Kind: captions
Language: id
Dari semua negara-negara ini hanya ada
satu bursa saham. Transaksi rata-rata
tiap harinya itu lumayan gede, mencapai
18 sampai R triliun per harinya. Namun,
security-nya hanya single factor
authentication. Tidakkah Anda lihat
bahwa kondisi ini membuat Indonesia ini
sekarang jadi surganya para hacker di
seluruh dunia?
Oke, sahabat Akela, beberapa orang di
Akela khususnya yang trading dan
berinvestasi di Bursa Efek Indonesia
menggunakan platform trading sekuritas
resmi anggota Bursa Efek Indonesia kali
ini mengalami suatu kejadian yang sangat
menyakitkan. kan akhir-akhir ini marak
sekali kejadian peretasan atau hacking
atas akun-akun nasabah di
sekuritas-sekuritas Bursa Efek
Indonesia. Sahabat Akela bisa baca
sendiri di berbagai media di mana ada
RDN yang dibobol hacker. RDN itu adalah
singkatan dari rekening dana nasabah dan
itu adalah rekening bank yang dibuka
atas nama nasabah. Sekuritas ketika
membuka account di sekuritas tertentu,
sekuritas tidak ikut memiliki rekening
itu, melainkan hanya punya hak instruksi
terbatas, yakni menarik dana dari RDN
untuk menyelesaikan transaksi saham yang
nasabah lakukan di bursa dan mengkredit
hasil penjualan saham kembali masuk ke
RDN apabila yang bersangkutan menjual
sahamnya. Jika nasabah bermaksud untuk
menarik atau withdrawal dananya, maka
nasabah harus menginstruksikannya
melalui withdrawal instruction yang
tersedia pada software aplikasi
sekuritas dan dana hanya bisa ditransfer
ke akun bank nasabah yang sudah
didaftarkan pada saat pembukaan rekening
sekuritas sejak awal. di mana nama
pemilik account bank harus sama persis
karakter perkarakter. Tidak boleh ada
yang beda sedikit pun dari nama yang
terdaftar selaku pemilik akun sekuritas.
Beda, yang satu ada gelarnya, yang satu
enggak ada gelarnya. Itu aja udah
ditolak. Enggak bisa. Nama akun bank
harus persis sama dengan nama akun
sekuritas. Pertanyaannya, lantas
bagaimana
ada kejadian dana beberapa nasabah di
RDN masing-masing bisa ditransfer ke
akun bank yang namanya sama sekali
berbeda dengan pemilik akun RDN.
Kemungkinan besar terjadi unaauthorized
login pada servernya sekuritas yang
kemudian memerintahkan pemindahan dana
dari akun-akun RDN yang terdaftar di
sekuritas tersebut ke suatu akun lain
milik si hacker atau peretas. Dan begitu
dananya masuk, peretas langsung menarik
semua dana dan yang bersangkutan lenyap
bak ditelan bumi. Nah, belum selesai
kasus ini ternyata beberapa orang jadi
beberapa ya bukan satu di komunitas
Akela mengalami hal yang sangat aneh di
mana dalam hitungan jam terjadi ratusan
transaksi yang sengaja dibuat rugi
hingga akun mereka mengalami kerugian
hingga 90% lebih. Oke, gini ceritanya.
Antara periode tanggal 4 September
hingga Selasa, 9 September, jadwal saya
sangat padat. Ada beberapa pesan di
Telegram grup dan WhatsApp grup yang
tidak sempat terbaca. Ternyata pada
tanggal 4 September, Ibu Analia Setiawan
sharing di grup trainer Akela mengenai
pengalaman pahitnya di salah satu
sekuritas Bursa Efek Indonesia.
Saya pikir pada waktu itu ya biar Bu Ana
urus dulu permasalahannya ke pihak
sekuritas terkait saya. Kemudian japri
dia pada tanggal 10 September 2025. Saya
ingin tahu sampai di mana progres
penyelesaiannya. Saya katakan bahwa dia
harus ambil tindakan serius dan sesudah
melihat detail permasalahannya nampaknya
memang pihak otoritas harus turun
tangan. Dan berdasarkan pengalaman
selama ini, supaya pihak otoritas turun
tangan, maka dia perlu mengungkapkan
perkaranya ke ruang-ruang publik. Saya
enggak tahu benar gak kayak gitu. Coba
Sahabat Akela ketik di kolom komentar.
Berkali-kali Ibu Ana mengungkapkan bahwa
dia tidak bertujuan menyerang sekuritas.
