Communication and Information System Security

08 Agu
Belanja Was-Was Di Internet
Belanja online melonjak saat Ramadhan lalu. Masyarakat tetap harus berhati-hati agar tidak kebobolan.
Lebaran adalah mudik dan belanja. Dua kata itu tak dapat dipisahkan. Urusan belanja semakin mudah
dengan menjamurnya situs belanja online. Jumlah masyarakat yang berbelanja saat Ramadhan pun
terus meningkat. Tentu saja, keamanan situs belanja online menjadi hal utama. Penggunaan kartu
kredit dan akun e-commerce dibobol.
Nah, selama Ramadhan kemarin, sebanyak 81% pengguna internet Indonesia berbelanja secara
online. Traffic e-commerce selama Ramadhan itu meningkat 53%. Hal ini berdasarkan hasil survei
yang dilakukan UC Browser, salah satu mobile browser di Indonesia produk Ali Baba Group.
Perilaku pengguna mobile internet di Indonesia mengunjungi situs belanja online setidaknya satu kali
dalam empat pekan terakhir. Adapun setengah dari responden mengakses website e-commerce lebih
dari tiga kali per hari. ?Tiga faktor utamanya adalah diskon besar, situs belanja yang terpercaya, dan
pembayaran yang aman,? kata Kenny Ye, GM of Global Markets, Alibaba Mobile Business Group.
Survei itu juga menyebutkan bahwa 83% dari mereka mulai berselancar ke situs online shopping
sebelum pekan ketiga dan pekan terakhir bulan Ramadhan. Saat itu biasanya mal-mal menggelar night
sale.
Di antara berbagai platform e-commerce, Lazada, Tokopedia, dan Bukalapak menjadi tiga situs belanja
online yang paling populer di kalangan responden. Lazada 20% lebih populer dibanding dengan para
pesaingnya.
Meningkatnya belanja di online shop juga harus dilakukan dengan hati-hati. Sebab, kejahatan belanja
online terus terjadi.
Beberapa waktu lalu, kartu kredit Tri Kurniawan Darmoko dibobol setelah dipakai belanja di Lazada.
?Akun Lazada istri saya di-hack (dicuri),? kata dia. Bahkan, kartu kredit terbitan Bank Mega milik
mertuanya juga diretas untuk kejahatan yang sama.
Dari dua kejadian ini disinyalir pemakaian identitas pribadi dan alat pembayaran non-tunai dilakukan
secara sembarangan pada saat belanja daring.
Peristiwa hampir serupa juga dialami Adinda Mutia Muwardati dengan memakai nama pengguna, kata
sandi, dan kartu kredit miliknya. Pengambilan nama pengguna dan kata sandi mungkin terjadi akibat
transaksi ini diduga pernah dilakukan di komputer yang dipakai orang lain. Begitupula akses internet
yang digunakan untuk transaksi ini milik publik, sehingga ada potensi seseorang mengambil
identitasnya.
Pencurian ini juga dapat terjadi akibat nama pengguna dan kata sandi pernah dipinjamkan kepada
orang lain. Orang ini tidak sadar kembali menyebarkan kepada pihak-pihak sekitarnya.
?Sebanyak 47% responden mengaku berbagi kata sandi dengan orang lain. Dari angka ini 8 dari 10
responden asal Indonesia,? kata Choon Hoo Chee, Direktur Asia Consumer Business Norton
Symantec dalam Norton Cybersecurity Insight beberapa waktu lalu.
Jika ini sudah terlanjur dilakukan pengguna, maka ini disiasati dengan perubahan nama pengguna dan
kata sandi secara berkala dengan kombinasi angka dan huruf.
Namun, itu dilakukan atas perintah suatu pihak yang mengaku sebuah situs belanja atau bank melalui
surat elektronik. Karena, mereka bisa saja bukan lembaga resmi tersebut.
Suatu sambungan untuk perubahan ini dicantumkan mereka dalam surat tersebut. Pengguna
disarankan memeriksa dahulu kebenaran alamat situs.
?Kemungkinan phishing terjadi pada akun korban, sehingga peretas mengambil username dan
password,? kata Pengamat Kemanan Siber Pratama Dahlian Persadha.
Sertifikat Keamanan
Nama pengguna dan kata sandi juga bisa dicuri penjahat dunia maya pada saat transaksi dilakukan
pengguna di suatu situs. Hal ini terjadi akibat situs belum bersertifikasi keamanan digital yang dapat
dilihat belum ada tanda gembok di depan alamatnya.
Metode phishing ini dinamakan cross site scripting dengan cara meng-inject script alamat situs. Itu bisa
dilakukan setelah dia mengetahui nomor internet protocol suatu situs.
