BerandaNEWSIN-DEPTH

Menguak Modus SMS Masking, Ketika Nama BCA Bisa Dipakai Siapa Saja

By Nur Hamzah
kejahatan pishing menggunakan sms masking BCA
ilustrasi kejahatan pishing menggunakan sms masking BCA
REKOMENDASI

ARTIKEL TERKAIT

Table of contents [hide]

Telset.id, Jakarta – Pada minggu siang (1 Juni 2025) , sebuah SMS masuk ke ponsel saya. Pesan itu berasal dari “BCA”, nama pengirim yang sama dengan SMS resmi yang biasa saya terima tentang transaksi rekening. Namun isi pesannya mencurigakan. Terdapat tautan yang tidak menggunakan domain resmi BCA. “Poin Anda akan hangus dalam tiga hari, tukarkan segera di https://bcabank.shop/” demikian isi pesan itu.

Yang membuatnya semakin meyakinkan: pesan ini masuk ke dalam thread yang sama dengan SMS-SMS resmi dari BCA, membuatnya terlihat seolah benar-benar berasal dari bank tersebut. Saat url tersebut di klik, tampilan web nya pun tidak terlihat mencurigakan, bahkan backlink ke laman BCA lain diarahkan ke situs resmi BCA. Saya sendiri sempat memasukkan no telpon, dalam konteks untuk pengecekan jumlah poin yang dimiliki. Ya, skenarionya dibuat begitu meyakinkan, sampai akhirnya mengarahkan saya ke halaman redeem point yang mulai terlihat mencurigakan. Kenapa? Karena produk atau layanan yang bisa di redeem terlalu “mewah” untuk ukuran program loyalty.

Setelah ditelusuri, situs dalam tautan tersebut adalah halaman phishing yang mencoba mencuri kredensial nasabah. Lalu, bagaimana ini bisa terjadi? Apakah pelaku benar-benar bisa mengirim SMS dengan nama BCA?SMS Masking BCA

 

Celah dalam Dunia SMS Masking

Secara teknis, SMS masking adalah teknik yang memungkinkan nama pengirim pesan (sender ID) ditampilkan sebagai nama brand tertentu, bukan nomor ponsel. Ini biasa digunakan oleh institusi resmi—termasuk bank—untuk mengirim OTP, notifikasi transaksi, atau promosi. Pengirimnya bisa muncul sebagai “BCA”, “PLN”, atau “JNE”, tergantung pengaturan.

Fitur ini sah secara legal, tapi celahnya terletak pada siapa yang diberi akses.

Banyak layanan SMS gateway menawarkan jasa SMS masking kepada perusahaan. Namun, tidak semua gateway menjalankan verifikasi identitas (KYC) dengan ketat. Di sinilah ruang gelap terbuka. Pelaku bisa:

  • Membeli jasa SMS masking dari gateway luar negeri atau penyedia tidak resmi
  • Mengatur sender ID menjadi “BCA” atau nama brand lainnya
  • Mengirim pesan berisi tautan phishing ke ribuan pengguna

Kami menemukan bahwa selama gateway tidak menerapkan whitelist sender ID secara ketat, siapa pun bisa tampil sebagai siapa pun. Bahkan brand ternama.

Lalu, bagaimana Pelaku Bisa Melakukannya?

Dari penelusuran kami, ada beberapa cara pelaku bisa mengirim SMS dengan nama brand seperti “BCA” meski tidak ada hubungan resmi:

  1. SMS Gateway Luar Negeri Tanpa Verifikasi : Beberapa SMS gateway internasional tidak melakukan pengecekan ketat terhadap identitas pengirim. Dengan cukup mendaftar dan membayar, pelaku bisa mengatur sender ID sesuai keinginan. Misalnya “BCA”, “BANK.ID”, atau bahkan “LAPORAN”.
  2. Bypass Melalui Operator Asing : Indonesia memiliki regulasi untuk SMS masking, tapi sistem verifikasi bisa dilewati jika SMS dikirim dari jalur internasional. Gateway luar negeri bisa mengirim pesan yang tetap tampil dengan sender ID sesuai keinginan ke nomor Indonesia.
  3. Geo-Targeting Menggunakan HLR Lookup : Pelaku bisa membeli data HLR (Home Location Register), yaitu data lokasi kasar berdasarkan kode area nomor. Dengan ini, mereka bisa mengirim SMS hanya ke wilayah tertentu, seperti Jabodetabek, dengan konten disesuaikan.
  4. Penyalahgunaan BTS Palsu (IMSI Catcher) : Dalam skenario yang lebih ekstrem dan teknis, pelaku bisa menggunakan perangkat BTS palsu untuk meniru menara seluler dan mengirim SMS ke perangkat yang terhubung. Ini biasanya dilakukan di area publik seperti mal atau stasiun, dan SMS dapat muncul seolah-olah dari institusi resmi. Meski metode ini lebih rumit, ia pernah digunakan dalam operasi mata-mata dan kini bisa dibeli di pasar gelap.
  5. Eksploitasi Jalur Broadcast Lokal : Di beberapa tempat seperti pusat perbelanjaan atau bandara, operator atau mitra lokal dapat mengirim broadcast SMS ke pengguna yang sedang berada di area tersebut. Jika sistem ini tidak diamankan dengan baik, pelaku bisa menyusupkan pesan dengan sender ID yang dimanipulasi.

