall, enkripsi, dan perangkat keamanan, tapi kalau manusianya bisa dikelabui, maka semua teknologi itu tidak ada gunanya."
Saya nutup layar laptop yang udah mode sleep. "Sama kayak kartu ATM, bank udah bikin sistem canggih, tapi kalau kita gampang panik dan ngasih celah buat orang jahat ngeliat PIN kita, ya jebol juga pertahanannya."
Enyak narik napas panjang. "Yaudah, Enyak mau ke rumah Encing Mimin dulu dah, mau ngasih tau biar dia ikhlas sama nyuruh dia ganti kartu yang ada chip-nya kuning-kuning itu kan yang lebih aman?"
"Nah, pinter Enyak! Ganti ke kartu yang pakai chip, jangan yang cuma pita item doang, karena chip jauh lebih susah dikloning maling," sahut saya.
Begitulah obrolan sore itu ditutup. Enyak jalan buru-buru ke rumah Encing Mimin, sementara Babeh ngabisin kopinya sambil ngeliatin rintik ujan yang mulai turun. Di kepala saya, mikir, ini baru modus ATM. Belum modus APK WhatsApp yang bikin saldo ilang tanpa nyentuh kartu sama sekali.
Undangan Bodong dan Paket Siluman
Malam harinya, ujan rintik-rintik masih awet ngebasahin aspal jalanan Tegal Alur. Hawa dingin bikin suasana makin enak buat diem di kamar. Saya lagi asik mantengin layar monitor, ngecek dashboard Facebook Ads Manager. Seneng rasanya ngeliat metrik kampanye iklan website klien hari ini tembus di angka Rp81 per landing page view. Usaha ngeracik Meta Pixel sama optimasi iklan kaga sia-sia, hasilnya efisien banget.
Jebakan APK berkedok resi paket atau undangan nikah via WhatsApp.
Baru aja mau nyeruput kopi hitam buatan Enyak, tiba-tiba pintu kamar kebuka. Babeh masuk, mukanya keliatan bingung sambil ngutak-ngatik HP Android-nya.
"Tong, ini apaan dah? Tumben-tumbenan ada kurir nge-WA Babeh. Katanya ada paket nyasar, terus dia ngirim fail buat ngecek resi. Tapi kok ujungnya ada tulisan dot a-pe-ka (.apk) ya? Perasaan Babeh kaga lagi mesen sarung dari online shop," kata Babeh sambil nyodorin HP-nya ke muka saya.
Mata saya langsung melotot ngeliat layar HP Babeh. Jantung rasanya mau copot. Di layar ada pesan dari nomor kaga dikenal, ngirim fail namanya Cek_Resi_Paket.apk.
Tangan saya cepet-cepet narik HP itu. "Beh! Jangan dipencet! Jangan di-klik! Apalagi di-instal!"
Babeh kaget, mundur selangkah. "Buset, ngapa jadi lu... eh, ngapa jadi kamu yang panik begini, Tong? Kan cuma ngecek resi doang." Babeh hampir aja keceplosan ngomong 'lu', untung sadar kalau lagi ngobrol sama anak sendiri.
Saya narik napas panjang, nenangin diri. "Beh, ini bukan resi paket. Ini namanya Modus APK (Sniffing/Phishing). Kalau tadi Babeh pencet terus di-instal, bisa-bisa duit tabungan haji Babeh di m-banking ludes kaga bersisa malam ini juga."
Babeh langsung duduk di pinggir kasur, mukanya jadi tegang. "Bujug buneng! Cuma gara-gara mencet pesan WA, duit di bank bisa terbang? Emang itu aplikasi isinya apaan, Tong? Tuyul pesugihan model baru?"
"Bukan tuyul, Beh," jawab saya sambil naruh HP Babeh di atas meja biar aman. "Itu namanya aplikasi jahat, atau bahasa IT-nya Spyware (aplikasi mata-mata). Jadi ceritanya, maling zaman sekarang tuh nyamar jadi kurir paket, atau kadang ngirim undangan nikah digital, surat tilang polisi, sampai tagihan listrik. Semuanya pakai format .apk."