Saya paham memang tidak perlu menyerang
sekuritas. Namun sebagai warga negara
apalagi yang kita bisa lakukan? Selain
mengungkapkan kejadian apa adanya
berdasarkan data dan fakta.
Lagi pula ini kan prinsipnya Akela toh.
Ibu Ana akhirnya memberanikan diri untuk
tampil di channel di Overpost. Saya juga
berikan linknya di deskripsi. Sebagai
salah satu mentor beliau di Akela
khususnya bursa Saham Amerika options,
dan crypto. Saya sangat prihatin atas
kejadian yang menimpanya ini. Nah,
sekarang mari kita bahas detailnya.
Menurut keterangan Ibu Ana, dia sudah
melaporkan melalui email ke CS Seuritas
perihal adanya transaksi mencurigakan
ini pada hari Kamis, 4 September 2025
setelah jam bursa tutup. Lalu berhubung
Jumatnya tanggal merah kemudian Sabtu
Minggu libur, maka hari Senin 8
September 2025 dia melaporkan ke kantor
pusat tapi hanya dapat bertemu dengan CS
dan CS sudah mengakui bahwa mereka sudah
menerima info ini dan kembali mendengar
penjelasan langsung secara fisik dari Bu
Ana langsung. Supaya Sahabat Akela
jelas, saya sekarang jelaskan detail
bagaimana proses transaksi saham yang
terjadi di Bursa Efek Indonesia. Yang
pertama, awal transaksi dan itu disebut
T + 0. Setiap transaksi saham dimulai
dari nasabah.
Bila nasabah A ingin menjual saham X Y,
dia memberikan instruksi order jual ke
anggota bursa, yakni sekuritas tempat ia
buka rekening. Sebaliknya, bila ada
nasabah B yang ingin membeli saham XY Z
tersebut, si B ini juga memasukkan
instruksi order beli ke perusahaan
sekuritas lain tempat dia buka rekening.
Di tahap ini disebut T+0,
artinya hari transaksi terjadi. Semua
order baik jual dan beli yang masuk akan
bertemu di sistem perdagangan Bursa Efek
Indonesia yaitu IDX Trading System. Di
sinilah terjadi proses matching order.
Harga yang cocok antara penjual dan
pembeli akan langsung terbentuk menjadi
transaksi. Kemudian lanjut tahap dua
terjadi proses pencatatan atau trade
data. Nah, begitu transaksi terjadi di
sistem IDX, data perdagangan langsung
dikirim ke KP clearing penjaminan efek
Indonesia dan KC Custodian Central
Effect Indonesia.
KP berperan sebagai lembaga clearing
yang menjamin agar setiap transaksi bisa
diselesaikan. Jadi, pihak penjual ada
sahamnya, pihak pembeli ada duitnya.
Jadi pembeli pasti dapat saham dan
penjual pasti menerima dan KC berperan
sebagai lembaga custodian yang mencatat
kepemilikan efek di subrekening
masing-masing investor. Jadi perhatikan
di sini baik IDX,
KP dan KC mereka memiliki data lengkap
baik penjual maupun pembeli.
Di sinilah momen krusialnya
saya sebut ini sebagai golden moment.
Jika ada dugaan terjadinya unauthorized
transaction,
seharusnya transaksi tersebut bisa
dikategorikan sebagai transaksi
mencurigakan dan membutuhkan investigasi
lanjutan terlebih dahulu.
Nah, Bu Ana melapor ke sekuritas
sehubungan dengan adanya transaksi
mencurigakan sore hari sesudah market
tutup pada hari Kamis, 4 September 2025.
Itu kita sebut T + 0. Pada hari besoknya
itu Jumat jadi tidak terhitung karena
libur tanggal merah. Sabtu Minggu juga
libur jadi enggak kehitung. Nah, hari
kerja berikutnya yakni Senin 8 September
2025. Dia kembali ke sekuritas secara
fisik hadir untuk melaporkan
unauthorized transaction yang menguras
90% dana di akun sekuritasnya tersebut.
Berarti kita sebut hari Senin itu
sebagai T + 1. Dia melapor tepat pada
saat golden moment. Nah, tahap
berikutnya adalah t + 2. Kita sebut t +2
ini itu adalah terjadinya proses
penyelesaian di pasar modal Indonesia.
Transaksi saham itu diselesaikan dengan
sistem T+2.
Artinya 2 hari bursa setelah transaksi
terjadi, proses serah terima dana dan
efek itu harus sudah selesai di T+2 ini.
