-->

Wednesday, 12 November 2014

Memerangkap Hacker Pembobol Rekening Bank

Pembobolan rekening nasabah bank lewat ATM berlangsung terus menerus dengan frekuensi yang semakin meningkat, terutama pada periode Juni-Agustus 2014.
Yang semakin mengejutkan adalah modus yang digunakan oleh pelaku tidak berubah dari waktu ke waktu. Kejadian yang berulang tersebut, disebabkan oleh tidak adanya perubahan dari metode pengamanan aplikasi perbankan, atau memang perilaku nasabah yang mudah dibaca oleh pelaku carding? Carding adalah kejahatan yang dilakukan dengan memanipulasi / mengubah data dengan media kartu. Biasanya setiap kali terjadi kasus pembobolan rekening nasabah selalu memunculkan pertanyaan klasik, siapa yang salah dalam kejadian ini, bank atau nasabah.
Pihak bank, setelah mengevaluasi pengamanan aplikasi yang dimiliki dan menganalisis modus pelaku lewat CCTV atau media yang dipakai oleh pelaku, langsung menjustifikasi bahwa nasabah yang salah. Demikian juga nasabah, karena merasa bahwa mereka tidak pernah menunjukkan PIN dan kartu ATM ke orang lain, juga menjustifikasi bahwa yang salah adalah pihak bank.
Perbedaan sudut pandang ini, kalau tidak ada titik temu, akan membuat penyelesaian yang berlarut-larut, yang membuat bank dan nasabah justru sibuk dengan metode penyelesaian, bukan mencegah, apalagi memerangkap pelaku. Saat sekarang ini, kemampuan hacker Indonesia menempati urutan kedua setelah Tiongkok.
Maka ketika terjadi perang hacker Indonesia dengan Australia, hitam di atas putih, hacker Indonesia menang. Hal ini menunjukkan bahwa pengelola keamanan aplikasi perbankan Indonesia pasti baik, karena pengelola keamanan seimbang dengan kemampuan hacker.
Begitu juga dengan nasabah ATM, mereka juga orang yang mengetahui IT dan memahami pengamanan ATM. Kalau modus dibagi dalam tiga kategori, yaitu manual, semikomputasi dan komputasi, maka modus pembobolan ATM yang belakangan pelakunya tertangkap, termasuk dalam kategori semikomputasi.
Perangkat yang digunakan pelaku, baik skimmer, pembobolan rekening nasabah lewat ATM tetap berlanjut?kamera ballpoint tidak terkoneksi dengan mesin ATM, yang semestinya tidak terlalu sulit untuk mencegah atau memerangkap pelaku.
Kemudian, mengapa Karena paradigma pembenaran pengamanan aplikasi perbankan atau pembenaran perilaku nasabah selalu menjadi bahan analisis utama setelah kejadian. Dan tampaknya situasi yang demikian ini dibaca dengan baik oleh para pelaku carding.