"Terus, cara kerjanya pegimana dah itu?" tanya Babeh makin penasaran.
Cara Kerja Spyware APK
Saya ngegeser kursi biar ngadep lurus ke Babeh. "Gini, Beh. Sistem Android itu ibarat rumah. Kalau kita nginstal aplikasi resmi dari Play Store, itu ibarat tamu yang masuk lewat pintu depan, udah dicek sama satpam. Nah, kalau aplikasi .apk yang dikirim lewat WA ini, dia tamu gelap. Begitu Babeh instal, aplikasi ini bakal minta izin akses di HP Babeh. Namanya Accessibility Service dan Read SMS (baca SMS)."
"Kalau Babeh kaga ngerti bahasa Inggris, terus main pencet 'Izinkan' atau 'Allow', tamat sudah," lanjut saya. "Aplikasi jahat itu bakal ngumpet di dalem HP. Malingnya dari jarak jauh bisa baca semua SMS yang masuk ke HP Babeh."
"Loh, apa untungnya maling baca SMS Babeh? Paling isinya juga tagihan pulsa," Babeh motong omongan.
"Justru di situ kuncinya, Beh!" saya nekenin nada bicara. "Bank itu kan kalau kita mau login atau mau transfer duit, pasti ngirim kode angka 6 digit lewat SMS. Namanya kode OTP (One-Time Password). Nah, pas malam-malam Babeh lagi tidur lelap, maling ini masukin nomor HP Babeh ke aplikasi m-banking di HP mereka."
Saya ngelanjutin pelan-pelan biar gampang dicerna. "Bank ngerasa, 'Oh, ini Babeh mau masuk', akhirnya bank ngirim kode OTP ke SMS Babeh. Karena di HP Babeh udah ditanem spyware tadi, kode OTP-nya langsung dibaca sama maling dan otomatis dikirim ke server mereka. Malingnya dapet kodenya, berhasil login, terus tinggal transfer dah semua saldo Babeh ke rekening bodong. Semua kejadian tanpa narik kartu ATM, tanpa ketemuan, dan tanpa Babeh sadari!"
Babeh ngusap dada. "Astaghfirullahaladzhim... Ngeri bener zaman sekarang. Malingnya pinter tapi minterin orang. Pantesan banyak orang kampung sebelah yang nangis-nangis duitnya ilang abis buka undangan nikah di WA."
Saddudz Dzari'ah: Tutup Celah Maling
"Makanya, Beh," kata saya ngasih wejangan dikit. "Di dalem ilmu Ushul Fiqh yang sering dikaji di pesantren, ada kaidah penting yang namanya Saddudz Dzari'ah."
"Saddudz Dzari'ah? Apaan tuh artinya, Tong?"
"Artinya itu menutup jalan atau pintu yang bisa ngebawa kita ke arah kerusakan atau kemudaratan, Beh. Dalam urusan jaga harta (Hifzhul Maal), kita diwajibkan buat nutup rapat-rapat semua celah yang bisa bikin harta kita ilang sia-sia. Nah, kaga nge-klik tautan sembarangan dan kaga nginstal aplikasi asing di HP, itu adalah bentuk pengamalan Saddudz Dzari'ah di zaman digital ini. Kita tutup pintunya sebelum malingnya masuk."
Babeh manggut-manggut dalem banget. Paham bener dia kalau udah dikaitin sama ajaran agama.
"Bener juga. Mencegah sebelum kejadian ya, Tong," kata Babeh.
"Betul banget," saya senyum. "Ada satu buku bagus yang ngebahas soal kelakuan tipu-menipu begini. Judulnya Social Engineering: The Science of Human Hacking tulisan Christopher Hadnagy. Di buku itu dijelasin, Beh: "Para penyerang (hacker) tahu bahwa alat peretasan yang paling efektif bukanlah perangkat lunak yang rumit, melainkan kemampuan untuk memanipulasi emosi manusia."
"Maksudnya manipulasi emosi gimana?"
