Bagaimana Rekening Bank Bisa Diretas Tanpa Data Perbankan seperti Dialami Nasabah Bank Aceh?

PINTOE.CO – Seorang warga Langsa, Muhammad Syafrizal (44 tahun), mengaku rekening Bank Aceh Syariah miliknya diretas setelah dihubungi melalui telepon oleh seseorang yang mengaku dari  Kantor Pelayanan Pajak Pratama (KPPP) Langsa pada 19 Mei 2025. Dampaknya, rekening bank Syafrizal dibobol 21 juta meski Syafrizal mengaku tidak memberikan data perbankan seperti nomor rekening bank, PIN, dan password OTP.

Kepada wartawan, Syafrizal mengatakan orang yang mengaku dari KPPP Langsa itu meminta dirinya memberbarui NPWP perusahaan miliknya. Saat proses verfikasi abal-abal itu, si penelepon menyebut data akurat seperti nama, alamat, dan nama perusahaan. Itu sebabnya, Syafrizal meyakini si penelepon benar-benar orang KPPP Langsa.
Dia kemudian mengikuti permintaan si penelepon untuk mengunduh dan membuka aplikasi yang disebut sebagai M-Pajak. Lalu, Syafrizal mengaku diminta mengisi nomor NIK, nama dan tanggal lahir sesuai Kartu Tanda Penduduk (KTP). Tidak ada permintaan data perbankan, kata Syafrizal.

Petaka terjadi setelah Syafrizal mengunduh aplikasi yang disebut pelaku adalah M-Pajak. Aplikasi itu, kata Syafrizal, diunduh dari Google Play Store. Setelah aplikasi itu diinstal, Syafrizal mengaku ponsel miliknya eror dan layarnya menghitam, namun komunikasi dirinya dengan pelaku masih berlangsung.  

Saat ponsel error, muncul notifikasi transaksi sebesar Rp21 juta ke rekening atas nama Triono  (nomor rekening: 002 10 900 1000721567).

Syafrizal lantas mendatangi unit Bank Aceh Syariah di Jalan Ahmad Yani, Langsa, untuk memblokiur rekening, namun transaksi sudah terjadi selama proses pemblokiran.

Syafrizal lantas menyorot keamanan aplikasi Bank Aceh yang menurutnya lemah lantaran pelaku dapat membobol rekening hanya dengan data dasar seperti nama dan NIK, tanpa memerlukan data perbankan seperti PIN atau OTP.  Ia menyatakan bahwa kejadian yang menimpa dirinya menunjukkan kurangnya proteksi Bank Aceh terhadap dana nasabah.

Dia makin kecewa setelah Kepala BAS Langsa, TM Andhika, pada 27 Mei 2025 menyatakan secara lisan bahwa transaksi tersebut dianggap “normal” meskipun dirinya menegaskan tidak melakukan transaksi atau memberikan data perbankan.  Syafrizal kemudian melaporkan kasus ini ke Polres Langsa.
 

Apa yang Mungkin Terjadi pada Kasus Pembobolan Rekening Bank Tanpa Memberi Data Perbankan?

Jika merujuk pada keterangan Syafrizal yang menyebut pembobolan rekening  Bank Aceh Syariah miliknya terjadi setelah menginstal aplikasi yang disebut M-Pajak, kemungkinan besar Syafrizal telah mengunduh aplikasi M-Pajak palsu yang berisi malware jahat yang dapat menguras rekening bank.

M-Pajak sebenarnya adalah aplikasi resmi yang dibuat oleh Direktorat Jenderal Pajak dan tersedia di Google Play Store. Jika benar Syafrizal mengunduhnya dari Google Play Store, seharusnya aplikasi M-Pajak asli tidak akan menyebabkan rekening bank diretas.

Akan menjadi masalah jika Syafrizal mengunduhnya dari tautan lain atau Google Play Store palsu. Jika itu yang terjadi, dapat dipastikan Syafrizal telah mengunduh aplikasi M-Pajak palsu yang dibuat menyerupai versi aslinya.

Pembobolan rekening setelah nasabah mengunduh aplikasi M-Pajak palsu pernah terjadi tahun lalu. Pada 12 Juli 2024, Direktorat Jenderal Pajak mengumumkan adanya upaya phishing melalui aplikasi palsu yang menyerupai M-Pajak. Korban menerima pesan WhatsApp atau email yang mengarahkan untuk mengunduh file APK bernama “M-Pajak” dari sumber tidak resmi, bukan dari Google Play Store atau App Store. Setelah menginstal aplikasi tersebut, beberapa korban melaporkan kehilangan dana dari rekening bank mereka.

Saat itu, korban diarahkan untuk mengunduh aplikasi M-Pajak palsu di tautan https://djp.dor-go.cc, tautan yang dibuat seolah milik Direktorat Jenderal Pajak. Padahal, sebenarnya tautan itu dikendalikan oleh peretas. Sekarang, tautan tersebut telah diblokir oleh pemerintah. Kemungkinan, pelaku telah memindahkannya ke tautan baru atau membuatnya seolah-olah berasal dari aplikasi resmi Google Play Strore.

Pada Oktober 2024, Dirjen Pajak kembali mengeluarkan peringatan  untuk mewaspadai aplikasi M-Pajak palsu. Disebutkan, para penipu sering kali mengaku sebagai pegawai DJP dan meminta Wajib Pajak memverifikasi data melalui aplikasi M-Pajak palsu yang disebarkan melalui tautan mencurigakan.

“Penipu mengaku sebagai pegawai DJP dengan membawa nama ataupun jabatan untuk meminta Wajib Pajak memverifikasi data melalui Aplikasi M-Pajak Palsu pada tautan mencurigakan dan tidak tersambung dengan Google Play Store ataupun App Store,” tulis DJP dalam akun sosial media Instagram resminya di @ditjenpajakri.

