Communication and Information System Security

06 Mar
Cegah Kejahatan Pada Internet Banking Dengan Enkripsi
JAKARTA - Pencurian uang nasabah perbankan kembali terjadi. Kali ini salah seorang nasabah Bank
BCA mengaku telah kehilangan uang sejumlah 13 juta rupiah. Praktek pencurian ini ditengarai dengan
teknik "Man in the Middle Phising Attack" atau jamak disebut sebagai Phising 2.0.
Pakar Keamanan Cyber dan Komunikasi, Pratama Persadha ikut angkat suara terkait peristiwa ini. Dia
menjelaskan bahwa praktek phising pertama kali terjadi pada tahun 2004, dan sering disebut sebagai
Phising 1.0. Praktek ini dilakukan terhadap sistem keamanan yang menggunakan model "one factor",
artinya pengamanan hanya menggunakan username dan password.
"Para penyerang ini cukup membuat web palsu dengan nama dan tampilan yang mirip dengan aslinya.
Pada kasus BCA yang dulu, para penyerang membuat halaman palsu (fake login) klikbca.com dengan
alamat-alamat seperti wwwklikbca.com, kilkbca.com, clikbca.com, klickbca.com dan klikbac.com.
Secara sekilas sama, sehingga nasabah tertipu dan memasukkan username-password mereka," kata
Ketua Lembaga Riset Keamanan Cyber Communication and Information System Security Research
Center (CISSReC) di Jakarta, Kamis, (5/3).
Phising 1.0 ini pada akhirnya bisa diatasi dengan penggunaan sistem keamanan multi factor, selain
menggunakan username-password, nasabah juga dilengkapi dengan token maupun alat lain yang
berfungsi untuk otentifikasi.
Namun para penyerang juga menemukan metode baru, Phising 2.0. Menurut Pratama teknik phising
2.0 cukup berbahaya bagi nasabah dan perbankan, terutama saat transaksi lewat internet banking.
"Teknik ini menyerang komputer nasabah dan juga mentarget web perbankan. Sehingga walaupun
dengan pengamanan multi factor, masih ada kemungkinan ditembus juga," ujarnya.
"Multi factor dengan tambahan SMS misalnya memang lebih aman. Namun bisa jadi alat komunikasi
nasabah sudah disadap atau ditanami trojan, sehingga para penyerang juga bisa tahu nomor
otentifikasinya. Atau seperti kasus BCA dan Mandiri kemarin, para penyerang menggunakan penipuan
berkedok sinkronisasi token. Jadi nasabah memasukkan nomor token resmi BCA atau Mandiri ke
kolom sinkronisasi token yang dibuat para penyerang. Dalam time period token tersebut, para cracker
bisa mengambil uang sesuka mereka," terangnya.
Pratama juga menghimbau agar korban bisa memberikan print out history transaksi. "Dengan model
pencurian seperti itu, seharusnya uang berpindah dengan cara transfer, sehingga ketahuan kemana
saja uang nasabah tersebut terkirim. Darisana akan jelas siapa saja kemungkinan pihak-pihak yang
bertanggung jawab," imbuhnya.
Melihat hal ini, Pratama menyarankan agar perbankan menambahkan pengamanan dengan multifactor
berbasis enkripsi. "Sebaiknya perbankan harus menambahkan enkripsi sebagai otentifikasi final.
Enkripsi sangat aman, karena hanya pemilik rekening yang tahu kode untuk membuka pesan
terenkripsi tersebut. Bisa jadi cracker juga mendapatkan pesan otentifikasinya, namun karena tak tahu
kode dan tak ada software dekripsinya maka pesan yang mereka dapat menjadi tak terbaca," jelas
Pratama.
Pratama juga menghimbau agar perbankan di Indonesia secara regular melakukan audit pada sistem
IT mereka. "Audit sistem IT di tiap perbankan perlu di lakukan secara berkala. Sehingga pihak
perbankan juga mengetahui mana saja lubang yang bisa ditembus oleh penyerang dan segera
memperbaikinya," tegas mantan Ketua Tim IT Lembaga Sandi Negara untuk Kepresidenan ini.
Tips Internet Banking
Kasus ini menambah daftar kejahatan perbankan di Indonesia. Melihat hal ini, Pratama menambahkan
bahwa yang paling penting nasabah diberikan edukasi yang cukup. Misalnya, bila akan melakukan
internet banking, jangan menggunakan komputer umum seperti warnet dan PC kantor, karena bisa
saja username dan password masih tertinggal.
"Sangat berbahaya bila transaksi menggunakan komputer warnet atau komputer yang bukan milik
sendiri. Bila diinstal key logger disana, username dan password yang sempat diketik akan tertinggal
dan bisa dibuka kapan saja," bebernya.
Walau memakai komputer sendiri, Pratama menghimbau nasabah untuk memindainya terlebih dahulu,
sehingga tahu apakah aman dari virus maupun malware. Kemudian perlu juga dilakukan sejumlah
langkah pencegahan agar aktivitas transaksi aman.
"Pertama, cek apakah alamat internet banking benar, minimal ada sertifikat digitalnya, ditunjukkan
dengan HTPPS. Kedua, bila menemui proses transaksi yang tidak biasa segera hentikan dan lapor
pada bank. Ketiga, jangan lupa untuk mengganti password secara berkala," pungkasnya.
Dengan langkah pencegahan ini, diharapkan dapat mengurangi potensi kejahatan perbankan. (rmn)
Communication & Information System Security Research Center
Jl. Moh. Kafi 1 No. 88D Jagakarsa Jakarta Selatan
Email: [email protected]
Telp. +6221 78890340