"Ya kayak tadi, Beh. Malingnya sengaja bikin Babeh kaget pake nama 'Paket Nyasar' biar Babeh penasaran (rasa ingin tahu). Atau kalau pake surat tilang polisi, bikin orang panik (rasa takut). Pas orang lagi dikuasain rasa penasaran atau panik, logika akalnya turun, tangannya main asal pencet aja. Itulah inti dari nipu manusia, Beh."
Babeh langsung ngambil HP-nya lagi, tangannya gemeteran dikit. "Yaudah, ini pesannya Babeh hapus aja dah. Babeh block sekalian nomornya biar kaga nongol lagi. Bikin jantungan aja malem-malem."
Setelah nomornya diblokir, saya merasa lega. Untung Babeh nanya dulu, kaga main selonong boy mencet-mencet layar.
Belum lama Babeh naruh HP-nya di meja, Enyak nongol dari balik pintu bawa sepiring pisang goreng anget.
"Pada ngomongin apaan sih ini bapak sama anak? Serius bener mukanya kayak lagi ngitung utang," sapa Enyak sambil naruh piring di sebelah monitor saya.
"Ini, Nyak. Ngomongin maling digital yang lewat pesen WA," sahut Babeh sambil nyomot pisang goreng. "Untung anak kita ngerti IT, kalau kaga, besok pagi Enyak kaga bisa belanja ke pasar dah."
Enyak ngerutihin dahi. "Oh, yang model begitu. Enyak mah sering dapet di grup arisan. Langsung Enyak hapus! Tapi Tong, temen Enyak ada yang aneh kasusnya. Dia kaga dapet undangan WA, kaga ke ATM, HP-nya tau-tau ilang sinyalnya, bener-bener no service. Eh, pas sorenya dicek pake Wi-Fi, saldonya udah abis nol putul. Itu pegimana ceritanya?"
Saya yang lagi ngunyah pisang goreng langsung nelen ludah. Wah, ini lebih ngeri lagi.
"Nah, Nyak... Kalau kasus yang itu, namanya SIM Swap sama ada hubungannya sama Kebocoran Data (Data Breach). Itu level malingnya udah kelas kakap. Mereka kaga nyerang HP korban secara langsung, tapi nyerang dari dalem sistemnya," jawab saya serius.
Enyak sama Babeh langsung pasang kuping lebar-lebar.
"Gimana ceritanya tuh, Tong?" tanya Babeh antusias.
Sinyal Ilang, Tabungan Melayang (SIM Swap & Data Breach)
Di dalem kamar, hawa dari ujan di luar lumayan kerasa dingin. Tapi pembahasan kita malah makin panas. Enyak masih nungguin jawaban soal temennya yang saldonya ludes padahal kaga mencet tautan apa-apa, cuma HP-nya tau-tau ilang sinyal. Babeh juga udah benerin posisi duduk, siap nyimak.
"Gini, Nyak," saya mulai ngejelasin pelan-pelan. "Kasus temen Enyak itu namanya SIM Swap alias pembajakan kartu SIM. Ini kejadiannya kaga di HP temen Enyak, tapi di gerai operator seluler."
"Loh, kok bisa di gerai operator? Emang malingnya kenal sama pegawai di situ?" Enyak nanya, alisnya ngerut.
"Bukan kenal, Nyak, tapi malingnya nyamar jadi temen Enyak! Jadi ceritanya begini, malingnya udah punya data lengkap temen Enyak. Mulai dari nama lengkap, NIK KTP, tanggal lahir, sampai nama ibu kandung. Terus, maling ini bikin KTP palsu pake data temen Enyak, tapi fotonya pake muka si maling atau temen komplotannya."
Data pribadi yang bocor di internet jadi modal utama maling bikin KTP palsu.
Saya nyomot pisang goreng lagi. "Abis itu, malingnya dateng ke gerai operator seluler, pura-pura lapor kalau HP-nya ilang atau kartunya rusak. Pegawai gerai kan ngecek, dicocokin tuh KTP palsu sama data di komputer. Karena datanya pas, pegawainya percaya aja. Dikasihlah kartu SIM baru dengan nomor HP temen Enyak ke itu maling."
