Beredar Narasi Hacker Jual Jasa Login Akun myBCA Rp 7,5 Juta, BCA: Akses Harus Pakai BCA ID

KOMPAS.com - Media sosial ramai oleh narasi penawaran jasa login akun myBCA hanya menggunakan nama dan nomor rekening senilai Rp 7,5 juta.

Narasi itu pertama kali diunggah oleh @secgron di media sosial Twitter, Rabu (26/7/2023).

Disebutkan bahwa penawaran jasa itu diunggah dalam situs BreachForums.

"Seorang threat actor di BreachForums menawarkan sebuah jasa utk login ke akun MyBCA siapapun hanya bermodalkan nama & nomor rekening.

Jasa ini dijual hanya dengan harga $500 atau hanya sekitar 7,5 juta rupiah. Pelaku juga melampirkan tampilan ketika login ke 6 pemilik rekening," bunyi twit tersebut.

Menurut pengunggah, klaim hacker itu cukup lemah.

Kendati demikian, narasi tersebut mengundang kekhawatiran warganet. Banyak dari mereka takut apabila jasa tersebut digunakan untuk aksi penipuan.

"(Ini) buat nipu, terjadi di bokap gw, si pelaku screenshot saldo di rekening BCA, sesuai bgt nominalnya, waktu itu infonya utk permintaan update data. bokap sempet kegocek itu bener BCA karna screenshot saldonya sesuai, tapi dia lgsg sadar pas si orgnya telfon, bokap blg nanti aja sama anak sy," tulis akun @nwlnd*****.

Hingga Kamis (27/7/2023), utas tersebut telah dikomentari 407 akun, dibagikan 4.500 kali, dan disukai sebanyak 10.000 pengguna Twitter.

Lantas, bagaimana tanggapan BCA?

Penjelasan BCA

Pihak BCA buka suara terkait narasi hacker yang mengeklaim menjual jasa login akun myBCA tersebut.

Corporate Communication & Social Responsibility, Hera F. Haryn memastikan bahwa aplikasi mobile myBCA hanya bisa diakses menggunakan BCA ID dan password yang dibuat oleh nasabah sendiri, bukan dengan nama dan nomor rekening.

"Transaksi finansial hanya dapat dilakukan dengan PIN yang hanya diketahui oleh nasabah," jelas Hera saat dihubungi Kompas.com, Kamis (27/7/2023).

Sementara itu, untuk website myBCA, akses juga hanya bisa dilakukan menggunakan BCA ID dan password yang dibuat nasabah sendiri.

Untuk website myBCA, Hera mengungkapkan bahwa transaksi finansial hanya dapat dilakukan dengan one time password (OTP) dari token KeyBCA.

Oleh karena itu, Hera mengimbau kepada seluruh nasabah BCA untuk berhati-hati pada oknum yang mengatasnamakan BCA dan menawarkan modus penipuan untuk mengetahui data nasabah.

"Jangan pernah bagikan data pribadi perbankan yang bersifat rahasia seperti BCA ID, password, nomor kartu ATM, PIN, dan OTP kepada siapapun," kata dia.

Di samping itu, BCA senantiasa melakukan pengamanan data dengan menerapkan strategi dan standar keamanan secara berlapis serta mitigasi risiko yang diperlukan untuk menjaga keamanan data dan transaksi digital nasabah.

Seluruh strategi dan penerapan standar keamanan tersebut selalu dievaluasi dan diperbarui dari waktu ke waktu dengan memperhatikan perkembangan keamanan siber dan transaksi digital.

Pakar sebut pelaku tak bisa transaksi

Terpisah, Kompas.com menghubungi pengamat keamanan siber Vaksin.com, Alfons Tanujaya terkait klaim jasa login myBCA senilai Rp 7,5 juta itu.

Menurut Alfons, aksi login myBCA itu secara teknis mungkin saja terjadi.

"Kalau login ke internet banking atau myBCA secara teknis memungkinkan jika berhasil menginstal keylogger di perangkat korban. Baik di komputer maupun ponsel," kata dia, Kamis (27/7/2023).

Akan tetapi, Alfons menegaskan bahwa pelaku tidak bisa melakukan transaksi.

"Karena untuk bertransaksi membutuhkan token TFA (kalau di internet banking) dan PIN kalau di ponsel," jelasnya.

Namun, bagaimana jika PIN transaksi dicuri melalui virus Trojan?

Alfons memastikan meskipun PIN transaksi berhasil dicuri, login myBCA akan meminta verifikasi tambahan.

"Artinya, andaikan kredensial myBCA bocor, lalu PIN-nya juga bocor, ketika ingin mengakses layanan ini dari ponsel lain atau nomor lain, maka pemilik rekening harus ke bank atau ke ATM atau melakukan KYC yang ketat. Di sinilah dana nasabah terselamatkan," jelas dia.

Alfons berharap, sistem keamanan seperti ini juga dilakukan oleh bank lainnya untuk melindungi akun nasabahnya dari pembobolan.