Shane menjadi mangsa penipuan kad kredit di mana peranti mudah alihnya telah dikompromi. Beliau mempertikaikan 25 transaksi kad kredit tanpa kebenaran berjumlah RM23,205 yang telah dilakukan antara 11 hingga 15 Februari 2024.

Siasatan mendapati bahawa penipu berjaya menyamar sebagai Shane dengan menghubungi pusat panggilan bank. Penipu tersebut bejaya memperoleh kelayakan log masuk sementara perbankan dalam talian selepas melepasi proses pengesahan identiti yang lemah, walaupun memberikan maklumat yang tidak lengkap dan mencurigakan.

Pada 13 Februari 2024, penipu itu menukar nombor telefon bimbit berdaftar kepada nombor miliknya sendiri dan mengikat peranti mudah alih baharu kepadanya. Ini membolehkan penipu tersebut melaksanakan transaksi tanpa kebenaran pada 14 dan 15 Februari 2024 menggunakan kelulusan token lembut melalui kad kredit yang dikompromi.

PENEMUAN

Satu audit terhadap rakaman panggilan mendedahkan kelemahan ketara dalam protokol pengesahan identiti bank. Pemanggil bercakap dengan loghat Melayu yang ketara, yang tidak sepadan dengan pemegang akaun sebenar, dan gagal memberikan maklumat yang tepat mengenai alamat e-mel berdaftar serta butiran akaun.

Walaupun terdapat percanggahan dan beberapa tanda amaran, kakitangan bank tetap meneruskan proses pengesahan pemanggil dan mengeluarkan kelayakan log masuk sementara. Selain itu, penipu tersebut mendorong kakitangan bank untuk mendedahkan maklumat sensitif, yang merupakan petunjuk klasik penipuan kejuruteraan sosial. Seterusnya, permintaan untuk menukar nombor telefon berdaftar telah diproses tanpa langkah perlindungan yang mencukupi.

Protokol keselamatan dalaman bank didapati telah dikompromi dengan ketara semasa cubaan penyamaran tersebut, termasuk ketiadaan pengesahan pelbagai faktor (multi-factor authentication) yang kukuh bagi perubahan kritikal seperti pengikatan peranti mudah alih dan kemas kini nombor telefon, serta tahap kesedaran keselamatan yang tidak mencukupi dalam kalangan kakitangan pusat panggilan.

KEPUTUSAN

Pengurus kes memutuskan bahawa kerugian kewangan berpunca daripada dua kegagalan yang berbeza.

Transaksi awal pada 11 Februari 2024 berjumlah RM9,090 disebabkan oleh peranti mudah alih Shane sendiri yang telah digodam, yang menyebabkan kelulusan notifikasi push tanpa kebenaran. Walaubagaimanapun, transaksi berikutnya pada 14 dan 15 Februari 2024 hanya boleh berlaku kerana proses pengesahan bank yang lemah membolehkan penipu mengambil alih akaun tersebut.

Sehubungan itu, disyorkan bahawa Shane hanya bertanggungjawab ke atas kerugian awal sebanyak RM9,090, manakala bank menanggung baki kerugian sebanyak RM14,115. kedua-dua pihak menerima cadangan tersebut dan kes berjaya diselesaikan.