Focus Group Discussion – FGD

Tindak Pidana Industri Jasa Keuangan

Surabaya, 17 Desember 2020

Paulus Dwiharto
Apa itu Fraud… ?

Definisi Fraud adalah tindakan penyimpangan atau pembiaran yang

sengaja dilakukan untuk mengelabui, menipu atau memanipulasi Bank,
nasabah atau pihak lain, yang terjadi di lingkungan Bank dan/atau
menggunakan sarana Bank sehingga mengakibatkan Bank, nasabah, atau
pihak lain menderita kerugian dan/atau pelaku Fraud memperoleh
keuntungan keuangan baik secara langsung maupun tidak langsung (SE
BI No. 13/28/DPNP/2011)
Why People OPPORTUNITY
• Kontrol Internal yang lemah
Commit Fraud • Tidak adanya audit trail
• Kurangnya pengawasan atasan
• Tidak ada kedisiplinan

FRAUD
TRIANGLE
MOTIVATION RATIONALIZATION
• Masalah dan kebutuhan Keuangan • Pembenaran atas fraud yang
• Perilaku yang buruk dilakukan
• Ketidakpuasan kerja • Pelaku menganggap tindakan tsb
• Gaya Hidup bukan fraud
• Pengaruh buruk lingkungan • Pelaku beranggapan “yang lain
juga melakukan”
 Konsekuensi Fraud
Bank :
• Kerugian Finansial
• Pengeluaran biaya
investigasi dan biaya
hukum
• Sanksi dari Regulator
• dll
Pelaku:
• Ganti Rugi atas kerugian Bank
• Tuntutan pidana
• Reputasi Negative
• Terdaftar dalam negative list
• PHK
• dll
 New Maslow’s Hierarchy
5
of Needs

As of Dec ‘10 2020

Total Populasi (jumlah penduduk): 272,1 juta
Pengguna Mobile Unik: 338,2 juta
Pengguna Internet: 175,4 juta
Pengguna Media Sosial Aktif: 160 juta
KONVENSIONAL BRANCHLESS BANKING
Perkembangan Transaksi Perbankan

Dahulu Sekarang
Nasabah harus selalu ke Bank untuk Nasabah tidak harus selalu ke Bank untuk
menyimpan/menarik dana menyimpan/menarik dana

Transaksi harus menggunakan uang Mayoritas transaksi hanya melalui transfer dan
tunai/cash Internet Banking
Penjual & pembeli seringnya selalu harus Penjual & pembeli tidak harus bertemu
bertemu

Waktu dan tempat salah satu hal yang Waktu & tempat tidak lagi sebagai pembatas
membatasi transaksi
Pemalsuan uang/cek/giro marak terjadi Pemalsuan kartu kredit/debit marak terjadi
Penipuan/kejahatan e-commerce marak terjadi
Flow Transaksi Menggunakan EDC
Hal-hal yang tidak boleh
dilakukan oleh merchant :

1. Transaksi gesek tunai *

2. Pengenaan biaya tambahan,
atau surcharge
3. Melakukan double swipe ke
mesin lain selain EDC
4. Melakukan transaksi kartu
pemilik merchant di
merchant sendiri

*) Peraturan Bank Indonesia Nomor 14/2/PBI/2012

perubahan dari PBI Nomor 11/11/PBI/2009

 Kartu Kredit/Debit
Jenis Transaksi
Flow Transaksi e-Commerce

Website/mobile apps
Payment window

3D
OTP Secured

Non 3D
Secured
Social Engineering (Penipuan)

• Mengaku sebagai
karyawan Bank
• Menggunakan spoffing
call seperti call center
bank
• Meminta data nomor
kartu, expiry date, dan
CVV2
• Meminta OTP yang
terkirim ke HP nasabah
Bank tidak pernah meminta data-data
pribadi nasabah, yaitu user ID,
password, OTP, PIN (bersifat rahasia
hanya diketahui oleh nasabah
Flow Process Social Engineering Investasi

Meminta nasabah membuka rekening di Bank

 Investasi
Fraudster  KTA Nasabah
 Perceraian/harta gono-gini
 KYC/CDD
 Pembukaan Rekening
 Setoran Awal
Mengarahkan untuk memberikan data No rekening, PIN, user ID, password,  Registrasi HP fraudster
dan OTP melalui web site phishing  Register Internet Banking

• Masyarakat agar tidak mudah

percaya atas penawaran investasi
Data-data yang diinput
yang belum terpercaya atau tidak
oleh customer akan
di kenal.
digunakan fraudster
• Memastikan bahwa data yang
untuk menjalankan
diberikan ke bank pada
transaksi melalui Intenet
pembukaan rekening adalah data
Banking
nasabah, bukan data orang lain
SIM Swap Fraud TELCO PROVIDER

Request New SIM Card

Fraudster sudah memiliki target nasabah untuk

mengambil data-data personal, user id, password, dll Fraudster menggunakan data nasabah untuk meminta
penggantian SIM Card

