BTS Palsu: Ancaman Siber yang Tidak Kelihatan, Tapi Sudah Ada di Sekitar Kita
Kamu mungkin belum pernah mendengar istilah fake BTS sebelumnya. Wajar. Tapi justru di situlah bahayanya — ancaman ini bekerja diam-diam, tanpa notifikasi, tanpa peringatan, dan tanpa kamu sadari sama sekali.
Pada 18 Maret 2025, seorang warga negara China berinisial XY ditangkap oleh Bareskrim Polri saat sedang mengemudikan Toyota Avanza bernomor polisi B 2146 UYT di sekitar kawasan SCBD, Jakarta Selatan. Di dalam mobil itu terpasang sebuah perangkat elektronik ilegal — sebuah menara BTS (Base Transceiver Station) palsu rakitan yang sedang aktif memancarkan sinyal.
Dua hari kemudian, tersangka kedua berinisial YXC juga ditangkap dengan modus yang persis sama, di lokasi yang berdekatan.
Total kerugian dari kedua kasus ini? Rp 473,3 juta dari 12 korban, menyasar nasabah dari tiga bank yang berbeda — hanya dalam hitungan hari operasi.
Dan ini baru yang ketahuan.
- Sebenarnya, Apa Itu BTS Palsu?
- Begini Cara Kerjanya — Step by Step
- Apa Saja yang Bisa Dilakukan Pelaku?
- Berapa Biaya dan Seberapa Jauh Jangkauannya?
- Kasus Jakarta: Detail yang Jarang Diberitakan
- Indonesia Bukan Satu-satunya Target — Ini Pola Global
- Kenapa Indonesia Lebih Rentan?
- Cara Melindungi Diri — Yang Benar-benar Bisa Kamu Lakukan
- Tools Deteksi (Untuk yang Ingin Lebih Dalam)
- Ini Bukan Ancaman Masa Depan — Ini Sudah Terjadi di Kotamu
- Bisnis Kamu Sudah Seaman Itu — atau Kamu Belum Tahu Kalau Belum?
Sebenarnya, Apa Itu BTS Palsu?
BTS — atau Base Transceiver Station — adalah menara pemancar sinyal yang digunakan oleh operator selulermu (Telkomsel, XL, Indosat, dll.) untuk menghubungkan HP-mu ke jaringan. Setiap kali kamu mengirim SMS, menelepon, atau mengakses internet lewat data seluler, itu semua melewati BTS terdekat.
Nah, fake BTS adalah perangkat rakitan yang menyamar sebagai BTS resmi — tapi sebenarnya dikontrol oleh penipu.
Cara kerjanya memanfaatkan satu celah besar di sistem jaringan lama (2G/GSM) yang sudah ada sejak tahun 1990-an: HP-mu tidak pernah memverifikasi apakah BTS yang terhubung itu asli atau bukan. HP hanya cari sinyal terkuat, lalu otomatis konek ke sana — tanpa tanya, tanpa peringatan.
Jadi kalau ada BTS palsu di dekatmu yang sinyalnya lebih kuat dari BTS asli, HP-mu akan berpindah koneksi ke sana secara otomatis. Senyap. Tak terasa.
Begini Cara Kerjanya — Step by Step
Ini bukan teori. Ini yang benar-benar terjadi di SCBD, Jakarta:
Langkah 1 — Pelaku mengemudikan mobil melewati area ramai. Perangkat BTS palsu di dalam mobil dipancarkan secara aktif. Karena sinyal perangkat ini lebih kuat dari BTS resmi di sekitarnya, HP-HP di area tersebut otomatis berpindah koneksi ke "menara" palsu ini.
Langkah 2 — Koneksi HP-mu dipaksa turun ke jaringan 2G. Menurut Kabareskrim Komjen Pol Wahyu Widada dalam konferensi pers 24 Maret 2025, sinyal dari BTS resmi beroperasi di 4G, sedangkan BTS palsu beroperasi di sinyal 2G. Di situlah masalahnya: jaringan 2G hampir tidak punya enkripsi yang berarti. Semua data yang lewat bisa dibaca.
Langkah 3 — SMS phishing dikirim langsung ke HP korban. Karena perangkat ini beroperasi layaknya menara sungguhan, SMS bisa dikirim langsung ke HP yang terhubung — dan yang lebih berbahaya, SMS ini bisa masking atau menyamar seolah-olah dikirim dari nomor resmi bank. Tidak ada filter spam dari operator yang bisa menangkapnya, karena pesan tidak pernah melewati sistem operator.
