OJK Ungkap Modus Phishing di Balik Transaksi QRIS Misterius Nasabah BCA di Kendari

KENDARI – Kepala Otoritas Jasa Keuangan (OJK) Sulawesi Tenggara, Bismi Maulana Nugraha, memberikan penjelasan terkait kasus transaksi QRIS misterius yang menimpa salah satu nasabah Bank BCA di Kendari.

Berdasarkan hasil koordinasi dengan pihak perbankan, OJK menyimpulkan bahwa insiden ini merupakan dampak dari kejahatan siber bermodus phishing, bukan karena kegagalan sistem bank.

Kronologi Kejadian: Saldo Terkuras Tanpa Notifikasi

Kasus ini mencuat setelah seorang warga Kendari, Sherly Karno, mengaku kehilangan saldo di rekening myBCA miliknya secara terus-menerus melalui transaksi QRIS tanpa sepengetahuannya. Sherly baru menyadari kejanggalan tersebut pada 14 Maret 2026 saat memeriksa mutasi rekening.

“Ternyata setiap hari ada transaksi QRIS ke rekening yang tidak saya kenal. Padahal saya tidak pernah klik atau akses apa pun,” ujar Sherly melalui unggahan media sosialnya.

Beberapa poin penting dari pengakuan korban:

• Nominal dan Waktu: Transaksi terjadi hampir setiap hari dengan total kerugian mendekati Rp1 juta per hari. Aktivitas ilegal ini sering dilakukan antara pukul 03.00 hingga 10.00 WITA.
• Tanpa Notifikasi: Berbeda dengan transaksi normal, seluruh pemotongan saldo ini sama sekali tidak memunculkan notifikasi pada ponsel korban.
• Dugaan Perangkat: Korban sempat menduga akses ilegal bermula setelah ia menjual ponsel lamanya sebulan sebelum kejadian.

Analisis OJK: Data Terduplikasi Sebelum Ponsel Terjual

Menanggapi hal tersebut, Bismi Maulana Nugraha menjelaskan bahwa hasil verifikasi menunjukkan data nasabah sebenarnya sudah terduplikasi oleh peretas sebelum ponsel lama tersebut berpindah tangan.

“Kami menduga ada proses phishing di situ. Data-data di dalam handphone milik nasabah sudah terduplikasi oleh pelaku,” tegas Bismi.

Menurutnya, pelaku sengaja melakukan transaksi secara berantai dengan jam yang acak dan nominal tertentu untuk menghindari kecurigaan.

Karena data aplikasi sudah terduplikasi (cloning), pelaku dapat mengendalikan akses transaksi seolah-olah dilakukan oleh pemilik sah.

Langkah Mitigasi: Tutup Rekening dan Ganti Data

Pihak BCA sendiri telah menyarankan nasabah untuk melakukan penutupan rekening sebagai langkah pengamanan utama.

Bismi menambahkan bahwa dalam kasus phishing, solusi paling efektif adalah memutus akses peretas secara total.

Rekomendasi Keamanan dari OJK Sultra:

• Buka Rekening Baru: Menutup akun yang sudah terkompromi dan beralih ke rekening baru.
• Pembaruan Kredensial: Mengganti nomor telepon, password, serta Personal Identification Number (PIN) secara berkala.
• Waspada Malware: Hindari mengklik tautan (link) asing, berita hoaks di grup pesan singkat, atau menginstal file aplikasi (APK) tidak resmi yang bisa menyusupkan malware ke perangkat.

Bismi meyakinkan masyarakat bahwa sistem keamanan perbankan saat ini sudah sangat ketat dengan fitur Two-Factor Authentication.

Namun, kewaspadaan pengguna dalam menjaga kerahasiaan data pribadi tetap menjadi kunci utama dalam menghindari kejahatan siber.

Hingga berita ini diterbitkan, pewarta media ini masih berupaya menghubungi pihak bank BCA untuk mendapatkan hak jawab (klarifikasi) atas pemberitaan ini.

Penulis: Agus Setiawan