Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri membongkar praktik pengelabuan (phising) melalui pengiriman berkas paket aplikasi Android (application package file/APK) modifikasi dan tautan (link) ilegal. Selama menjalankan kejahatannya, para pelaku berhasil menguras 493 rekening bank milik korban.

Direktur Tindak Pidana Siber (Dirtipidsiber) Bareskrim Polri, Brigjen Adi Vivid, mengatakan, pihaknya mengamankan 13 pelaku dalam operasi ini. Para pelaku diamankan dari berbagai daerah, seperti Palembang, Makassar, dan Banyuwangi, bersama sejumlah barang bukti. 

"Mereka diketahui bekerja secara kolektif dengan peran yang berbeda-beda, seperti developer APK yang sudah dimodifikasi, agen database calon korban, pelaku social enginering, penguras rekening, dan pelaku penarikan uang," tuturnya di Mabes Polri, Jakarta, pada Kamis (19/1).

Pelaku memodifikasi APK untuk mendapatkan akses ke kotak masuk (inbox) SMS di perangkat korban. Tindakan itu dijalankan untuk mendapatkan kode sandi sekali pakai (one time password/OTP) yang diterima korban, terutama dari aplikasi mobile banking dan e-wallet.

Lebih dari 493 orang telah menjadi korban. Para pelaku melakukan phising dengan modus mengirimkan informasi pelacakan (tracking) ala kurir paket melalui APK modifikasi yang dikirimkan via WhatsApp. "Kerugian yang diakibatkan oleh penipuan berkedok APK tersebut diperkirakan telah menembus angka Rp12 miliar," ujar Adi.

Penyidik Dittipidsiber Bareskrim Polri terus memperdalam dan mengembangkan kasus hingga ini. Pangkalnya, ditemukan beberapa pihak yang diduga membantu para pelaku dalam melancarkan aksinya.

Para pelaku yang menjadi developer APK dikenakan Pasal 46 ayat (1), (2), dan (3) jo Pasal 30 ayat (1), (2), dan (3) UU ITE terkait akses ilegal (illegal access), Pasal 48 ayat (1) jo Pasal 32 ayat (1) UU ITE untuk modifikasi informasi & dokumen elektronik, Pasal 50 jo Pasal 34 ayat (1) UU ITE atas distribusi & menjual perangkat lunak (software) ilegal, serta Pasal 3, Pasal 5, dan Pasal 10 UU TPPU. Pelaku diancam hukuman paling lama 10 tahun penjara dan/atau denda maksimal Rp10 miliar.

Pelaku social engineering disangkakan melanggar Pasal 45A ayat (1) jo Pasal 28 ayat (1) UU ITE atas penipuan daring (online), Pasal 363 KUHP, Pasal 378 KUHP, serta Pasal 3, Pasal 5, dan Pasal 10 UU TPPU. Pelaku terancam penjara hingga 6 tahun dan/atau denda paling banyak Rp1 miliar.