KOMPAS.com - Penipuan berkedok SMS OTP yang disebarkan menggunakan metode fake BTS atau BTS palsu marak terjadi di kalangan masyarakat.
Pakar keamanan siber, Alfons Tanujaya, menyampaikan modus penipuan ini bertujuan untuk membobol akun m-banking korban.
Pelaku menggunakan teknik fake BTS sehingga dapat menyadap SMS OTP sebelum dikirimkan ke pengguna.
SMS OTP itu akan diedit terlebih dulu untuk kemudian dikirim ke korban penipuan.
Sayangnya, metode ini membuat pelaku dapat mengirimkan SMS OTP dari nomor yang sama oleh pihak bank atau operator resmi.
Alfons mengatakan, membedakan pengirim SMS OTP asli dan palsu bukan hal yang mudah.
"Membedakan SMS OTP palsu dari fake BTS ini sulit karena mereka bisa mengubah nomor sender sama dengan nomor asli bank yang mengirimkan SMS OTP," kata dia, saat dikonfirmasi Kompas.com, Selasa (4/3/2025).
Lantas, bagaimana cara membedakan SMS OTP asli dan palsu?
Baca juga: Ramai soal Penipuan Modus Phising Malware Saat Download File, Ini Kata Pakar
Cara membedakan SMS OTP asli dan palsu
Menurut Alfons, tak ada banyak cara yang bisa dilakukan untuk menghindari praktek modus penipuan menggunakan SMS OTP ini.
"Yang bisa dilakukan untuk mengidentifikasi adalah mereka akan menggiring korbannya ke situs phising guna memasukkan kredensial banking," kata dia.
Senada dengan Alfons, Direktur Riset Keamanan Siber (CISSREC) Pratama Persada juga menyampaikan bahwa untuk membedakan SMS OTP asli dan palsu merupakan tantangan tersendiri, terutama bagi pengguna yang kurang waspada.
Meski demikian, dia menyampaikan ada beberapa ciri-ciri yang dapat diperhatikan untuk mengenali SMS OTP asli dari bank atau penipuan.
Berikut cara membedakan SMS OTP asli dan palsu menurut Pratama:
1. Bank tidak menyertakan tautan dalam SMS OTPPratama mengatakan, bank biasanya tidak pernah menyertakan tautan dalam SMS OTP yang mereka kirimkan.
"OTP hanya berfungsi sebagai kode verifikasi, bukan sebagai instruksi untuk mengakses layanan tertentu," kata dia, saat dikonfirmasi Kompas.com, Selasa (4/3/2025).
Cara berikutnya untuk membedakan SMS OTP asli dan palsu adalah dengan mengecek pengirimnya.
Menurut Pratama, bank umumnya mengirimkan SMS OTP melalui layanan resmi dengan nama pengirim (sender ID), bukan berupa nomor acak.
3. Bahasa dan format SMS OTPMasyarakat juga harus jeli melihat bahasan dan format yang tertulis di SMS OTP untuk membedakan apakah pesan itu asli atau palsu.
"SMS OTP palsu sering kali mengandung kesalahan ketik, tata bahasa yang janggal, atau nada mendesak yang berlebihan untuk memaksa korban bertindak tanpa berpikir panjang," jelas Pratama.
Baca juga: Ramai soal Modus Penipuan Phising Kuras Saldo, Ini Cara Mencegahnya
Modus penipuan SMS OTP fake BTS
Mengenali modus penipuan SMS OTP menggunakan fake BTS penting untuk diketahui masyarakat.
Dengan begitu, masyarakat secara sadar bisa mencegah terjadinya tindak phising.
Phishing adalah kejahatan siber yang dilakukan dengan cara mengelabui pengguna untuk memberikan informasi pribadi dari akun m-banking atau akun keuangan mereka.
Menurut Pratama, modus penipuan SMS OTP memanfaatkan kemiripan nomor pengirim dengan nomor asli bank.
"Para pelaku biasanya menggunakan teknik spoofing untuk membuat nomor yang tampil di layar ponsel korban terlihat seolah-olah berasal dari institusi keuangan yang sah," kata dia.
Dikutip dari Kompas.com (2023), teknik spoofing adalah metode yang digunakan untuk memperoleh akses secara tidak sah ke suatu sistem informasi.
Dalam beberapa kasus, Pratama berkata, oknum penipu berhasil menyisipkan pesan palsu ke dalam pesan SMS yang sebelumnya memang berasal dari bank sehingga semakin sulit untuk dibedakan.
Adapun isi pesannya biasanya mencakup peringatan adanya transaksi mencurigakan, instruksi untuk memperbarui data akun, atau permintaan verifikasi dengan alasan keamanan
"SMS ini sering kali menyertakan tautan yang mengarah ke situs phishing yang dirancang menyerupai halaman login resmi bank," ungkap Pratama.
Baca juga: Waspada Phising, Modus Cara Melihat Siapa Saja yang Intip Profil Facebook
Penipuan SMS OTP gunakan BTS ilegal
Ditjen Infrastruktur Digital (DJID) mengungkap hasil investigasi awal yang dilakukannya terkait maraknya aksi penipuan SMS OTP menggunakan teknik fake BTS.
Dikutip dari laman Kementerian Komunikasi dan Digital (Komdigi), laporan hasil investigasi awal menemukan adanya indikasi kuat penggunaan perangkat BTS ilegal di sejumlah lokasi.
Sinyal radio yang dipancarkan perangkat fake BTS itu terdeteksi beroperasi pada frekuensi milik salah satu operator.
Akan tetapi, operator tersebut tidak terdaftar sebagai BTS resmi dalam jaringan.
Hal ini mengonfirmasi bahwa SMS penipuan tersebut dikirim melalui infrastruktur telekomunikasi ilegal di luar kendali operator resmi.
Dapatkan update berita pilihan dan breaking news setiap hari dari Kompas.com. Mari bergabung di Grup Telegram "Kompas.com News Update", caranya klik link https://t.me/kompascomupdate, kemudian join. Anda harus install aplikasi Telegram terlebih dulu di ponsel.