Langkah 4 — Korban mengklik link, data dicuri. SMS berisi link palsu yang tampilannya mirip dengan halaman login bank sungguhan. Begitu korban memasukkan username, password, atau kode OTP — selesai. Data itu langsung jatuh ke tangan pelaku.
Apa Saja yang Bisa Dilakukan Pelaku?
Saat HP-mu terhubung ke BTS palsu, berikut yang bisa terjadi tanpa kamu sadari:
- Mengirim SMS yang terlihat seperti dari bankmu — langsung ke HP-mu, tanpa melewati filter spam operator sama sekali
- Mencegat SMS keluar, termasuk kode OTP 2FA berbasis SMS — kode verifikasi yang kamu terima bisa dibaca oleh pelaku sebelum sampai ke kamu
- Memaksamu turun ke jaringan 2G — agar semua komunikasi bisa dibaca karena enkripsi 2G sangat lemah
- Merekam IMSI-mu — IMSI adalah nomor identitas unik perangkatmu, semacam "sidik jari digital" HP-mu di jaringan seluler
- Memutus aksesmu ke jaringan nyata — HP-mu terkunci di BTS palsu, tidak bisa menerima panggilan atau data yang sesungguhnya
Berapa Biaya dan Seberapa Jauh Jangkauannya?
Banyak laporan yang beredar menyebut perangkat ini bisa dibeli seharga $700 dan menjangkau hingga 22 mil. Angka-angka itu perlu diluruskan.
Soal biaya: Untuk setup DIY menggunakan perangkat Software Defined Radio (SDR) seperti HackRF One yang dikombinasikan dengan software open-source seperti OpenBTS, biayanya bisa berkisar Rp 5 juta hingga Rp 25 juta. Tapi perangkat komersial yang disita dalam kasus Jakarta — yang mampu melakukan SMS blast dalam skala besar — harganya bisa mencapai ratusan juta rupiah. Ini bukan alat murah yang bisa dibeli sembarangan orang.
Soal jangkauan: Di lingkungan urban padat seperti kawasan SCBD, jangkauan operasional efektifnya adalah 100 hingga 500 meter — cukup untuk menjangkau ratusan HP dalam satu radius blok. Klaim jangkauan belasan mil hanya berlaku di area terbuka dengan antena directional berkekuatan tinggi — bukan kondisi operasional kriminal pada umumnya. Justru itulah kenapa para pelaku memilih strategi berkendara berputar-putar di area ramai: bukan karena perangkatnya lemah, tapi karena mereka ingin menjangkau sebanyak mungkin korban dalam waktu singkat.
Kasus Jakarta: Detail yang Jarang Diberitakan
Ada detail dari kasus ini yang penting untuk kamu ketahui, terutama karena mengubah cara kita memahami ancamannya.
Menurut Kabareskrim Komjen Pol Wahyu Widada, kedua tersangka XY dan YXC hanyalah sopir. Mereka tidak perlu mengerti teknisnya sama sekali. Tugas mereka satu: mengemudi berputar-putar di area SCBD sampai pukul 20.00 WIB, sementara perangkat di dalam mobil bekerja otomatis.
XY dijanjikan gaji Rp 22,5 juta per bulan. YXC Rp 21 juta. Keduanya belum menerima sepeser pun saat ditangkap.
Siapa yang mengontrol operasinya? Sindikat internasional yang beroperasi dari luar Indonesia — menggunakan Telegram sebagai sarana komunikasi. Ini bukan penjahat tunggal yang canggih. Ini kejahatan-sebagai-layanan (crime-as-a-service): teknologi dan pengetahuannya ada di tangan otak operasi di luar negeri, sementara eksekusi lapangan dilakukan oleh orang lokal yang bahkan tidak paham cara kerja perangkatnya.
Artinya: barrier to entry untuk menjalankan operasi semacam ini di lapangan jauh lebih rendah dari yang kita bayangkan.
Kedua tersangka dijerat dengan pasal berlapis: UU ITE No. 1/2024, UU Telekomunikasi No. 36/1999, dan UU Anti Pencucian Uang No. 8/2010.
Indonesia Bukan Satu-satunya Target — Ini Pola Global
Modus ini bukan baru. Teknologinya berasal dari China, di mana lebih dari 1.600 kasus penuntutan terdokumentasi sejak era 2010-an sebelum pemerintah setempat melakukan penindakan keras. Setelah itu, hardware dan pengetahuannya mulai diekspor.