Dari sisi penjual, ia wajib menyerahkan
sahamnya ke KC lalu menerima dana hasil
penjualan di rekening dana nasabah atau
RDN. Dari sisi pembeli, ia wajib
menyiapkan dana di RDN lalu menerima
saham yang dibelinya tercatat atas
namanya sendiri di KC. Dengan demikian,
di hari penyelesaian, pembeli resmi
memiliki saham dan penjual resmi
menerima uangnya. Menurut keterangan Bu
Ana, dia melaporkan adanya transaksi
mencurigakan ini pada tanggal 4
September melalui email dan 8 September
langsung ke kantor sekuritas. Sementara
transaksi mencurigakan tersebut terjadi
pada tanggal 4 September. Coba
perhatikan ini adalah tampilan akun KC
Buana. Kita bisa lihat pada tanggal 4
September 2025, KC masih mencatat aset
Buana di sekuritas utuh senilai
Rp181.200.000.
Kemudian coba perhatikan hingga tanggal
8 September hari Senin, KC masih
mencatat nilai asetnya sebesar
Rp174.885.000.
Ada sedikit penurunan dari hari kerja
sebelumnya. Ini wajar mengingat ada
fluktuasi harga saham. Namun, coba
perhatikan apa yang terjadi pada T+2 9
September 2025. Nilai saham aset Buana
sekarang hanya tinggal Rp27.314.500.
Seharusnya pihak sekuritas begitu terima
laporan langsung lapor ke OJK dan OJK
cepat tanggap langsung meminta data-data
dari KP dan KC serta memerintahkan pihak
sekuritas lawan untuk melakukan
pembekuan transaksi dan rekening terkait
atas dugaan transaksi mencurigakan guna
investigasi lebih lanjut.
Harap diingat dia sudah lapor sejak
closing market T+0 dan kembali secara
fisik hadir di kantor sekuritas pada T+
1. That is the golden moment. Namun
nampaknya itu tidak terjadi. Pihak CS
Sekuritas hanya menjanjikan bahwa
masalah akan segera ditindaklanjuti. Dan
sesudah 10 hari ternyata pihak sekuritas
hanya melayangkan email yang pada
dasarnya masalahnya sedang diinvestigasi
dan akan menyampaikan tanggapan lebih
lanjut apabila sudah ada hasil. Oke,
lanjut ya. Berdasarkan keterangan Ibu
Ana, pihak sekuritas juga sempat
menginformasikan
bahwa ini adalah kasus pertama yang
pernah mereka alami ya dari CSnya
informasinya begitu. Namun sesudah video
podcast Bu Ana di channel di Overpost
ditayangkan, ternyata ada beberapa
orang, tujuh orang nambah terus
jumlahnya sampai puluhan yang
menghubungi Bu Ana karena mengalami hal
yang serupa di ada yang sekuritasnya
sama ada yang beda.
OJK bisa menurunkan tim investigasi
seharusnya mengenai hal ini. Enggak
sulit kok, tinggal bikin saja satu
website baru untuk menampung pelaporan
diduga korban hacker lengkap dengan SID
mereka masing-masing. Tinggal masukkan
ke situ. Akela dan semua channel lain
saya rasa dengan senang hati akan
membantu memberikan menyebarluaskan link
yang OJK bikin. Belum selesai masalah
yang satu ini, ternyata
ada member Akela lainnya lagi,
Bapak-bapak, yang menggunakan akun
sekuritas yang berbeda dari sekuritasnya
Bu Ana dan mengalami hal yang sama
persis. Ada ratusan transaksi
mencurigakan yang sengaja dibuat lost
sehingga pihak lawan transaksi mengalami
keuntungan. Dalam hal ini hacker
berhasil meretas user ID dan password
serta pin nasabah dan melakukan
transaksi pada aset atau instrumen
dengan likuiditas rendah. Bisa jadi
waren juga yang dipakai di mana
transaksinya sengaja dibuat rugi
sedemikian hingga pihak lawan transaksi
yang kemungkinan besar adalah
account-nya si hacker mereka yang
mengalami keuntungan. Jika ada di antara
sahabat Akela yang mengalami hal seperti
ini, maka berikut ini adalah hal-hal
yang bisa Anda lakukan. Nomor satu,
jelas lapor ke sekuritas.
Nomor dua, lapor ke OJK.
Nomor tiga, lapor ke unit cyber Polda
setempat. Atau yang keempat, lapor ke
channel YouTube yang ngetop-ngetop.
channelnya Dedy Kobusier, channel-nya
Feri Irwandi, The Overpost, dan
seterusnya. Yang kelima, alternatif yang
terakhir dan barangkali yang terbaik dan
paling efektif khususnya di negeri ini
adalah cukup masuk kamar dan lapor sama
Tuhan. Mohon Tuhan memberikan hati yang
bisa ikhlas mengampuni yang bersalah
ngerampok uang Anda. Karena dengan
mengampuni Anda juga diampuni.