Babeh langsung nepuk paha. "Bujug! Pantesan sinyal di HP temen Enyak lu ilang! Soalnya nomornya udah pindah ke kartu SIM yang dipegang maling!"
"Tepat banget, Beh!" saya ngangguk semangat. "Begitu kartu SIM baru itu aktif di HP si maling, otomatis kartu SIM yang ada di HP temen Enyak langsung mati, no service. Mulai detik itu, semua SMS OTP dari bank, dari WhatsApp, dari email, semuanya masuk ke HP si maling. Maling tinggal buka aplikasi m-banking, masukin nomor HP, minta reset password, dapet OTP lewat SMS, dan jreng... ludes dah itu saldo dipindahin."
Enyak geleng-geleng kepala, ngeri bayanginnya. "Ya Allah, jahat bener akalnya. Tapi Tong, itu maling dapet data pribadi temen Enyak dari mana asalnya? Perasaan temen Enyak kaga pernah ngasih KTP ke sembarang orang dah."
Akar Masalah: Kebocoran Data di Internet
"Nah, ini dia akar masalahnya, Nyak. Namanya Kebocoran Data atau bahasa kerennya Data Breach," jawab saya serius. "Temen Enyak mungkin pernah belanja di toko online (e-commerce), daftar pinjaman online (pinjol), atau ngisi data di website yang keamanannya bobrok. Pas website itu dijebol hacker, jutaan data penggunanya dicuri, terus dijual di pasar gelap internet. Maling yang ngebajak SIM itu beli data temen Enyak dari situ."
Makanya, Nyak, Beh, ngurusin privasi ini penting banget. Buat kerjaan saya sehari-hari ngurusin dashboard Facebook Ads Manager sama mantau data Google Analytics punya klien, saya kaga pernah berani pake keamanan yang cuma ngandelin SMS OTP. Ngeri dijebol pake SIM Swap begini. Saya pakenya aplikasi khusus di dalem HP, namanya Authenticator, jadi kodenya kaga dikirim lewat jaringan seluler. Biar kalau kartu SIM saya tiba-tiba mati dibajak orang, akun-akun penting klien tetep aman terkendali.
"Paham saya sekarang," kata Babeh sambil ngelus jenggotnya yang mulai ubanan. "Berarti data pribadi itu harganya mahal ya, Tong. Kaga bisa sembarangan dikasih tau ke orang."
"Banget, Beh. Data itu nyawa di dunia digital," tegas saya. "Ada tokoh ahli keamanan siber kelas dunia, namanya Frank Abagnale. Dia ini dulunya penipu ulung yang kisahnya dibikin film Catch Me If You Can. Di bukunya yang judulnya Scam Me If You Can, dia nulis begini: "Data breaches are the raw material for identity theft." Artinya, kebocoran data itu adalah bahan baku utama buat pencurian identitas. Tanpa ada data yang bocor, maling kaga bakal bisa beraksi nipu gerai operator."
Saya ngambil napas sebentar, nginget-nginget pelajaran dari ngaji kitab. "Kalau kita balikin ke ajaran agama kita, Beh, Nyak, ulama-ulama dari zaman dulu udah wanti-wanti soal pentingnya jaga rahasia. Di dalem kitab-kitab Adab dan Akhlak, ada satu pepatah Arab dari para hukama (orang-orang bijak) yang masyhur banget: Sirruka asiruka, fa idza takallamta bihi shirta asirahu."
"Artinya apaan tuh, Tong? Cakep bener kedengerannya," Enyak nanya, mulai antusias.
"Artinya: Rahasia-mu adalah tawananmu. Namun jika engkau telah mengucapkannya (menyebarkannya), maka engkaulah yang menjadi tawanannya." saya nerjemahin dengan pelan biar maknanya dapet.
"Masya Allah..." Babeh bergumam.
"Jadi, data pribadi kayak NIK KTP, nama ibu kandung, PIN, sama kode OTP itu ibarat rahasia besar kita. Selama kita simpen rapet-rapet, mereka jadi tawanan kita, kita aman. Tapi begitu kita umbar, entah itu sembarangan ngisi link kaga jelas, atau ngasih tau ke orang yang ngaku-ngaku pegawai bank, maka kita yang bakal jadi tawanan. Hidup kita yang bakal hancur digerogotin maling."