Transfer ke Bank Lain Medapatkan OTP

Rekening Penampungan Login ke Mobile/Internet Banking

Recycled SIM Card Fraud TELCO PROVIDER Nomor tersebut masih terdaftar di
perbankan namun sudah tidak digunakan
oleh nasabah

Nasabah tidak melakukan

pengkinian data
Fraudster membeli SIM Card yang
sudah di recycled oleh Telco

Fraudster mencari
data nasabah
(userID, password,
Medapatkan OTP nomor kartu, dll)
Transfer ke Bank Lain
Rekening Penampungan • Login ke Mobile/Internet
Banking
• Transaksi kartu di
eccommerce
Jenis Transaksi Fraud Kartu Kredit dan Kartu Debit  Kartu Hadir
Transaksi fraud menggunakan fisik kartu yaitu :
kartu hilang, kartu curian, kartu counterfeit, Non
Transaksi Fraud Received Card
3%
 Kartu Tidak Hadir
Transaksi fraud tanpa menggunakan kartu, yaitu :
transaksi ecommerce, transaksi key-in, transaksi
offline, transaksi reccurring

Transaksi ecommerce dibagi menjadi 2, yaitu

transaksi secure (3DS) dan transaksi non secure
(non 3DS)

Transaksi 3DS didominasi oleh modus penipuan

dimana nasabah memberikan OTP kepada
fraudster.

97%

Kartu Hadir Kartu Tidak Hadir

Liability Shift Transaksi e-Commerce

Acquiring
3D Non 3D

Issuing Acquiring
3D (Penerbit kartu - CH) (Pemroses)
Issuing

Issuing
Issuing
Non 3D (Penerbit kartu - CH) (Penerbit Kartu - CH)
Internet Banking & ATM
Highlight Case
# DEBIT CARD CASE – COUNTERFEIT FRAUD SKIMMING
 Case di proses di PN Jak-Bar tanggal 14 Okt 2020 (Pembacaan Dakwaan oleh JPU yakni Pasal 30 ayat [2] Jo Pasal 36 Jo Pasal 51 ayat [2] UU RI No 11 Tahun 2008
Tentang Informasi & Transaksi Elektronik (UU ITE) dgn tuntutan [3] tahun [6] bulan dan denda Rp 100 jt.
 Putusan Hakim PN Jak-Bar tanggal 12 Nov 2020 yakni [3] Tahun dan subsider [3] bulan tahanan.
Modus Fraud ATM
Skimming Trapping

Lost / Stolen Card

Debit Card Skimming

Modus Operandi Description

Insert deep skimmer inside the card
reader of ATM
 A deep skimmer placed inside of the card reader in ATM
 Mini camera/ PIN pad Overlay will also be installed as well to record the
PIN (usually placed on PIN cover of the ATM)
 Most of the fraudsters are foreigners from Western Europe (Bulgaria), and
the targeted are Tourism Areas such as (Bali, Lombok, Manado)
 Mitigation has been in placed mainly for tourist area.
 Indonesia become no 1 targeted country for skimming, since Indonesia is
the last country does not mandatory CHIP card for the ATM transactions.
2.1 Overview of Internet Banking

Overview

Feature Convenience Safety

Serving non financial and Accessible by registered Access with User ID and
financial transactions customers Password and PIN to
confirm financial
transaction
2.2 Overview of Internet Banking
Features
MANAGE MY ACCOUNTS
Account Inquiry, Scheduled
Transaction
PAY BILLS
Pay Bills, My Bills,
Consolidate Payment
NEW PRODUCTS & SERVICES
Open Saving Account, Open Time
Deposit, Open Credit Card, Order
Cheque Books
TRANSFER
Smart Transfer, Mass Transfer,
Scheduled Transfer, Favourite
Account Transfer, Foreign
Exchange Rates
PREPAID RELOADS
Reload Prepaid, Favourite
Prepaid Numbers, Virtual Card
Number
OTHER SERVICES
My Data, Clicks Transaction,
Message Centre, Rewards Points,
Notification, mPin
2.3 Overview of Internet Banking

Security Features
- Using International Standard Security SSL 3.0 with 128 bit
Internet Security encryption by Verisign
- IP Restriction control to stop man in the middle attack

- Required User ID and Password to login

User ID & Password - Automatic log out after 10 minutes idle session

- Login audit trail log file

Notification - Proof of transactions to be sent via email

3 digit random words/ numbers to ensure it is not

Captcha robotic

- Unique secure word to protect customer from

Log In Security phising/malware

mPIN mPin - One time OTP send to registered phone number

to confirm financial transactions
- 1 OTP is only valid for XX mins and dedicated for
1 specific financial transaction
 Online Opening Account
Modus Operandi
Create Forge ID card (KTP)
with genuine ID card number
(NIK)
Genuine
Description
Make forge ID card to open bank accounts.
The forge ID card must have a valid ID card number & valid data.
Every online opening account (most of Banks in Indonesia) only validates
ID card number and all the data in it to DISDUKCAPIL database but does
not matching the face.
The account number will be sold and usually be used for the beneficiary
account of any crimes action (fraud, extortion, etc.)
Forge
Rekening Penampung Tindak Pidana Penipuan