Berikutnya, jika Anda tidak mengalami
masalah seperti ini dan Anda trading
atau investasi saham di Bursa Efek
Indonesia, maka lakukan hal-hal sebagai
berikut. Pastikan Anda update password
dan pin Anda secara berkala
3 bulan sekali minimal. Jika Anda
bertransaksi menggunakan HP, sebaiknya
gunakan HP yang dikhususkan hanya untuk
keperluan transaksi atau trading itu
saja. Disiplin periksa akun sekuritas
Anda minimal dua kali sehari, pagi dan
menjelang market close. Jika ada hal-hal
yang mencurigakan, segera lapor
sekuritas secepatnya. Ingat, golden
moment Anda adalah t + 0. pada waktu
terjadi transaksi mencurigakan hingga t
+ 1-nya lewat itu enggak bisa ya. Anda
dianggap sudah mengetahui transaksi tapi
kok gak lapor. Nah, yang terakhir khusus
bagi OJK dan sekuritas-sekuritas BYI,
kejadian-kejadian ini bagi saya, bagi
kita semua ini adalah wake up call.
Terimalah realita bahwa saat ini dunia
internet ini sudah berkembang sedemikian
hebatnya. di mana semua aplikasi bahkan
yang tidak ada hubungannya sama uang,
contohnya sosial media kayak Facebook,
Instagram, YouTube, TikTok hingga sarana
komunikasi seperti WhatsApp, Telegram,
dan Gmail, bahkan semua aplikasi hiburan
seperti Netflix, Spotify, dan yang
lainnya semua sudah menggunakan
multiayer security. Saya yakin banyak di
antara sahabat Akela yang juga pakai
aplikasi Grab, Gojek, Shopee, Tokopedia,
Dana, semuanya itu menggunakan two
factor authentication atau 2F.
Namun saya melihat hampir semua
sekuritas Bursa Efek Indonesia belum
menerapkan multiayer security seperti
itu. Nah, apa itu multilayer security?
Oke, multiayer security pada dasarnya
adalah sistem keamanan berlapis di mana
autentikasi
harus melalui minimal dua faktor berbeda
dari kategori berikut ini. Kategori
pertama, something you know. Contohnya
adalah password pin. Itu adalah sesuatu
informasi yang hanya Anda yang
mengetahui, satu layer. Kemudian layer
berikutnya, something you have. apa yang
Anda miliki. Contohnya adalah handphone
Anda ini ada email-nya, nomor email-nya
dan itu nomor unik. Kemudian handphone
ini ada aplikasi authentication
ya. Authenticator. Contohnya ada ATI,
ada Google Security, ada Microsoft
Security dan seterusnya. Kemudian ada
kartu SIM ya, SIM card Anda kan ada di
HP ini. Itu juga bisa namanya OTP. Nanti
dikirim SMS dari penyedia
telekomunikasi. Layer yang ketiga itu
adalah something you are. Ya, contohnya
adalah bisa biometrik, bisa berupa sidik
jari, wajah, atau retina.
Jika kita bandingkan dengan berbagai
perusahaan broker di luar negeri,
contohnya Interactive Brokers atau
Charles Swap, kemudian kalau crypto
exchange itu ada Bybit, Binance dan
sebagainya, semuanya sudah menggunakan
multiayer authentication atau lebih
populer dikenal sebagai 2FA, singkatan
dari two factors authentication.
Bandingkan lagi dengan aplikasi-aplikasi
bank di Indonesia seperti MBCA
contohnya. Semua itu sudah menggunakan
2FE.
Namun hampir semua sistem keamanan
sekuritas di Bursa Efek Indonesia masih
menggunakan single layer authentication
alias hanya user ID, password, dan PIN.
User ID, password, dan pin ini hanyalah
satu layer, something you know.
Dibutuhkan satu layer autentikasi lagi
bisa pakai smartphone. Contohnya adalah
Google Authenticator,
ATI atau Microsoft Authenticator. Ini
di-install aplikasinya di HP. Memang 2 F
ini seringki menyulitkan nasabah
sehingga banyak nasabah pemula yang
kemudian komplain perihal pengamanan 2
Fe. Namun ini sangat crucial karena jika
hanya mengandalkan single factor
authentication
maka zaman sekarang ini sudah teramat
sangat rawan.
Jika data, password, dan pin berhasil
di-hack oleh seorang hacker,
maka yang bersangkutan si hackernya,
peretasnya itu bisa melakukan berbagai
unauthorized transaction yang merugikan
nasabah.