Enyak narik napas panjang. "Bener-bener dah, Enyak baru sadar. Zaman Enyak muda maling nyongkel jendela, zaman lu maling nyongkel data. Kudu ekstra hati-hati pantesan."
"Makanya, Nyak," saya senyum sambil nutup layar komputer. "Ada satu lagi modus yang bikin saldo kartu kredit atau debit kepotong buat belanja di luar negeri, padahal kita lagi tiduran di rumah di Tegal Alur. Namanya Carding atau Binning. Malingnya cuma modal nebak angka, kaga perlu tau nama kita."
Mata Babeh langsung melotot lagi. "Hah?! Nebak angka doang dapet duit? Pegimana lagi tuh ceritanya?!"
Duit Kesedot ke Luar Negeri, Cuma Modal Nebak Angka
Bismillah. Lanjut lagi kita, Encing. Tarik napas dalem-dalem, sisaan kopi di gelas dihabisin dulu dah. Di bagian keempat ini, kita bahas pamungkasnya dari segala modus maling siber yang bikin geleng-geleng kepala.
Babeh masih natap saya dengan mata melotot. Pisang goreng di tangannya sampai lupa digigit. Enyak juga ikutan diem, nungguin kelanjutan ceritanya.
"Beneran, Tong? Maling cuma nebak angka, duit kita di bank bisa melayang? Kaga perlu nipu-nipu kirim APK undangan nikah segala?" Babeh nanya, nadanya masih kaga percaya.
Saya ngangguk sambil benerin posisi duduk. "Beneran, Beh. Namanya itu modus Carding, atau teknik spesifiknya disebut Binning. Coba Babeh keluarin kartu ATM Babeh, yang ada logo Mastercard atau Visa-nya."
Babeh buru-buru ngeluarin dompet, narik kartunya, terus diliatin ke saya.
Rahasia di Balik 16 Digit Angka Kartu
"Nah, coba perhatiin, Beh," saya nunjuk ke deretan angka di kartu Babeh. "Di depan kartu itu kan ada 16 digit angka. Enam angka pertama itu namanya BIN (Bank Identification Number). Angka itu nunjukin kartu ini dari bank apa dan jenisnya apa. Nah, maling pinter kaga perlu nyuri kartu Babeh secara fisik."
"Terus ngapain dia?" Enyak nyamber.
"Mereka pake software atau program komputer buat ngacak dan nebak sisa angka di belakang BIN itu, plus nebak bulan dan tahun kedaluwarsanya," jelas saya.
Saya ngelanjutin biar makin terang. "Terus, di belakang kartu Babeh itu kan ada 3 angka rahasia. Namanya CVV. Itu ibarat kunci gemboknya. Komputer maling bakal terus ngacak ribuan kombinasi angka per detik. Begitu dapet kombinasi 16 digit, tanggal, sama 3 angka CVV yang match alias cocok... Jreng! Kartu Babeh siap dipake belanja sama mereka."
"Bentar, bentar," Babeh motong. "Kan kalau belanja di toko online biasanya minta kode OTP yang dikirim ke SMS. Percuma dong dia dapet nomornya kalau kaga pegang HP Babeh?"
"Nah! Itu pikiran orang bener, Beh," saya senyum ngerasa bangga Babeh mulai nyambung. "Tapi masalahnya, kaga semua toko online di dunia ini pake sistem keamanan OTP (namanya 3D Secure). Banyak toko online di luar negeri, atau layanan langganan, yang asal kita masukin nomor kartu dan CVV, duit langsung kepotong detik itu juga tanpa permisi lewat SMS."