Aplikasi M-Pajak palsu ini mengandung malware yang mencuri data sensitif, seperti kata sandi atau OTP, mirip dengan gangguan teknis (ponsel error) yang dialami Syafrizal. Meskipun kasus Syafrizal tidak menyebutkan unduhan APK secara eksplisit, pola gangguan ponsel selama komunikasi dengan pelaku menunjukkan kemungkinan malware atau session hijacking. Dalam kasus sebelumnya, pelaku juga memanfaatkan data pribadi yang bocor (misalnya, NIK atau NPWP) untuk meyakinkan korban, serupa dengan penggunaan data akurat tentang perusahaan Syafrizal.

Dalam kasus lain, seorang nasabah di Semarang kehilangan Rp10 juta dari rekening banknya setelah menerima pesan WhatsApp yang mengatasnamakan DJP, berisi file APK yang disamarkan sebagai dokumen “Surat Tagihan Pajak.” Setelah menginstal APK tersebut, malware mencuri kredensial perbankan, memungkinkan pelaku mentransfer dana tanpa memerlukan OTP. Kasus ini dilaporkan oleh media lokal dan mirip dengan peringatan DJP tentang penipuan aplikasi palsu.

Di Bali, pada 2024, seorang pengguna dompet digital OVO kehilangan Rp12 juta setelah mengunduh aplikasi palsu yang dikirim melalui WhatsApp, mengatasnamakan OJK untuk “verifikasi sistem pembayaran.” Aplikasi tersebut mengandung malware yang mencuri sesi login perbankan, memungkinkan pelaku melakukan transaksi tanpa OTP. Kasus ini dilaporkan dalam studi tentang keamanan e-wallet di Indonesia.

Meskipun tidak menggunakan nama M-Pajak seperti yang dialami Syafrizal, modusnya mirip, yaitu mengelabui korban untuk mengunduh aplikasi berbahaya yang menginstal malware. Gangguan teknis pada perangkat dan kebocoran dana tanpa data perbankan sensitif menyerupai kasus Syafrizal. Penggunaan data pribadi akurat untuk membangun kepercayaan juga menjadi pola umum.

Banyak korban, termasuk Syafrizal, melaporkan ponsel error (layar hitam atau tidak responsif) selama komunikasi dengan pelaku. Ini bisa disebabkan oleh malware yang mengganggu sistem atau session hijacking yang memanfaatkan sesi login aktif.
 

Faktor Pendukung Pembobolan Rekening Bank  

• Kebocoran Data: Kasus di Jakarta, Jawa Tengah, dan Bali menunjukkan bahwa pelaku sering menggunakan data pribadi yang bocor (misalnya, dari DJP atau Dukcapil) untuk meyakinkan korban.

• Kelemahan Sistem Perbankan: Sistem autentikasi lemah, seperti yang terlihat pada Bank Aceh Syariah, memungkinkan pelaku mengakses rekening tanpa OTP, terutama jika bank tidak menerapkan Two-Factor Authentication (2FA) secara ketat.
      
 • Malware Canggih: Aplikasi palsu seperti M-Pajak sering mengandung malware yang sulit dideteksi, memungkinkan pelaku mencuri data tanpa interaksi langsung dari korban.

Respon Bank Aceh Syariah

Meski tidak spesifik menyebut kasus yang dialami Syafrizal, Humas Bank Aceh Syariah, Hafas, menjamin keamanan aplikasi ActionMobile, namun mengimbau nasabah untuk mewaspadai penipuan digital jenis phishing. Hafas menjelaskan bahwa phishing adalah upaya penipuan untuk mencuri data pribadi seperti username, password, PIN, atau OTP dengan menyamar sebagai pihak resmi. Penipu sering menggunakan tautan palsu melalui SMS, email, atau pesan instan untuk mengelabui nasabah agar menginstal aplikasi berbahaya atau memasukkan data di situs web palsu.

Bank Aceh menegaskan tidak pernah meminta informasi sensitif melalui telepon, SMS, atau email, dan mendorong nasabah untuk tidak membagikan data pribadi, menggunakan kata sandi unik, serta mengaktifkan otentikasi dua faktor. Nasabah juga diminta memperbarui sistem operasi, menginstal antivirus, dan memeriksa riwayat transaksi secara rutin. Jika menemukan aktivitas mencurigakan, nasabah dapat menghubungi Contact Center Bank Aceh di 1500845 atau mendatangi kantor cabang terdekat. Bank Aceh berkomitmen terus meningkatkan sistem keamanan untuk melindungi nasabah. (Selengkapnya lihat: Bank Aceh Jamin Keamanan ActionMobile, Nasabah Diminta Waspadai Phising
      
Langkah Pencegahan agar Terhindar dari Pembobolan Rekening Bank

• Pastikan Unduh hanya  dari sumber resmi.
Aplikasi M-Pajak resmi hanya tersedia di Google Play Store atau App Store. Hindari mengunduh APK dari WhatsApp, email, atau situs tidak resmi.

 • Periksa Izin Aplikasi.
Jangan izinkan akses ke SMS, kontak, atau accessibility services untuk aplikasi yang tidak jelas asal-usulnya.

• Gunakan Antivirus.
Instal aplikasi seperti Avast atau Malwarebytes untuk mendeteksi malware.

• Aktifkan 2FA (autentikasi dua faktor).
Pastikan 2FA diaktifkan untuk perbankan, idealnya dengan aplikasi autentikator, bukan SMS.

• Laporkan Penipuan: Segera laporkan ke DJP (1500200), aduankonten.id, atau bank jika menerima APK mencurigakan atau kehilangan dana.[]