FBI mengeluarkan peringatan terbaru mengenai lonjakan besar kasus account takeover (ATO) yang dilakukan oleh penjahat siber dengan menyamar sebagai tim dukungan bank dan lembaga keuangan. Sejak Januari 2025, skema ini telah merugikan korban lebih dari USD 262 juta, dengan lebih dari 5.100 laporan masuk ke Internet Crime Complaint Center (IC3).
Serangan ATO ini menargetkan individu, bisnis, hingga organisasi lintas industri. Para pelaku menggunakan rekayasa sosial, situs palsu, dan teknik manipulatif lainnya untuk mendapatkan akses tidak sah ke akun bank, payroll, atau rekening tabungan kesehatan korban.
Modus: Menguasai Akun dan Menguras Dana
Setelah mendapatkan kredensial login, penjahat siber:
- Mengambil alih akun korban sepenuhnya,
- Mengirim dana ke akun pihak ketiga atau dompet kripto,
- Mengubah kata sandi untuk mengunci pemilik sah dari akunnya sendiri.
FBI menyatakan bahwa dana yang dialirkan ke dompet kripto biasanya cepat hilang dan sulit dilacak, membuat pemulihan hampir mustahil.
Penipuan Menggunakan Identitas Bank dan Aparat Hukum
Para pelaku kerap menghubungi korban melalui panggilan, email, atau pesan teks dengan berpura-pura sebagai:
- Pegawai bank,
- Staf dukungan pelanggan,
- Bahkan petugas penegak hukum.
Mereka mengklaim adanya transaksi mencurigakan, penggunaan data korban untuk pembelian ilegal, atau ancaman kriminal guna memancing korban memberikan:
- Kredensial login,
- Kode OTP,
- Informasi multi-factor authentication (MFA),
- Atau mengunjungi situs phishing.
Situs phishing tersebut sering dibuat sangat mirip dengan portal bank atau payroll. Beberapa bahkan memanfaatkan SEO poisoning demi tampil di urutan atas hasil pencarian.
Langkah Pencegahan yang Disarankan FBI
FBI merekomendasikan sejumlah tindakan untuk meminimalkan risiko:
- Pantau aktivitas akun finansial secara rutin,
- Gunakan kata sandi unik dan kompleks,
- Aktifkan MFA,
- Akses situs bank hanya dari bookmark, bukan hasil pencarian.
Jika menjadi korban:
- Segera hubungi bank untuk meminta recall transaksi,
- Minta Hold Harmless Letter atau dokumen indemnifikasi,
- Laporkan kejadian ke ic3.gov dengan informasi lengkap, termasuk akun kriminal dan identitas yang dipalsukan.
FBI juga pernah memperingatkan bahwa pelaku mulai menyamar sebagai situs resmi IC3 untuk memancing informasi pribadi, menambah panjang daftar metode penipuan yang kini semakin canggih.
Sumber: FBI