Nah, jika kita mengacu pada
Undang-Undang Nomor 21 Tahun 2011
tentang Otoritas Jasa Keuangan bagian
considerance huruf A, jelas dikatakan
bahwa untuk mewujudkan perekonomian
nasional yang mampu tumbuh secara
berkelanjutan dan stabil diperlukan
kegiatan di dalam sektor jasa keuangan
yang terselenggara secara teratur, adil,
transparan, dan akuntabel serta mampu
mewujudkan sistem keuangan yang tumbuh
secara berkelanjutan dan stabil dan
mampu melindungi kepentingan konsumen
dan masyarakat.
Atas dasar itu, coba kita bandingkan
sekarang.
Otoritas Bursa Saham Amerika, Security
Exchange Commission dan FINRA sudah
sejak lama mewajibkan seluruh sekuritas
resmi bursa saham Amerika
sekurang-kurangnya menggunakan two
factor authentication.
Begitu juga FCA, Badan Regulator Bursa
Saham Inggris, Bavin, Regulatornya
Jerman, Singapore Monetary Authority of
Singapore atau MES dan Malaysia semuanya
juga mewajibkan multifactor
authentication.
Begitu juga badan regulator SFC di
Hongkong juga Australia semua mewajibkan
two factor authentication. Bahkan bursa
saham India itu juga mewajibkan two
factor authentication.
Dari semua negara-negara ini hanya ada
satu bursa saham. Transaksi rata-rata
tiap harinya itu lumayan gede mencapai
18 sampai R triliun per harinya. Namun
security-nya hanya single factor
authentication. Tidakkah Anda lihat
bahwa kondisi ini membuat Indonesia ini
sekarang jadi surganya para hacker di
seluruh dunia.
Jika kita pelajari peraturan OJK nomor
13 tahun 2025 tentang pengendalian
internal dan perilaku perusahaan efek
yang melakukan kegiatan usaha penjamin
emisi efek dan perantara pedagang efek
juga peraturan OJK nomor 12 tahun 2024
tentang penerapan strategi anti fraud
bagi lembaga jasa keuangan. Saya tidak
bisa menemukan adanya ketentuan yang
mewajibkan
lembaga jasa keuangan termasuk pedagang
perantara efek alias sekuritas untuk
menerapkan 2fe atau mfean
bagi rekening nasabah terhadap serangan
hacker. Buat OJK ini seharusnya tidak
sulit. Tinggal terbitkan saja SEOJK,
surat edaran OJK yang mengharuskan
seluruh sekuritas menggunakan 2FE atau
MFE. Masalah akan terjadi justru di
pihak sekuritas, terutama pada
nasabah-nasabah yang dalam tanda kutip
katanya gaptek. Dulu saya tahu ada
sekuritas yang berupaya menerapkan ini.
Namun menjadi masalah ketika kode OTP
nyangkut di penyedia layanan seluler.
Jadi SMS-nya gak masuk, orangnya login,
masukkan user ID password, kemudian
minta kirim OTP, ternyata SMS OTP-nya
enggak masuk-masuk nyangkut di penyedia
layanan seluler mengakibatkan nasabah
malah tidak bisa login ke akunnya. Namun
sekarang 2 F atau MFE ini kan tidak
hanya melalui OTP SMS. Ada saluran lain
OTP pertama misalnya bisa lewat WhatsApp
atau akun email bisa.
Kemudian di HP itu seperti yang tadi
saya bilang ada nomor IMEI International
Mobile Equipment Identity juga bisa
menggunakan sidik jari Anda atau pakai
aplikasi Google Authenticator atau ATI
dari TLIO atau Microsoft Authenticator.
hambatannya nanti memang akan terjadi
pada nasabah-nasabah yang kesulitan
menerapkan ini semua. Biasanya katanya
karena alasan maaf gaptek. Well, gini
semua penambahan
lapisan layer security
itu memang pasti akan memaksa
pelanggan nasabah. Jadi, ada ekstra
kerja tambahan kerja yang diperlukan.
Well, silakan Bapak, Ibu di OJK, Bursa
Fe Indonesia dan para bos sekuritas
renungkan kembali.
Demi memberikan kenyamanan bagi
nasabah-nasabah yang gaptek, Anda rela
merisikokan keamanan seluruh nasabah
Anda dari sasaran para hacker. Atau Anda
memilih spend time, energy, and
untuk bikin video edukasi perihal
penerapan MFA atau two factor
authentication. ke nasabah-nasabah Anda.