"Contohnya, Beh," saya ngasih gambaran yang deket sama keseharian. "Beberapa waktu lalu kan saya sempet ngerakit PC gaming spek tinggi biar mulus dipake main game berat sampai game modelan Roblox. Nah, kadang maling-maling ini ngetes nomor kartu hasil nebak tadi buat transaksi kecil-kecilan dulu, kayak beli koin game atau item digital. Kalau berhasil jebol, baru dah mereka hajar buat beli barang mahal di situs luar negeri. Kita yang lagi enak tidur, tiba-tiba pagi-pagi dapet notifikasi saldo kepotong pake mata uang Dollar."
"Astagfirullah," Enyak ngelus dada lagi. "Kaga aman bener yak hidup di zaman sekarang. Kalo begitu mah mending simpen duit di bawah kasur aja dah, ditaruh di dalem celengan jago."
"Yah, jangan begitu juga, Nyak," saya ketawa pelan. "Nyimpen duit di celengan malah rawan dimakan rayap atau digondol maling beneran. Intinya mah kita kudu tau cara ngamaninnya."
Jurus Pamungkas Penangkal Carding/Binning
Babeh naruh kartunya lagi ke dalem dompet. "Coba kasih tau Babeh, Tong, ilmu penangkalnya biar keluarga kita kaga kena ginian. Ada kaga?"
"Ada banget, Beh. Ini dia jurus pamungkasnya," saya ngangkat jari, ngasih rincian satu-satu biar gampang diinget:
- Matiin Transaksi Luar Negeri & Online: Buka aplikasi m-banking di HP. Di situ pasti ada pengaturan kartu. Kalau emang kaga pernah belanja di toko luar negeri, matiin fitur transaksi luar negeri dan transaksi e-commerce. Jadi, biarpun maling berhasil nebak angka kartu kita, pas dia mau pake buat gesek di internet, langsung ditolak sama bank.
- Tutup Angka CVV: Ambil stiker kecil, tempel di 3 angka rahasia (CVV) di belakang kartu ATM. Biar kalau lagi bayar di kasir restoran atau pom bensin, kasirnya kaga bisa diem-diem ngapalin atau moto nomor rahasia itu.
- Aktifin Notifikasi Transaksi: Pastiin kalau ada duit keluar, biarpun cuma serupiah, langsung masuk notif ke HP (bisa lewat SMS atau email). Jadi kalau ada transaksi aneh, kita bisa langsung telepon bank buat blokir kartunya detik itu juga.
Babeh manggut-manggut. "Ibarat kata nih, Tong. Kuda kalau kaga diiket ya kabur. Duit juga kalau kaga kita gembokin dari aplikasinya ya disedot maling."
"Cakep bener perumpamaannya, Beh!" sahut saya semangat. "Malah, di dalem riwayat Imam Tirmidzi, ada hadis yang bunyinya persis kayak omongan Babeh. Dulu ada sahabat Nabi yang nanya, 'Ya Rasulullah, apakah aku ikat untaku lalu bertawakal kepada Allah, atau aku lepas saja lalu bertawakal?' Terus Nabi Muhammad SAW ngejawab: I’qalha wa tawakkal. Artinya: Ikatlah untamu itu, lalu bertawakallah."
Saya natap Babeh sama Enyak gantian. "Sama kayak keamanan bank, Beh, Nyak. Kita kaga bisa cuma ngandelin doa biar duit kaga ilang. Kita kudu 'ngiket unta' kita dulu. Caranya ya itu tadi: jangan klik APK sembarangan, jaga kerahasiaan OTP, dan matiin fitur transaksi online kalau kaga dipake. Habis itu semua dilakuin, baru dah kita tawakal sama Allah."
Saya juga inget salah satu pakar kriptografi dan keamanan komputer terkenal, Bruce Schneier. Dia nulis di bukunya, Secrets and Lies, kalimat yang sampai sekarang jadi pegangan orang IT sedunia.
"Kata Bruce Schneier gini, Beh: "Security is a process, not a product." Keamanan itu proses, bukan barang jadi. Kaga ada bank atau alat yang 100% aman selamanya. Keamanan itu ya kebiasaan kita sehari-hari buat selalu waspada."
Ujan di luar udah mulai reda. Pisang goreng di piring Enyak juga tinggal remahannya doang.
