JAKARTA, GRESNEWS.COM - Kejahatan pembobolan rekening nasabah bank yang bertransaksi lewat internet kian canggih. Para pelaku selalu mengintai dan mencari celah kelemahan teknologi informasi yang digunakan perbankan. Lewat virus malware pelaku membelokkan transaksi transfer rekening nasabah bank masuk ke rekening pelaku.

Indonesia dengan salah satu jumlah pengguna internet terbesar di dunia tentu saja menjadi sasaran empuk dari pelaku kejahatan lewat internet . Puluhan miliar uang nasabah bank melayang akibat polah pelaku yang mengakali rekening nasabah.

Jajaran Direktorat Reserse Kriminan Umum Polda Metro Jaya mengungkap kejahatan pembobolan rekening bank dengan modus pembelokan transfer (phishing malware), Senin (14/9). Pelaku adalah dua warga Ukraina, Oleksandr Sulima dan Dmitry Gryadskiy yang menyedot dana nasabah tanpa disadari oleh pemilik rekening bahkan oleh pihak bank. Dana yang mereka sedot mencapai Rp 40 miliar.

Aksi pembobolan rekening nasabah bank ini juga pernah diungkap oleh Badan Reserse Kriminan (Bareksrim) Polri.  Pada 14 April lalu, Direktorat Tindak Pidana Ekonomi Khusus membongkar jaringan international kejahatan pembobolan rekening nasabah. Saat itu ada 300 ratusan nasabah bank dari tiga bank besar berhasil dibobol. Sekitar Rp130 miliar dana nasabah hilang berpindah pada para pelaku.

Direktur Reserse Kriminal Umum Polda Metro Jaya Komisaris Besar Polisi Krishna Murti mengatakan, aksi kejahatan melalui dunia maya ini dikenal dengan istilah phishing malware. Modusnya pelaku membobol rekening dengan cara menggelapkan transaksi para nasabah bank melalui sistem email banking. Pelaku juga membuat rekening penampung dengan menggunakan identitas palsu.

MODUS PEMBOBOLAN - Aksi kejahatan membobol rekening nasabah sebenarnya sangat simpel. Pelaku masuk pada kelemahan nasabah yang kerap berselancar di dunia maya. Terutama para nasabah yang suka mengunduh aplikasi terbaru hingga membuka situs porno.

"Kejahatan ini sering banget terjadi, mereka mengggunakan banyak cara melalui virus trojan, phishing yang ditanam situs-situs yang sering dilihat seperti judi online dan porno," kata pakar keamanan Cyber dan Komunikasi Pratama Persadha kepada gresnews.com, Selasa (15/9).

Modus dari pencurian dana nasabah ini adalah dengan membajak akun internet banking milik nasabah bank sehingga ketika nasabah akan menyetorkan uang ke rekeningnya, aliran uang tersebut akan dibelokkan ke rekening pelaku.

Modus kejahatan ini bermula saat pelaku menawarkan perangkat aplikasi antivirus melalui pesan layanan di internet kepada korban pengguna e-banking. Setelah korban mengunduh software palsu tersebut, malware akan secara otomatis masuk ke komputer dan memanipulasi tampilan laman internet banking seolah-olah laman tersebut merupakan milik bank.

Malware ini sulit dideteksi lantaran terpasang di sistem perambaan atau browser bukan pada sistem operasi. Alhasil antivirus atau antimalware yang dipasang pada komputer pun tak sanggup mendeteksi adanya malware. Para pelaku ini menggunakan teknik DNS poisoning.

Dengan adanya malware di sistem perambaan, pelaku dapat dengan mudah mengendalikan akun banking nasabah setelah mengetahui password korban. Kerap kali nasabah menyimpan kode passwordnya pada sistem perambaan.

Dalam aksi kejahatannya tersebut, pelaku tidak berkerja sendiri. Khususnya untuk menampung dana dari nasabah. Bila merupakan sindikat internasional biasanya melibatkan juga orang Indonesia sebagai kurir.

Pelaku utama kejahatan ini menjanjikan kurir dapat mengambil 10 persen dari dana yang masuk dan sisanya dikirimkan ke rekening di Ukraina melalui Western Union. Perekrutan kurir ini dilakukan secara acak dengan mengaku kerjasama bisnis perdagangan seperti kayu, kain, dan mesin.

TEKNIK PHISING - Kasus yang belakangan ini terjadi dikenal dengan teknik Man in the Middle Phising Attack atau biasa disebut phising 2.0. Pratama menjelaskan, praktik phising pertama kali terjadi pada 2004, dan sering disebut sebagai phising 1.0. Praktik ini dilakukan terhadap sistem keamanan yang menggunakan model "one factor", artinya pengamanan hanya menggunakan username dan password.

