Liputan6.com, Semarang - Pencurian uang nasabah perbankan kembali terjadi. Kali ini salah seorang nasabah Bank BCA mengaku telah kehilangan uang sekitar Rp 13 juta. Praktik pencurian ini ditengarai dengan teknik "Man in the Middle Phising Attack" atau jamak disebut sebagai Phising 2.0.
Direktur Utama BCA Jahja Setiaatmadja sendiri sampai meminta agar para nasabah berhati-hati saat diminta sinkronisasi token. Jahja menyebut permintaan sinkronisasi itu bukan dari pihak BCA namun karena komputer nasabah terkena virus.
Atas fenomena ini, Pakar IT dari Communication and Information System Security Research Center (CISSReC), Pratama Persadha menyebutkan praktik phising pertama kali terjadi pada 2004. Praktik ini sering disebut sebagai Phising 1.0 yang dilakukan terhadap sistem keamanan yang menggunakan model "one factor", artinya pengamanan hanya menggunakan username dan password.
Advertisement
"Meretas model seperti ini, cukup membuat web palsu dengan nama dan tampilan yang mirip dengan aslinya. Pada kasus BCA yang dulu, para penyerang membuat halaman palsu (fake login) klikbca.com dengan alamat-alamat seperti wwwklikbca.com, kilkbca.com, clikbca.com, klickbca.com dan klikbac.com. Secara sekilas sama, sehingga nasabah tertipu dan memasukkan username-password mereka," kata Pratama Persadha, Jumat (6/3/2015).
Ia menambahkan, riset yang dilakukan Communication & Information System Security Research Center (CISSReC) menunjukkan Phising 1.0 ini bisa diatasi dengan penggunaan sistem keamanan multi factor, selain menggunakan username-password, nasabah juga dilengkapi dengan token maupun alat lain yang berfungsi untuk otentifikasi. Sampai akhirnya para peretas menemukan metode baru, Phising 2.0.
"Teknik phising 2.0 cukup berbahaya bagi nasabah dan perbankan, terutama saat transaksi lewat internet banking. Teknik ini menyerang komputer nasabah dan juga mentarget web perbankan. Sehingga walaupun dengan pengamanan multi factor, masih ada kemungkinan ditembus juga," kata pendiri dan peneliti lembaga riset keamanan sistem informasi dan komunikasi ini.
Menurut Pratama, penggunaan multi factor dengan tambahan SMS misalnya memang lebih aman. Namun bisa jadi alat komunikasi nasabah sudah disadap atau ditanami trojan, sehingga para penyerang juga bisa tahu nomor otentifikasinya.
Dalam kasus yang terjadi di BCA dan Mandiri, para penyerang menggunakan penipuan berkedok sinkronisasi token. Jadi nasabah memasukkan nomor token resmi BCA atau Mandiri ke kolom sinkronisasi token yang dibuat para penyerang. Dalam time period token tersebut, para cracker bisa mengambil uang sesuka mereka. Untuk melacak, Pratama mengimbau agar korban bisa memberikan print out history transaksi.
"Model pencurian seperti itu, seharusnya uang berpindah dengan cara transfer, sehingga ketahuan kemana saja uang nasabah tersebut terkirim. Dari sana akan jelas siapa saja kemungkinan pihak-pihak yang bertanggung jawab," kata Pratama.
Untuk meningkatkan sistem keamanan, Pratama menyarankan agar perbankan menambahkan pengamanan dengan multifactor berbasis enkripsi.
"Paling aman, sebaiknya perbankan harus menambahkan enkripsi sebagai otentifikasi final. Enkripsi sangat aman, karena hanya pemilik rekening yang tahu kode untuk membuka pesan terenkripsi tersebut. Bisa jadi cracker juga mendapatkan pesan otentifikasinya, namun karena tak tahu kode dan tak ada software dekripsinya maka pesan yang mereka dapat menjadi tak terbaca," kata Pratama.
Selain menambahkan enkripsi, perbankan di Indonesia harus mengaudit sistem IT mereka secara berkala. Tujuannya agar pihak perbankan juga mengetahui mana saja lubang yang bisa ditembus oleh penyerang dan segera memperbaikinya.
Tips Aman Internet Banking
Tips Aman Internet Banking
Untuk mencegah terulangnya kasus ini, nasabah perlu mendapat edukasi yang cukup. Misalnya, dari hal yang sederhana yakni saat akan melakukan internet banking, jangan menggunakan komputer umum seperti warnet dan PC kantor, karena bisa saja username dan password masih tertinggal.
"Sangat berbahaya bila transaksi menggunakan komputer warnet atau komputer yang bukan milik sendiri. Bila diinstall key logger disana, username dan password yang sempat diketik akan tertinggal dan bisa dibuka kapan saja," kata mantan Ketua Tim IT Kepresidenan Lembaga Sandi Negara ini.
Bahkan meskipun menggunakan komputer sendiri, Pratama mengimbau nasabah untuk memindainya terlebih dahulu, sehingga tahu apakah aman dari virus maupun malware. Kemudian perlu juga dilakukan sejumlah langkah pencegahan agar aktivitas transaksi aman.
"Pertama, cek apakah alamat internet banking benar, minimal ada sertifikat digitalnya, ditunjukkan dengan HTPPS. Kedua, bila menemui proses transaksi yang tidak biasa segera hentikan dan lapor pada bank. Ketiga, jangan lupa untuk mengganti password secara berkala," kata Pratama.
Dengan langkah pencegahan ini, diharapkan dapat mengurangi potensi kejahatan perbankan. (Edhie P/Ahm)
Advertisement