Berikut beberapa kasus yang terdokumentasi di berbagai negara:
Thailand (Bangkok, 2024) Anggota sindikat China ditangkap saat berkendara melewati Bangkok dengan perangkat SMS blaster aktif. Ratusan ribu pesan phishing terkirim.
Inggris (London, 2025) Mahasiswa asal China divonis penjara lebih dari setahun setelah terbukti mengoperasikan SMS blaster berbentuk koper di dalam mobil, menjangkau sekitar 1 km radius, dan menyamar sebagai pengirim resmi pemerintah serta bank-bank besar.
Yunani (Athena, 2026) Penangkapan pertama kasus fake BTS di Yunani — dua warga negara China berkendara melewati kawasan perumahan sambil memaksa ponsel warga turun ke jaringan 2G sebelum mengirimkan SMS phishing berkedok bank.
Brasil (São Paulo, 2025–2026) Beberapa penggerebekan berhasil dilakukan, termasuk satu kasus apartemen dan beberapa kasus berbasis kendaraan di dekat stasiun metro. Perangkat asal China dan Israel disita. Pemerintah Brasil kini membentuk satuan tugas lintas lembaga khusus menangani kasus ini.
Prancis, Norwegia, Swiss, Serbia (2024–2025) Berbagai operasi SMS blaster berbasis kendaraan ditemukan di seluruh Eropa.
Pola operasinya hampir identik di mana-mana: BTS palsu di mobil atau apartemen → beroperasi di area padat → kirim SMS penyamaran bank → arahkan ke halaman phishing → rekening terkuras.
Kenapa Indonesia Lebih Rentan?
Ada beberapa faktor struktural yang membuat Indonesia menjadi target yang lebih menarik dibanding, misalnya, negara-negara Eropa Barat:
Kesenjangan jaringan 4G di luar Jawa Di banyak wilayah luar Pulau Jawa, jaringan 2G masih digunakan. Ini berarti HP-HP di sana sudah "terbiasa" terhubung ke 2G — dan downgrade paksa oleh BTS palsu tidak akan terasa mencurigakan.
Tingginya penggunaan OTP berbasis SMS untuk perbankan Sebagian besar layanan perbankan digital di Indonesia masih mengirimkan OTP dan notifikasi transaksi lewat SMS. Ini menjadikan SMS interception sangat bernilai secara finansial bagi pelaku.
Struktur sindikat internasional Kasus SCBD membuktikan bahwa sindikat internasional sudah aktif mendeploy operator lapangan ke Indonesia. Ini bukan serangan acak — ini pasar yang sengaja dibidik.
Kapasitas monitoring spektrum yang masih berkembang Badan regulasi seperti Anatel di Brasil dan Ofcom di Inggris sudah punya infrastruktur pemantauan spektrum yang cukup canggih untuk mendeteksi sinyal rogue dengan cepat. Komdigi dan BSSN sedang memperkuat kapasitas ini — tapi prosesnya masih berjalan.
Cara Melindungi Diri — Yang Benar-benar Bisa Kamu Lakukan
Ini yang perlu kamu pahami dulu: tidak ada HP yang bisa membedakan BTS asli dari BTS palsu secara otomatis. Kerentanan ada di level protokol jaringan, bukan di perangkat. Bukan salah Samsung-mu, bukan salah iPhone-mu.
Tapi bukan berarti kamu tidak bisa melindungi diri. Berikut langkah-langkah konkret yang benar-benar efektif:
1. Matikan Jaringan 2G di HP-mu (Langkah Paling Penting)
Ini adalah cara paling efektif yang bisa kamu lakukan sekarang juga. Google sendiri sudah secara resmi merekomendasikan hal ini lewat dokumentasi Android Open Source Project.
Logikanya sederhana: kalau HP-mu tidak bisa terhubung ke 2G sama sekali, downgrade paksa dari BTS palsu tidak akan berhasil.
Untuk Android: Masuk ke Pengaturan → Koneksi / Jaringan & Internet → Jaringan Seluler / SIM → cari opsi "Allow 2G" atau "Izinkan 2G" → matikan. Kalau tidak ada opsi ini, coba pilih tipe jaringan dan pilih "LTE Only" atau "4G/5G Only". Cara alternatif lain: buka aplikasi telepon, ketik *#*#4636#*#* → Informasi Telepon → ubah Preferred Network Type ke konfigurasi yang tidak menyertakan GSM.