Nasabah memberikan
Fraudster meminta kartu debit, nomor HP
nasabah membuka ke fraudster
rekening di bank

Nasabah diberi modal uang

setoran awal dan nomor HP

Fraudster
menggunakan
rekening nasabah
sebagai tempat
penampungan dana
kejahatan (penipuan)

Transfer ke Bank Lain Modus yang digunakan :

Rekening Penampungan 1. Jual beli online (Facebook, Instagram,
dll)
2. Pembajakan Whatsapp
3. Keluarga kecelakaan
4. Meminta sumbangan
5. Dll.
Suspect Money Laundring/Investasi Ilegal via Internet
Banking
Incoming Transfer dari berbagai Customer (User ID) dari device
IRSAXXx IBAD yang sama :

39008 - Surabaya - Wadung Asri Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML,
like Gecko) Chrome/60.0.3112.50 Safari/537.36

AGUNG XXXMANTO

39035 - Surabaya - Husada 

AGUNG BXXX AXX

39069 - Jember - Diponegoro

Pembukaan EKO RAXXX XXXXXGO Penarikan Dana di ATM-ATM area Tangerang

secara berurutan dilakukan oleh 1 orang pria
Rekening 39072 - Malang - Merdeka yang sama.

MOC XXXXXCHUS SURUR

39005 - Surabaya - Rungkut

AINUL XXX XXXY

39059 - Surabaya - Krian

AKHMAD XXXXNO

39059 - Surabaya - Krian

BAGUS RXXXXXNA

39076 - Malang - Batu

Investasi Ilegal
Payment Point Online Bank
(PPOB)

Transfer
Virtual Account

Top Up Saldo

Disburse Pinjol

Pencairan investasi

Pembayaran Pinjol Top up investasi

Pencairan investasi
Disburse Pinjol

Perusahaan PPOB/Ecommerce
memanfaatkan fasilitas Virtual Account
Bank untuk bekerja sama dengan
perusahaan P2P & Investasi illegal dalam
memfasilitasi saran pembayaran, pencairan
dan top-up
Fraud Internet & Mobile Banking  Social Engineering
Fraudster melakukan penipuan dengan meminta
nasabah melakukan transfer ke rekening bank lain,
9% atau melakukan pembelian pulsa
1%
 SIM Card Take Over
Fraudster mendapatkan SIM Card / nomor HP
nasabah melalui Telco dengan cara membeli nomor
yang sudah di recycle atau melakukan penggantian
SIM card ke gerai dengan mengaku sebagai
20% nasabah.

 Suspect Login
Pencobaan login yang tidak dilakukan oleh nasabah
dimana IP address, lokasi, perangkat yang
digunakan tidak sesuai dengan milik nasabah atau
lokasi nasabah berada.

 Malware
70%
Deteksi Perangkat nasabah diduga mengandung
malware atau virus, dimana data-data penting
nasabah seperti User ID dan password dapat dicuri
oleh penjahat siber

Social Enginering SIM Card Take Over Malware Suspect Login

Terimakasih
APPENDIX

ASPEK HUKUM FRAUD PERBANKAN DIGITAL

 Bukti Elektronik dalam Transaksi Perbankan

UU ITE

Keterangan Saksi

Keterangan Ahli

Surat Hasil Cetak IE/DE

Keterangan Saksi
Alat Bukti Petunjuk Su
Surat
m
be
r
Keterangan terdakwa
Keterangan Terdakwa Surat (hasil cetak IE/DE)

Alat Bukti Elektronik Dokumen Elektronik

Informasi Elektronik

33
 MACAM-MACAM
MODUS DALAM DIGITAL BANKING

Delivery
Channel Media Modus

ATM Kartu, PIN, Mesin ATM • Card Skimming • Social Engineering

• Card Trapping • Call Center Palsu
• Card & PIN Sharing • Pencurian Data Kartu

EDC Kartu, PIN, EDC, Card • Card Skimming • Pencurian Kartu/Data Kartu
Reader • Card Intercept • Gesek Tunai
• Card Reader Ilegal

Internet User ID, Password, • Phising • Typosite

Banking Token, Akun Medsos • Man/Malware In The • Keylogger
Browser
(MIB)/Sinkronisasi Token

34
 MACAM-MACAM
MODUS DALAM DIGITAL BANKING

Delivery
Channel Media Modus

SMS Banking PIN, Nomor Ponsel • Pencurian Ponsel • Ponsel digunakan oleh orang
• Pembajakan Nomor Ponsel lain

Mobile PIN, Nomor Ponsel • Pencurian Ponsel • Recycle Nomor Ponsel

Banking • Pembajakan Nomor Ponsel

E-Commerce Data Kartu (Nomor • Carding

Masa Berlaku, Nama,
CVV)

Phone Nomor Rekening, PIN • Call Center Palsu • Menebak PIN Berulang-ulang
Banking
Video Kartu Identitas, • Booth Video Banking Palsu
Banking Penampakan Fisik

35
THANK YOU