Para penyerang ini cukup membuat web palsu dengan nama dan tampilan yang mirip dengan aslinya. Pada kasus BCA yang dulu, para penyerang membuat halaman palsu (fake login) klikbca.com dengan alamat-alamat seperti wwwklikbca.com, kilkbca.com, clikbca.com, klickbca.com dan klikbac.com.

"Secara sekilas sama, sehingga nasabah tertipu dan memasukkan username-password mereka," ungkap Pratama.

Phising 1.0 ini pada akhirnya bisa diatasi dengan penggunaan sistem keamanan multi factor, selain menggunakan username-password, nasabah juga dilengkapi dengan token maupun alat lain yang berfungsi untuk otentifikasi.

Namun para penyerang juga menemukan metode baru, phising 2.0. Menurut Pratama teknik phising 2.0 cukup berbahaya bagi nasabah dan perbankan, terutama saat transaksi lewat internet banking. Teknik ini menyerang komputer nasabah dan juga menargetkan web perbankan. Walaupun dengan pengamanan multi factor, masih ada kemungkinan ditembus juga.

"Multi factor dengan tambahan SMS misalnya memang lebih aman. Namun, bisa jadi alat komunikasi nasabah sudah disadap atau ditanami trojan, sehingga para penyerang juga bisa tahu nomor otentifikasinya. Atau seperti kasus BCA dan Mandiri kemarin, para penyerang menggunakan penipuan berkedok sinkronisasi token. Jadi nasabah memasukkan nomor token resmi BCA atau Mandiri ke kolom sinkronisasi token yang dibuat para penyerang. Dalam time period token tersebut, para cracker bisa mengambil uang sesuka mereka," terang Pratama.

PENGAWASAN BANK LEMAH - Pratama mengatakan, dalam kasus pembobolan oleh pihak ketiga sejatinya bisa diantisipasi oleh pihak perbankan. Cara dengan menyetel ketika ada transaksi dan pembelokan transaksi nasabah, sistem keamanan perbankan tidak menyetujuinya.

"Harusnya bank bisa mengatinsipasinya dengan tidak membolehkan saat transaksi nasabahnya dibelokkan," kata Pratama yang juga Ketua Lembaga Riset Communication and Informaton System Security Research Center (CISSReC).

Ada langkah yang bisa dilakukan perbankan agar kasus ini tidak terulang lagi. Perbankan bisa menggandeng Lembaga Sandi Negara untuk mengembangkan sistem pengamanan data melalui sistem enkripsi atau penyandian.

"Sebaiknya perbankan harus menambahkan enkripsi sebagai otentifikasi final. Enkripsi sangat aman, karena hanya pemilik rekening yang tahu kode untuk membuka pesan terenkripsi tersebut. Bisa jadi cracker juga mendapatkan pesan otentifikasinya, namun karena tak tahu kode dan tak ada software dekripsinya, maka pesan yang mereka dapat menjadi tak terbaca," jelas Pratama.

Dia juga mengimbau agar perbankan di Indonesia secara regular melakukan audit pada sistem IT mereka. Audit sistem IT di tiap perbankan perlu dilakukan secara berkala. Dengan demikian pihak perbankan dapat mengetahui mana saja lubang yang bisa ditembus oleh penyerang dan segera memperbaikinya,” jelas mantan Ketua Tim IT Lembaga Sandi Negara untuk Kepresidenan ini.

BERDAMPAK BESAR - Jelas, kejahatan pembobolan rekening nasabah bank tidak bisa dianggap remeh. Itu menandakan lemahnya sistem pengamanan informasi yang dimiliki Indonesia.  Pembobolan rekening nasabah saat ini sudah menyentuh ratusan miliar. Agar menghindari kerugian yang lebih jauh pemerintah perlu meningkatkan pengamanan cyber. Bila itu tidak dilakukan maka Indonesia akan mengalami kerugian yang jumlahnya bisa mencapai ratusan triliun.

Misalnya, kata Pratama, dalam kasus ilegal fishing, karena keamanan cyber nasional tidak terlindungi, pelaku ilegal fishing dapat mengetahui tindakan yang akan dilakukan keamanan Indonesia. "Sebelum ditangkap, mereka telah kabur duluan. Belum lagi kasus illegal loging yang nilainya sangat besar," jelas Pratama.

BACA JUGA:
Tags