Untuk iPhone: Masuk ke Pengaturan → Data Seluler / Seluler → Opsi Data Seluler → Suara & Data → pilih LTE atau 5G. iPhone tidak punya tombol khusus matikan 2G, tapi dengan memilih LTE/5G kamu sudah menghilangkan kemungkinan koneksi ke 2G di area yang tersedia jaringan lebih tinggi.
Catatan penting: Di beberapa daerah terpencil yang belum ada jaringan 4G, menonaktifkan 2G bisa menyebabkan HP-mu kehilangan sinyal sama sekali. Pertimbangkan ini berdasarkan area aktivitasmu sehari-hari.
2. Jangan Pernah Klik Link di SMS — Dalam Keadaan Apapun
Ini bukan sekadar tips generik. Regulator dan bank di berbagai negara sudah mengumumkan bahwa mereka tidak akan pernah mengirimkan link yang bisa diklik melalui SMS. Jadi kalau ada SMS berisi link — dari siapapun yang diklaim sebagai pengirimnya — anggap itu mencurigakan sampai terbukti sebaliknya.
Kalau kamu menerima SMS yang mengklaim ada masalah dengan rekeningmu, tutup SMS itu, buka aplikasi bankmu langsung, atau ketik URL bank secara manual di browser. Jangan klik link dari SMS.
3. Ganti Autentikasi 2FA dari SMS ke Aplikasi Authenticator
Kode OTP yang dikirim lewat SMS adalah salah satu target utama serangan BTS palsu. Solusinya: pindah ke aplikasi authenticator seperti Google Authenticator atau Authy.
Aplikasi-aplikasi ini menghasilkan kode OTP secara lokal di HP-mu — tidak melewati jaringan seluler sama sekali. Jadi meskipun HP-mu terhubung ke BTS palsu, kode OTP-mu tetap aman.
Memang butuh waktu untuk memindahkan semua akun secara manual, tapi ini investasi keamanan yang sangat sepadan.
4. Perhatikan Anomali Sinyal
Kalau HP-mu tiba-tiba menampilkan indikator "2G" atau "E" di area yang biasanya kamu dapat sinyal 4G/LTE, atau kalau ada signal drop yang tidak wajar di area padat, itu bisa menjadi indikasi ada BTS palsu di sekitarmu. Bukan patokan yang 100% akurat, tapi layak untuk diwaspadai.
5. Manfaatkan 5G Standalone Jika Tersedia
Jaringan 5G generasi baru (5G-SA atau Standalone) sudah memiliki sistem autentikasi dua arah — artinya tidak hanya HP-mu yang harus membuktikan identitasnya ke jaringan, tapi jaringan juga harus membuktikan identitasnya ke HP-mu. Ini secara teknis jauh lebih tahan terhadap serangan BTS palsu.
Sayangnya, sebagian besar operator Indonesia masih menjalankan 5G Non-Standalone (NSA) yang masih punya fallback ke 4G dan 2G. Tapi ini akan berubah seiring waktu.
Tools Deteksi (Untuk yang Ingin Lebih Dalam)
Buat kamu yang penasaran atau bergerak di bidang keamanan informasi, berikut beberapa alat yang bisa digunakan untuk mendeteksi aktivitas BTS palsu di sekitarmu:
- AIMSICD — Android IMSI-Catcher Detector — Aplikasi Android open-source yang memonitor indikator-indikator anomali jaringan yang bisa mengindikasikan kehadiran BTS palsu
- SnoopSnitch — Aplikasi Android untuk mendeteksi serangan SS7 dan fake BTS; memerlukan chipset Qualcomm
- fakeBTS.com — Proyek deteksi BTS palsu menggunakan Linux dan perangkat SDR untuk memindai frekuensi GSM/GPRS
- Commsrisk SMS Blaster Map — Pelacak global insiden fake BTS yang paling komprehensif dan terus diperbarui
Ini Bukan Ancaman Masa Depan — Ini Sudah Terjadi di Kotamu
Kalau kamu sering beraktivitas di kawasan SCBD, Sudirman, Thamrin, atau pusat-pusat keramaian Jakarta lainnya pada awal 2025, ada kemungkinan HP-mu pernah terhubung ke BTS palsu tanpa kamu sadari — meski kamu tidak menerima SMS mencurigakan apapun. Deteksi dan pencegatan IMSI terjadi bahkan pada pengguna yang tidak menjadi korban aktif.