?Apabila ini sudah terenkripsi dari client application kepada server dengan menggunakan SSL (Secure
Socket Layer), seharusnya orang tidak bisa mengambil ini di tengah jalan,? tandasnya.
Keamanan transaksi di situs belanja bisa terlihat dari metode pembayaran apakah telah diverifikasi
oleh Visa, Mastercard, atau Versign Secure.
Lazada mengklaim keamanan belanja daring telah dijamin dengan penerapan two time authentication.
Jadi, dua kali pemberitahuan dilakukan situs ini kepada penggunanya.
?Verifikasi pertama melalui surat elektronik dari Lazada, kemudian verifikasi kedua lewat SMS ke
nomor pembeli yang terdaftar di bank penerbit kartu kredit oleh bank tersebut,? jelas Florian Holm, Co
Chief Executive Officer (CEO) Lazada.
Three Domain Secure (3DS) juga dilengkapi Lazada kepada pembeli untuk konfirmasi pembelian
barang dengan kartu kredit. Langkah ini berupa pengiriman Identification Number (PIN) oleh situs
belanja ini kepada pembeli melalui layanan pesan singkat untuk transaksi.
Pratama menyayangkan penerapan sistem ini belum diwajibkan kepada situs belanja dan perbankan.
Langkah ini dinilai sebagian dari mereka akan menyusahkan konsumen dalam belanja daring. ?Mereka
hanya peduli apabila datanya sudah benar bisa bertransaksi,? jelasnya.
Padahal, jika implementasi ini memerlukan biaya, maka itu dapat dibebankan kepada konsumen.
Mereka tidak akan keberatan itu berakibat pengenaan biaya lantaran untuk keamanan belanjanya.
Virtual
Untuk mengurangi kejahatan siber pengguna kartu kredit bisa memakai kartu kredit virtual (KKV) untuk
keamanan ini. Kartu ini memiliki limit nilai transaksi dan jangka waktu pemakaian terbatas.
Mata uang transaksi yang ditawarkan lembaga keuangan mulai rupiah, dolar AS, sampai Euro. Hal ini
disesuaikan kebutuhan pengguna. ?Namun tidak semua merchant bisa menggunakan kartu kredit
virtual,? jelasnya.
KKV memiliki 16 nomor seri dengan tiga nomor terakhir akan diminta penjual pada saat transaksi
daring. Transaksi bisa hanya dipakai maksimal dua kali selama 24 jam.
Pemakaian KKV akan dinotifikasi bank kepada pengguna melalui layanan pesan singkat sebelum
transaksi. Apabila ini didiamkan nasabah, maka transaksi ini diakui kebenarannya oleh pemilik KKV.
Salah satu bank yang menyediakan layanan KKV adalah Bank CIMB Niaga sejak Oktober 2015. KKV
bagian dari fitur Octopay sebuah layanan transaksi berbasis Facebook.
Belanja daring bisa menggunakan KKV. Selain itu dapat dipakai untuk transaksi lain seperti
pembayaran tagihan dan transfer uang.
Nilai yang bisa diisi dalam KKV Bank CIMB Niaga sebesar Rp 10 ribu sampai Rp 10 juta untuk sekali
pakai. Nilai transaksi ini mencapai rata-rata sebesar Rp 200 ribu per nasabah.
?Setiap bulan ada sekitar 5.000 sampai 8.000 nasabah membeli kartu kredit virtual,? tukas Bambang
Karsono Adi, Head of Digital Banking, Branchless & Partnership CIMB Niaga.
Sebanyak 50 ribu pengguna KKV ditargetkan Bank CIMB sampai akhir 2016. Dari angka itu baru
tercapai 20.000 pengguna sekarang.
Bank CIMB Niaga akan mengirimkan laporan transaksi KKV kepada pengguna setiap bulan. Layanan
ini dapat dinikmati nasabah yang mempunyai rekening tabungan di Bank CIMB Niaga, jika ini belum
dipunyainya dapat membuka rekening OctoPay dahulu.
Pilihan lain untuk keamanan transaksi dengan kartu kredit, papar Pratama, adalah menggunakan
Paypal. Pasalnya, metode pembayaran ini tidak menyebutkan data-data kartu kredit.
?Data kartu kredit kita sudah dikompres menjadi ID Paypal, susah sekali orang melakukan penyadapan
data pribadi dengan Paypal,? jelasnya.
* Tulisan di atas dimuat pada majalah Jasa Keuangan Indonesia, edisi 14 Agustus 2016
Communication & Information System Security Research Center
Jl. Moh. Kafi 1 No. 88D Jagakarsa Jakarta Selatan
Email: [email protected]
Telp. +6221 78890340