Liputan6.com, Semarang - Kejahatan perbankan terjadi lagi. Sejumlah warga melapor saldo tabungan mereka tiba-tiba berkurang.Ā Sebelumnya ada Ā seorang nasabah Bank BCA mengaku telah kehilangan uang sejumlah 13 juta rupiah. Praktek pencurian ini ditengarai dengan teknik man in the middle phising attackĀ atau jamak disebut sebagai Phising 2.0.
Pakar keamanan siber Pratama Persadha, menjelaskan bahwa praktik phising pertama kali terjadi pada tahun 2004, dan sering disebut sebagai Phising 1.0. Praktik ini dilakukan terhadap sistem keamanan yang menggunakan model one factor, artinya pengamanan hanya menggunakan username dan password.
"Para penyerang ini cukup membuat web palsu dengan nama dan tampilan yang mirip dengan aslinya. Pada kasus BCA yang dulu, para penyerang membuat halaman palsu (fake login) klikbca.com dengan alamat-alamat seperti wwwklikbca.com, kilkbca.com, clikbca.com, klickbca.com, dan klikbac.com.
Advertisement
"Secara sekilas sama, sehingga nasabah tertipu dan memasukkan username-password mereka," kata Pratama dalam surat elektronik yang dikirimkan ke Liputan6.com.
Baca Juga
Chairman lembaga riset keamanan siberĀ CISSReC menyebutkan Phising 1.0Ā sudah bisa diatasi dengan penggunaan sistem keamanan multi factor.
"Selain menggunakan username-password, nasabah juga dilengkapi dengan token maupun alat lain yang berfungsi untuk otentifikasi," katanya.
Penjahat selalu kreatif mengikuti teknologi. Kejahatan perbankan juga makin canggih. Lahirlah metode baru, Phising 2.0. Menurut Pratama teknik phising 2.0Ā ini lebih berbahaya bagi nasabah dan perbankan, terutama saat transaksi lewat internet banking.
"Teknik ini menyerang komputer nasabah dan juga menarget web perbankan. Sehingga walaupun dengan pengamanan multi factor, masih ada kemungkinan ditembus juga," kata Pratama.
Pengamanan multi factor dengan tambahan SMS memang lebih aman. Namun ada kemungkinan alat komunikasi nasabah sudah disadap atau ditanami trojan, sehingga para penyerang juga bisa tahu nomor otentifikasinya.
"Dalam kejahatan perbankan kasus BCA kemarin, penyerang menipu berkedok sinkronisasi token. Jadi nasabah memasukkan nomor token resmi BCA ke kolom sinkronisasi token yang dibuat para penyerang. Dalam time period token tersebut, para cracker bisa mengambil uang sesuka mereka," kata Pratama.
Saksikan video pilihan di bawah ini:
Cara Cek Keamanan Internet Banking
Pratama juga menyarankan saat melapor, korban bisa memberikan print out history transaksi. Model pencurian seperti itu uang berpindah dengan cara transfer. Nanti akan diketahui ke mana saja uang nasabah tersebut terkirim.
Pengamanan terkini yang sangat mungkin dilakukan adalah dengan pengamanan berbasis enkripsi. Perbankan harus menambahkan enkripsi sebagai otentifikasi final. Enkripsi sangat aman, karena hanya pemilik rekening yang tahu kode untuk membuka pesan terenkripsi tersebut.
"Bisa jadi cracker juga mendapatkan pesan otentifikasinya, namun karena tak tahu kode dan tak ada software dekripsinya maka pesan yang mereka dapat menjadi tak terbaca," kata Pratama.
Perbankan di Indonesia sebaiknya juga mengaudit sistem IT secara berkala. Tujuannya untuk mengetahui mana saja lubang yang bisa ditembus oleh penyerang dan segera memperbaikinya.
Untuk transaksi internet banking, Pratama menyarankan tidak menggunakan komputer umum seperti warnet dan PC kantor, karena bisa saja username dan password masih tertinggal. Jika komputer yang digunakan diinstal key logger, username dan password yang diketik pasti akan tertinggal dan bisa dibuka kapan saja.
Bagi pengguna komputer sendiri, disarankan nasabah untuk memindainya terlebih dahulu, sehingga tahu apakah aman dari virus maupun malware. Kemudian perlu juga dilakukan sejumlah langkah pencegahan agar aktivitas transaksi aman.
"Pertama, cek apakah alamat internet banking benar, minimal ada sertifikat digitalnya, ditunjukkan dengan HTPPS. Kedua, bila menemui proses transaksi yang tidak biasa segera hentikan dan lapor pada bank. Ketiga, jangan lupa untuk mengganti password secara berkala," kata Pratama.
Advertisement
Menyiasati Ulah Skimmer Kartu ATM
Sementara itu, kejahatan berupa skimming pada mesin ATM akhir-akhir ini, sebenarnya polisi pernah menangkap sejumlah pelaku di pertengahan September 2017. Ketika itu para korban melapor bahwa dananya sudah ditarik oleh orang asing di Amerika Serikat, Meksiko, dan Bulgaria.
Lima orang yang ditangkap polisi adalah warga negara Bulgaria. Polisi mendapatkan bantuan dari salah satu bank nasional yang membentuk tim buru sergap, setelah beberapa nasabahnya melaporkan kehilangan. Para pelaku dari Bulgaria ini menjadikan Bali sebagai lokasi operasi mereka. Selama ini memang Bali menjadi lokasi favorit dari para pelaku skimming, yang sebagian besar berasal dari Eropa Timur.
Kini di 2018, skimming meluas. Nasabah BRI di sejumlah tempat mengaku dana mereka tiba-tiba menghilang. Pratama menyebutkan selain menggunakan skimmer yang berfungsi mengkloning kartu ATM, para penjahat juga melengkapi diri dengan router.
Para pelaku hanya menggunakan skimmer dan router yang ditempatkan menyamar di mesin ATM. Para pelaku memilih lokasi ATM yang sepi minim pengamanan, namun sering digunakan oleh orang kaya maupun turis lokal serta luar negeri.
"Langkah mencegahan yang paling bisa dilakukan oleh nasabah adalah mengenal betul bentuk fisik mesin ATM, minimal pada mulut kartu dan keyboard pad. Karena skimmer yang ditambahkan pasti akan mengubah atau menambah bentuk mesin ATM jadi terlihat tidak biasa," kata Pratama.
Langkah kedua adalah memilih ATM yang ramai dan ada satpamnya. Misalnya di ATM minimarket. Secara berkala lakukan pengecekan mutasi lewat internet banking. Jadi jika ada kejanggalan akan langsung diketahui.
"Lengkapi juga dengan notifikasi SMS banking saat ada transaksi pengambilan maupun pembelanjaan yang cukup besar," katanya.
Berdasarkan data di Europol (Kepolisian Uni Eropa), Bali adalah lokasi ketiga tervaforit para penjahat skimming ATM. Indonesia sendiri (yang dibedakan dari Bali) menduduki peringkat ketujuh. Anehnya, perbankan di Indonesia tak banyak yang meningkatkan standar keamanan ATM, baik dari operating system, hardware sampai pada pengamanan fisik.
Sebagai langkah edukasi, sebaiknya pihak perbankan selalu menyertakan poster bentuk ATM standar di setiap lokasi mesin ATM berada.