Metode Pengamanan 


Dalam computer science terdapat kajian khusus tentang computer security dan social awareness. Computer security dalam kontek pengamanan ATM, akan membahas tentang pengamanan sistem aplikasi ATM dengan software dan hardware.
Pengamanan dengan software, biasanya dilakukan dengan pembuatan PIN yang sulit diacak atau di-crack oleh pelaku. Namun keterbatasan PIN yang hanya dapat ditulis dengan angka, merupakan celah pembobolan tersendiri yang harus dipikir oleh pengembangan pengamanan aplikasi perbankan.
Secata teori, password yang baik terdiri dari kombinasi angka, huruf dan karakter khusus, seperti tanda seru. Namun key board ATM tidak mendukungnya, sehingga tidak dapat dilakukan. Pengamanan hardware dipergunakan untuk rintangan akses mesin ATM, seperti ruangan untuk menaruh mesin ATM.
Sebagian besar, bank tidak menaruh pengamanan hardware dalam mesin ATM, sehingga siapa pun itu, pemilik kartu ATM atau tidak, tetap dapat masuk ke ruangan mesin ATM. Lain halnya, kalau untuk masuk ke ruang ATM diperlukan PIN, maka yang bisa masuk akses ATM hanya nasabah, sehingga akan memudahkan pelacakan kalau terjadi ketidakberesan pada transaksi di ATM.
Social awareness, merupakan metode pengamanan dari sisi nasabah, misalnya bagaimana cara mengamankan PIN, penyelamatan apa yang dilakukan ketika secara tidak sengaja PIN diketahui oleh orang lain dan lain sebagainya.
Usaha ini penting, mengingat kejadian pembobolan ATM juga disebabkan oleh faktor ketidak-hati-hatian nasabah atau karena efek terkejut yang ditimbulkan oleh kejadian yang merugikan nasabah. Akan bijaksana jika kejadian pembobolan ATM ini disikapi dengan mengevaluasi secara menyeluruh pengamanan, baik dari sisi aplikasi perbankan maupun dari sisi nasabah. Selama ini, pihak bank menyikapi kejadian ini dengan memperbaiki aplikasi untuk menghindari kejadian serupa.
Namun pola pikir pelaku yang selalu mencari celah pengamanan, dan perilaku nasabah (social awareness) yang tidak mendapatkan perhatian lebih, akan membuat usaha tersebut menjadi sia-sia. Pengubahan paradigma menghindar ke paradigma memerangkap perlu dipikirkan oleh pihak bank dan nasabah untuk pengembangan pengamanan.
Dalam sepak bola, pertahanan yang baik adalah pertahanan yang dilakukan dengan cara menyerang lawan secara terus-menerus. Melihat volume dan frekuensi pembobolan ATM tersebut, perlu meniru teknik bertahan dalam sepak bola dengan selalu berusaha memerangkap pelaku carding.
Dua Skenario Usaha tersebut dapat dilakukan dengan beberapa skenario sebagai berikut: Skenario pertama, pihak bank terutama ATM centre mendata nomor telepon nasabah yang akan digunakan oleh nasabah untuk menghubungi ATM centre. Setiap nasabah hanya diperbolehkan menggunakan satu nomor telepon.
Setiap kali nasabah akan transaksi di ATM, nasabah memberitahu ke ATM centre lewat SMS dengan format yang disepakati. SMS tersebut menjadi sarana validasi pihak bank terhadap transaksi yang dilakukan oleh nasabah. Setiap SMS yang diterima, ATM centre akan memproses secara otomatis keabsahan transaksi nasabah di ATM.
Namun ketika ditemukan ada SMS yang tidak berasal dari nomor telepon yang dimiliki nasabah, ATM centre akan melakukan proses untuk memerangkap. Dengan teknik tertentu, pihak bank akan mengarahkan pelaku ke ATM yang di intai oleh petugas, sehingga kondisi akan berubah dari yang biasanya pelaku mengarahkan nasabah berbalik menjadi bank yang mengarahkan pelaku untuk masuk perangkap.
Skenario kedua, pihak bank mengharuskan nasabah mengikuti SMS banking. Jumlah transaksi, berapa pun akan dikirim lewat SMS ke nasabah. Setiap nasabah diharapkan validasi transaksi yang dilakukan melalui SMS lewat nomor yang terdaftar di ATM centre.
Setiap transaksi lewat ATM harus divalidasi nasabah lewat sms balasan. Namun, jika sampai kurun waktu yang ditentukan nasabah belum memberikan validasi, patut diduga bahwa yang melakukan transaksi adalah pelaku pembobolan ATM. Dengan metode tertentu, ATM centre akan mengarahkan pelaku transaksi ke ATM perangkap.
Untuk melakukan sekenario ini harus ada kesepatan antara pihak bank dan nasabah supaya saling memahami dan pengertian. Kedua skenario di atas adalah mengubah paradigma mencegah menjadi paradigma memerangkap. Dalam praktiknya, mungkin kedua metode tersebut di atas perlu komputasi yang lebih baik dibanding sebelumnya.
Namun usaha tersebut akan mengurangi kebimbangan para nasabah ATM. Memang biaya pengamanan menjadi tinggi, namun hasilnya seimbang dengan kepercayaan masyarakat pada perbankan nasional. Dengan semangat mengubah paradigma ini diharapkan volume dan frekuensi kejahatan perbankan akan menurun dan membuat jera pelakunya.
NEXT ARTICLE Next Post
PREVIOUS ARTICLE Previous Post
NEXT ARTICLE Next Post
PREVIOUS ARTICLE Previous Post
 

Delivered by FeedBurner