Ini bukan artikel untuk menakut-nakuti. Ini tentang memahami ancaman nyata yang sudah ada di sekitar kita — dan mengambil langkah-langkah konkret yang bisa dilakukan hari ini, bukan besok.
Langkah terpenting? Matikan 2G di HP-mu sekarang. Dua menit. Satu setting. Sudah.
Dan mulai sekarang: tidak ada link dari SMS yang layak diklik, apapun klaimnya.
Masih penasaran soal cara lindungi akun media sosial? Atau ingin tahu lebih jauh tentang ancaman keamanan online? Jangan lupa juga baca tentang bahaya scan QR code sembarangan — modus yang sering berjalan beriringan dengan SMS phishing.
⚠️ Disclaimer
Artikel ini ditulis semata-mata untuk keperluan edukasi dan kesadaran publik tentang keamanan siber. Seluruh informasi teknis yang disajikan diambil dari sumber-sumber terpercaya yang terverifikasi, termasuk laporan resmi kepolisian, pernyataan lembaga pemerintah, dan riset keamanan akademis yang dipublikasikan.
Informasi dalam artikel ini tidak dimaksudkan untuk, dan tidak boleh digunakan sebagai panduan untuk melakukan aktivitas ilegal dalam bentuk apapun, termasuk namun tidak terbatas pada pembuatan, pengoperasian, atau penggunaan perangkat BTS palsu atau perangkat sejenis.
Pengoperasian perangkat BTS ilegal merupakan tindak pidana yang dapat dijerat dengan UU ITE No. 1/2024, UU Telekomunikasi No. 36/1999, dan peraturan perundang-undangan terkait lainnya, dengan ancaman hukuman penjara dan denda yang signifikan.
Jika kamu menemukan indikasi penyalahgunaan frekuensi atau menerima SMS mencurigakan yang diduga berasal dari BTS palsu, laporkan melalui kanal pengaduan resmi Kementerian Komunikasi dan Digital (Komdigi) di aduan.komdigi.go.id atau hubungi Bareskrim Polri.
Bisnis Kamu Sudah Seaman Itu — atau Kamu Belum Tahu Kalau Belum?
Membaca artikel ini sampai selesai itu sudah langkah yang bagus. Tapi jujur saja — ada perbedaan besar antara tahu ancamannya dan benar-benar terlindungi darinya.
Buat kamu yang mengelola bisnis atau tim kerja, pertanyaan yang lebih penting bukan "apakah BTS palsu itu berbahaya?" Pertanyaan yang lebih relevan adalah: kalau hari ini ada insiden keamanan yang menyasar akunmu, sistem bisnismu, atau data klienmu — kamu tahu harus mulai dari mana?
Banyak pemilik bisnis dan profesional yang baru menyadari celah di sistem IT mereka setelah sesuatu terjadi. Bukan karena lalai — tapi karena ancamannya memang tidak kelihatan, persis seperti BTS palsu yang kita bahas tadi.
Di sinilah kami hadir.
Rizal IT Consulting membantu profesional dan pemilik bisnis di seluruh Indonesia untuk tidak sekadar reaktif terhadap ancaman siber, tapi selangkah lebih siap. Mulai dari konsultasi keamanan digital, audit perlindungan data bisnis, hingga support IT harian yang bisa kamu akses online — tanpa perlu menunggu masalah datang duluan.
Semua layanan tersedia secara online, untuk seluruh Indonesia.
Hubungi Kami
📧 Email:
📱WhatsApp: 0857-1587-2597 | 0813-8229-7207
🕐Operasional: Sabtu – Kamis, 08.00 – 17.30 WIB
🌏 Layanan kami tersedia online untuk seluruh Indonesia—jadi nggak perlu repot datang ke kantor atau menunggu teknisi keliling.
Kalau kamu punya pertanyaan, kekhawatiran soal sistem IT bisnis kamu, atau sekadar ingin tahu dari mana sebaiknya mulai — pintu kami terbuka.
Blog ini didukung oleh pembaca. Rizal IT Consulting dapat memperoleh komisi afiliasi ketika Anda bertransaksi di tautan yang ditampilkan di situs ini. Ikuti kami juga di Google News Publisher untuk mendapatkan notifikasi artikel terbaru. Info lanjut, kolaborasi, sponsorship dan promosi, ataupun kerjasama, bisa menghubungi: 0857-1587-2597 | 0813-8229-7207 | .
