Berita

BCA dan Pakar Keamanan Siber Ungkap Modus Phishing VPN KlikBCA via Iklan Google, Nasabah Rugi Miliaran

Tangkapan layar. BCA Peringatkan Modus Phishing VPN KlikBCA yang Manfaatkan Iklan Google.(Dok.)

Lini masa media sosial diramaikan dengan peringatan warganet mengenai tautan phishing yang mengatasnamakan VPN KlikBCA. Tautan berbahaya ini disebut muncul melalui iklan Google, menempatkannya di posisi teratas hasil pencarian. Pelaku memanfaatkan iklan berbayar agar situs palsu yang mereka buat tampak menyerupai layanan resmi VPN KlikBCA dan terlihat meyakinkan.

PT Bank Central Asia Tbk (BCA) mengingatkan nasabah agar mewaspadai berbagai modus penipuan digital yang semakin marak, termasuk phishing melalui situs web palsu. Peringatan ini disampaikan menyusul laporan dari nasabah bisnis yang mengaku mengalami transaksi transfer dana tidak sah hingga menimbulkan kerugian mencapai miliaran rupiah.

Modus Penipuan Phishing VPN KlikBCA

EVP Corporate Communication & Social Responsibility BCA, Hera F Haryn, mengonfirmasi bahwa pihaknya telah berkomunikasi dengan nasabah terdampak dan melakukan investigasi. “Berdasarkan kronologis yang disampaikan nasabah dan hasil penelusuran yang kami lakukan, kejadian ini merupakan modus penipuan phishing melalui situs web palsu,” ujarnya, dikutip pada Minggu (25/1/2026).

Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, menjelaskan bahwa pelaku menjalankan aksinya dengan memanfaatkan iklan Google agar situs palsu mereka muncul di posisi teratas pencarian. “Mereka memasang iklan di Google sehingga muncul paling atas. Seharusnya Google menginvestigasi secara serius dan mencegah hal ini terulang jika ingin menjaga kepercayaan pengguna,” kata Alfons.

Kronologi dan Cara Kerja Pelaku

Ketika seseorang mencari kata kunci “VPN BCA” di Google dan mengklik iklan tersebut, korban akan diarahkan ke situs palsu yang meniru tampilan layanan VPN KlikBCA Bisnis. Situs ini kemudian meminta korban memasukkan corporate ID, user ID, serta kode apply 1.

Setelah data dimasukkan, korban akan melihat tampilan seolah-olah VPN telah berhasil terkoneksi. Selanjutnya, korban kembali diminta memasukkan corporate ID, user ID, dan kode dari KeyBCA Response. “Sebenarnya pada tahap ini, kredensial KlikBCA Bisnis korban sudah berhasil dicuri. Data tersebut langsung digunakan pelaku untuk masuk ke situs KlikBCA Bisnis yang sebenarnya,” jelas Alfons.

Pelaku kemudian menampilkan layar palsu yang seolah-olah meminta korban membuat kata sandi baru. Langkah ini dilakukan untuk mengulur waktu sekaligus mengurangi kecurigaan korban. “Password baru itu sebenarnya hanya ‘buying time’. Di belakang layar, pelaku sedang menggunakan kredensial korban untuk bertransaksi,” ujarnya.

Alfons menambahkan, situs phishing tersebut bahkan telah diprogram untuk mendeteksi kecocokan kata sandi yang dimasukkan korban. “Kalau password barunya tidak sama, situs ini sudah siap mengidentifikasinya. Cukup serius coding-nya,” kata dia.

Pada tahap akhir, setelah korban menekan tombol submit kata sandi baru, korban akan diarahkan ke langkah puncak. Pelaku yang menyamar sebagai petugas layanan pelanggan BCA akan meminta korban mengaktifkan KeyBCA dengan alasan peningkatan keamanan VPN KlikBCA. Permintaan ini biasanya disertai ancaman, seperti pemblokiran akun, agar korban mengikuti seluruh instruksi.

“Korban akan diminta memasukkan kode apply 1 dan apply 2. Jika menghubungi nomor CS palsu yang tertera, korban akan ditakut-takuti agar menuruti arahan,” jelas Alfons. Dalam tahap ini, pelaku mendaftarkan rekening baru sebagai tujuan transfer. Untuk itu, mereka membutuhkan kode apply 2 dari KeyBCA korban. “Begitu korban memasukkan apply 2, pelaku bisa mendaftarkan rekening penerima. Setelah itu, pelaku akan meminta apply 1 lagi untuk mengeksekusi transfer dari rekening KlikBCA Bisnis korban,” jelasnya.

Imbauan dan Peringatan dari Pakar Keamanan

Alfons mengimbau masyarakat agar tidak mudah percaya dengan hasil pencarian di Google, terutama yang berasal dari iklan. “Jangan bergantung pada hasil Google Search. Simpan alamat resmi internet banking dan akses hanya dengan mengetik langsung atau melalui bookmark yang sudah dipastikan kebenarannya,” ujarnya.

Ia juga meminta Google untuk lebih serius menangani iklan penipuan yang semakin marak dan merugikan masyarakat. “Beberapa waktu lalu penipu mengatasnamakan maskapai, sekarang perbankan. Ini harus segera ditangani,” ungkap Alfons.

Informasi lengkap mengenai modus penipuan ini disampaikan melalui pernyataan resmi BCA dan penjelasan pakar keamanan siber yang dirilis pada Minggu, 25 Januari 2026.