"Alhamdulillah," kata Babeh sambil nyeruput kopi terakhirnya. "Babeh jadi melek teknologi sekarang. Besok pagi Babeh mau kumpulin bapak-bapak di pos RT, mau Babeh ceritain ulang biar pada kaga ketipu APK kurir paket lagi."
"Nah, mantap itu, Beh. Ilmu kan emang kudu dibagi-bagi biar berkah," jawab saya sambil ngeberesin meja komputer, siap-siap mau nerusin ngoprek coding lagi.
Bismillah. Siap, Encing! Biar ilmu yang kemaren kaga ngabar kena angin, ini saya bikinin rangkuman khusus alias FAQ (Pertanyaan yang Sering Ditanyain) versi pos ronda Tegal Alur.
Biar kalau ada tetangga atau klien yang nanya, Encing tinggal sodorin aja catetan ini. Dijamin langsung pada melek IT dah!
FAQ: Sihir Digital Tegal Alur (Edisi Nangkis Maling Siber)
1. Tanya: Beneran ada mesin ATM yang disihir sampe narik duit orang dewek?
Jawab: Kaga ada urusannya sama demit atau sihir, Cing! Itu namanya trik ATM Nyangkut (dicampur Shoulder Surfing). Maling ngebuntungin lubang kartu pake plastik atau korek. Pas kartu macet dan kita panik, malingnya dateng sok nolongin buat ngintip PIN kita.
- Jurus Penangkal: Tutupin rapat-rapat tangan pas mencet PIN (inget kaidah Dar'ul mafasid muqaddamun ‘ala jalbil mashalih, mencegah kerusakan itu wajib). Dan pastiin kartu ATM udah diganti ke model Chip, jangan yang cuma pita item magnetik doang.
2. Tanya: Kalau dapet WA undangan nikah atau resi paket bentuknya .apk, bahaya kaga kalau di-klik?
Jawab: Bahaya banget, bisa ludes itu tabungan! Itu bukan surat, tapi Spyware (aplikasi mata-mata). Kalau keinstal dan dikasih izin, maling bisa nyadap SMS dari jarak jauh. Begitu bank ngirim SMS kode OTP, malingnya langsung dapet kodenya buat nguras m-banking.
- Jurus Penangkal: Jangan pernah nge-klik atau nginstal aplikasi asing di luar toko resmi. Tutup rapat-rapat celahnya (inget pesan ulama soal Saddudz Dzari'ah).
3. Tanya: Kok bisa temen saya saldonya abis, padahal HP kaga diapa-apain, cuma tiba-tiba sinyal ilang (no service)?
Jawab: Itu namanya SIM Swap yang dibantuin sama Kebocoran Data (Data Breach). Maling dapet data KTP kita yang bocor di internet, terus dia bikin KTP palsu. Dia lapor ke gerai operator minta kartu SIM baru pake data kita. Otomatis sinyal di HP kita mati, pindah ke HP maling. Semua kode OTP bank masuknya ke dia.
- Jurus Penangkal: Jaga data pribadi kayak NIK, nama ibu kandung, dan tanggal lahir kayak jaga nyawa. (Sesuai pepatah Arab: Sirruka asiruka, rahasiamu adalah tawananmu, kalau diumbar malah kita yang jadi tawanan).
4. Tanya: Emang bisa maling nyedot duit ke luar negeri cuma modal nebak angka kartu doang?
Jawab: Bisa banget, Cing. Namanya modus Carding/Binning. Maling pake komputer buat ngacak dan nebak 16 angka di depan kartu, masa aktif, sama 3 angka rahasia (CVV) di belakang kartu. Kalau nebaknya bener, itu kartu dipake foya-foya di situs luar negeri yang kaga pake sistem keamanan SMS OTP.
- Jurus Penangkal: Buka aplikasi m-banking, terus matiin fitur transaksi luar negeri dan e-commerce kalau lagi kaga dipake. Tempel stiker di 3 angka CVV di belakang kartu. Habis itu baru tawakal sama Allah (inget hadis I’qalha wa tawakkal, ikat dulu untanya baru berserah diri).