Penipuan Canggih Indonesia: APK Sniffing, Deepfake, BEC, SIM Swap, Fake Transfer AI

Scope

Ini katalog defensif. Tujuannya agar founder, UMKM, dan admin operasional bisa mengenali modus sebelum uang keluar. Bagian "cara kerja" ditulis dari sudut korban, bukan panduan menjalankan penipuan.

1. APK sniffing via WhatsApp

Bungkus: kurir paket, undangan nikah, tagihan PLN/BPJS, surat e-tilang, data TPS, foto resi, atau dokumen kantor.

Cara kerja dari sisi korban:

1. Korban menerima file APK di WhatsApp.
2. Nama file dibuat seperti dokumen biasa.
3. Korban diminta membuka atau memasang aplikasi.
4. Aplikasi berbahaya mencuri data, SMS, notifikasi, atau akses tertentu.
5. Rekening, e-wallet, atau akun lain berisiko diambil alih.

Defense: jangan install APK dari chat. Surat e-tilang resmi tidak dikirim sebagai APK via WhatsApp; Kompas mengutip kepolisian bahwa konfirmasi ETLE dikirim melalui PT Pos dan kanal resmi.

Sources: Kompas - e-tilang APK palsu, Kompas - 8 modus APK

2. Deepfake dan voice cloning

Bungkus: suara bos, keluarga, partner bisnis, pejabat, atau video call yang terlihat meyakinkan.

Cara kerja dari sisi korban:

1. Korban menerima telepon atau video yang tampak dari orang dikenal.
2. Ada tekanan waktu: darurat, deadline, transaksi hampir gagal.
3. Korban diminta transfer, kirim OTP, atau ubah rekening pembayaran.
4. Setelah uang keluar, identitas asli baru diverifikasi.

Defense: buat passphrase keluarga/perusahaan, call back ke nomor tersimpan, dan gunakan approval dua orang untuk transfer.

Source: OJK info - Satgas PASTI AI scam warning

3. Business Email Compromise / BEC

Bungkus: email vendor, invoice baru, email CFO/owner, atau instruksi pembayaran dari akun yang terlihat sah.

Cara kerja dari sisi korban:

1. Email bisnis atau vendor dipalsukan atau diambil alih.
2. Pelaku mengirim invoice atau perubahan rekening.
3. Admin finance melihat konteksnya masuk akal karena ada transaksi nyata.
4. Pembayaran dikirim ke rekening pelaku.

Defense: perubahan rekening vendor harus diverifikasi lewat nomor lama yang sudah tersimpan, bukan nomor di email baru. Transfer besar wajib approval ganda.

Source: OJK APU-PPT - BEC risk guide

4. AI fake transfer proof

Bungkus: screenshot bukti transfer, struk mobile banking, QRIS, atau mutasi palsu.

Cara kerja dari sisi korban:

1. Pembeli mengirim bukti transfer cepat.
2. Penjual percaya karena screenshot terlihat rapi.
3. Barang dikirim sebelum settlement dicek.
4. Dana tidak pernah masuk.

Defense: jangan kirim barang dari screenshot. Cek mutasi bank, dashboard QRIS, payment gateway, atau settlement marketplace.

Source: OJK - pemalsuan bukti transfer menggunakan AI

5. SIM swap dan OTP theft

Bungkus: pembaruan data, customer service palsu, hadiah, keamanan akun, atau aktivasi kartu.

Cara kerja dari sisi korban:

1. Korban diarahkan memberi data pribadi atau OTP.
2. Nomor/akun diambil alih.
3. OTP berikutnya masuk ke pelaku.
4. Akun finansial berisiko dibuka.

Defense: OTP tidak pernah dibagikan. Pisahkan nomor publik bisnis dan nomor untuk perbankan.

SOP minimum untuk UMKM

1. Transfer keluar di atas limit harus disetujui dua orang.
2. Perubahan rekening vendor wajib call back ke nomor lama.
3. Barang dikirim hanya setelah mutasi masuk.
4. Admin tidak boleh install APK dari chat di HP kerja.
5. Rekening bisnis dipisah dari HP publik customer service.
6. Semua rekening vendor disimpan dalam master data.
7. Jika tertipu, segera lapor IASC dan polisi dengan bukti transfer, rekening pelaku, dan chat.

Source: IASC OJK