Menelusuri Jejak Digital Pelaku

Penelusuran dilakukan terhadap tautan dalam pesan mencurigakan. Alamat situs https://bcabank.shop/ ternyata tidak terdaftar sebagai domain resmi milik Bank BCA. Melalui layanan WHOIS, terungkap bahwa domain itu baru terdaftar beberapa hari sebelumnya, tanggal 27 Mei 2025, menggunakan penyedia domain luar negeri dengan identitas pendaftar yang disembunyikan.

whois domain bcabank.shopSitus tersebut meniru halaman BCA secara visual. Bahkan mencantumkan logo, desain, internal link, dan gaya bahasa yang sangat mirip. Untung-nya, situs ini sudah di blok oleh browser. Karena jika di blok oleh regulator, web tersebut sejatinya masih bisa diakses menggunakan VPN. Apa artinya jika di blok oleh browser? Ini berarti Situs mungkin terdeteksi mengandung malware atau skrip berbahaya, situs bisa jadi adalah phishing yang meniru layanan legit (seperti bank atau media sosial) atau situs menggunakan sertifikat SSL yang tidak valid atau kedaluwarsa. Dalam konteks ini, opsi 1 dan opsi 2 besar kemungkinan yang menjadi alasan kenapa situs ini diblokir oleh browser.

Bukan Kasus Pertama

BCA bukan satu-satunya brand yang disalahgunakan. Sebelumnya, kasus serupa juga menimpa brand besar seperti PLN, Telkomsel, hingga BPJS. Fenomena ini menunjukkan ada celah serius dalam sistem regulasi SMS masking di Indonesia.

Beberapa narasumber dari industri telekomunikasi yang kami hubungi mengakui bahwa kontrol terhadap SMS masking masih lemah, terutama di lapisan agregator.

Tanggung Jawab Siapa?

Masalah ini berada di persimpangan antara penyedia layanan SMS gateway, operator seluler, dan regulator.

  • Penyedia SMS Gateway wajib melakukan verifikasi sender ID secara ketat.
  • Operator Seluler harus memblokir SMS dengan sender ID palsu yang berasal dari jalur tidak resmi.
  • Regulator (Kominfo) perlu menerapkan regulasi yang mewajibkan whitelist pengirim SMS masking.

Di beberapa negara seperti India, sistem SMS masking hanya bisa digunakan oleh perusahaan yang telah teregistrasi di portal khusus yang diawasi ketat. Indonesia bisa belajar dari sini.

Apa yang Bisa Dilakukan Pengguna?

  • Waspadai tautan mencurigakan. Cek domain dengan teliti.
  • Hubungi call center resmi. Jangan pernah membalas atau mengklik tautan sebelum melakukan verifikasi.
  • Gunakan aplikasi anti-spam seperti Truecaller yang dapat membantu memfilter SMS mencurigakan.

Seruan untuk Penindakan

Penipuan lewat SMS masking bukan hanya persoalan teknis, tapi juga kriminal. Oleh karena itu, selain pengetatan teknis, aparat penegak hukum seperti Bareskrim Polri dan Kominfo perlu memperkuat kerja sama lintas negara dalam melacak pelaku.

Jika dibiarkan, kepercayaan publik terhadap layanan digital bisa runtuh.

Well, teknologi seharusnya mempermudah, bukan malah menjadi alat kejahatan. Tapi selama ada celah dan pengawasan yang longgar, kejahatan akan selalu mencari cara. Kini saatnya pemerintah, operator, dan masyarakat bersatu agar SMS masking tak lagi jadi tameng kejahatan.

Jika Anda memiliki informasi tambahan, pengalaman serupa, atau ingin berbagi bukti lain terkait SMS penipuan ini, silakan hubungi redaksi Telset.id. Mari bantu masyarakat agar lebih waspada dan terlindungi.

Artikel Sebelumnya
Vivo X Fold 5 Bocor: Jadi Ponsel Lipat Teringan di Dunia
Artikel Selanjutnya
Huawei Pura 80 Siap Meluncur dengan Teknologi Kamera Terdepan

TINGGALKAN KOMENTAR

Silakan masukkan komentar anda!
Silakan masukkan nama Anda di sini

ARTIKEL TERKINI

HARGA DAN SPESIFIKASI

Follow Us